Κατανόηση της UEBA και του ρόλου της στην αντιμετώπιση περιστατικών

από
Tweet
Share
Share
Pin

Οι παραβιάσεις της ασφάλειας γίνονται όλο και πιο συχνές στον ψηφιακό κόσμο. Η UEBA βοηθά τους οργανισμούς να εντοπίζουν και να ανταποκρίνονται σε αυτά τα περιστατικά.

Το Analytics συμπεριφοράς χρηστών και οντοτήτων (UEBA) ήταν παλαιότερα γνωστό ως User Behavior Analytics (UBA). Είναι μια λύση κυβερνοασφάλειας που χρησιμοποιεί αναλυτικά στοιχεία για να κατανοήσει πώς οι χρήστες (άνθρωποι) και οι οντότητες (δικτυωμένες συσκευές και διακομιστές) σε έναν οργανισμό συμπεριφέρονται συνήθως για να ανιχνεύουν και να ανταποκρίνονται σε ανώμαλη δραστηριότητα σε πραγματικό χρόνο.

Η UEBA μπορεί να εντοπίσει και να ειδοποιήσει τους αναλυτές ασφαλείας για επικίνδυνες παραλλαγές και ύποπτες συμπεριφορές που θα μπορούσαν να υποδεικνύουν:

  • Πλευρική κίνηση
  • Προνομιακή κατάχρηση λογαριασμού
  • Κλιμάκωση προνομίων
  • Συμβιβασμός διαπιστευτηρίων ή
  • Εσωτερικές απειλές

Η UEBA αξιολογεί επίσης περαιτέρω το επίπεδο απειλής και παρέχει μια βαθμολογία κινδύνου που μπορεί να βοηθήσει στη δημιουργία μιας κατάλληλης απάντησης.

Διαβάστε παρακάτω για να μάθετε πώς λειτουργεί η UEBA, γιατί οι οργανισμοί μεταβαίνουν στην UEBA, τα κύρια στοιχεία της UEBA, τον ρόλο της UEBA στην αντιμετώπιση περιστατικών και τις βέλτιστες πρακτικές της UEBA.

Πώς λειτουργεί το Analytics συμπεριφοράς χρηστών και οντοτήτων;

Τα αναλυτικά στοιχεία συμπεριφοράς χρηστών και οντοτήτων συλλέγουν πρώτα πληροφορίες σχετικά με την αναμενόμενη συμπεριφορά των ανθρώπων και των μηχανημάτων στον οργανισμό σας από χώρους αποθήκευσης δεδομένων, όπως μια λίμνη δεδομένων, μια αποθήκη δεδομένων ή μέσω του SIEM.

Στη συνέχεια, η UEBA χρησιμοποιεί προηγμένες αναλυτικές προσεγγίσεις για να επεξεργαστεί αυτές τις πληροφορίες για να καθορίσει και να καθορίσει περαιτέρω μια βασική γραμμή μοτίβων συμπεριφοράς: από όπου συνδέεται ένας υπάλληλος, το επίπεδο των προνομίων του, τα αρχεία, τους διακομιστές στους οποίους συχνά έχουν πρόσβαση, τον χρόνο και τη συχνότητα πρόσβασης και τις συσκευές που χρησιμοποιούν για πρόσβαση.

Στη συνέχεια, η UEBA παρακολουθεί συνεχώς τις δραστηριότητες χρηστών και οντοτήτων, τις συγκρίνει με τη βασική συμπεριφορά και αποφασίζει ποιες ενέργειες θα μπορούσαν να οδηγήσουν σε επίθεση.

Η UEBA μπορεί να γνωρίζει πότε ένας χρήστης πραγματοποιεί τις συνήθεις δραστηριότητές του και πότε συμβαίνει μια επίθεση. Αν και ένας χάκερ μπορεί να έχει πρόσβαση στα στοιχεία σύνδεσης ενός υπαλλήλου, δεν θα μπορεί να μιμηθεί τις τακτικές δραστηριότητες και τη συμπεριφορά του.

Μια λύση UEBA έχει τρία κύρια στοιχεία:

Αναλύσεις δεδομένων: Η UEBA συλλέγει και οργανώνει δεδομένα χρηστών και οντοτήτων για να δημιουργήσει ένα τυπικό προφίλ για το πώς ενεργεί συνήθως κάθε χρήστης. Στη συνέχεια διαμορφώνονται και εφαρμόζονται στατιστικά μοντέλα για τον εντοπισμό ανώμαλης δραστηριότητας και την ειδοποίηση της ομάδας ασφαλείας.

Ενοποίηση δεδομένων: Για να καταστήσει το σύστημα πιο ανθεκτικό, η UEBA συγκρίνει δεδομένα που λαμβάνονται από διάφορες πηγές – όπως αρχεία καταγραφής συστήματος, δεδομένα καταγραφής πακέτων και άλλα σύνολα δεδομένων – με δεδομένα που συλλέγονται από υπάρχοντα συστήματα ασφαλείας.

  Τι είναι η επίθεση Man-in-the-Middle;

Παρουσίαση δεδομένων: Διαδικασία μέσω της οποίας το σύστημα της UEBA κοινοποιεί τα ευρήματά του και την κατάλληλη απόκριση. Αυτή η διαδικασία συνήθως περιλαμβάνει την έκδοση ενός αιτήματος για τους αναλυτές ασφαλείας να διερευνήσουν ασυνήθιστη συμπεριφορά.

Ο ρόλος της UEBA στην αντιμετώπιση περιστατικών

Τα αναλυτικά στοιχεία συμπεριφοράς χρηστών και οντοτήτων χρησιμοποιούν μηχανική μάθηση και βαθιά μάθηση για την παρακολούθηση και ανάλυση της συνήθους συμπεριφοράς ανθρώπων και μηχανών στον οργανισμό σας.

Εάν υπάρχει απόκλιση από το κανονικό πρότυπο, το σύστημα UEBA την εντοπίζει και εκτελεί μια ανάλυση που καθορίζει εάν η ασυνήθιστη συμπεριφορά αποτελεί πραγματική απειλή ή όχι.

Η UEBA απορροφά δεδομένα από διαφορετικές πηγές καταγραφής, όπως βάση δεδομένων, Windows AD, VPN, διακομιστή μεσολάβησης, σήμα, αρχεία και τελικά σημεία για την εκτέλεση αυτής της ανάλυσης. Χρησιμοποιώντας αυτές τις εισροές και τη μαθημένη συμπεριφορά, η UEBA μπορεί να συγχωνεύσει τις πληροφορίες για να δημιουργήσει μια τελική βαθμολογία για την κατάταξη κινδύνου και να στείλει μια λεπτομερή αναφορά στους αναλυτές ασφαλείας.

Για παράδειγμα, η UEBA μπορεί να δει έναν υπάλληλο που έρχεται μέσω VPN από την Αφρική για πρώτη φορά. Ακριβώς επειδή η συμπεριφορά του υπαλλήλου είναι ανώμαλη δεν σημαίνει ότι αποτελεί απειλή. ο χρήστης μπορεί απλώς να ταξιδεύει. Ωστόσο, εάν ο ίδιος υπάλληλος στο τμήμα ανθρώπινων πόρων αποκτήσει ξαφνικά πρόσβαση στο υποδίκτυο χρηματοδότησης, η UEBA θα αναγνωρίσει τις δραστηριότητες του υπαλλήλου ως ύποπτες και θα ειδοποιήσει την ομάδα ασφαλείας.

Εδώ είναι ένα άλλο σχετικό σενάριο.

Ο Χάρι, ένας υπάλληλος στο νοσοκομείο Mount Sinai στη Νέα Υόρκη, αναζητά απελπισμένα χρήματα. Τη συγκεκριμένη ημέρα, ο Χάρι περιμένει να φύγουν όλοι από το γραφείο και στη συνέχεια κατεβάζει τις ευαίσθητες πληροφορίες των ασθενών σε μια συσκευή USB στις 7 μ.μ. Σκοπεύει να πουλήσει τα κλεμμένα δεδομένα στη μαύρη αγορά για ένα υψηλό δολάριο.

Ευτυχώς, το Mount Sinai Hospital χρησιμοποιεί μια λύση UEBA, η οποία παρακολουθεί τη συμπεριφορά κάθε χρήστη και οντότητας εντός του νοσοκομειακού δικτύου.

Παρόλο που ο Χάρι έχει άδεια πρόσβασης σε πληροφορίες ασθενών, το σύστημα UEBA αυξάνει τη βαθμολογία κινδύνου του όταν εντοπίζει μια απόκλιση από τις συνήθεις δραστηριότητές του, οι οποίες συνήθως περιλαμβάνουν προβολή, δημιουργία και επεξεργασία αρχείων ασθενών μεταξύ 9 π.μ. και 5 μ.μ.

Όταν ο Χάρι προσπαθεί να αποκτήσει πρόσβαση στις πληροφορίες στις 7 μ.μ., το σύστημα εντοπίζει παρατυπίες προτύπων και χρονισμού και εκχωρεί μια βαθμολογία κινδύνου.

Μπορείτε να ρυθμίσετε το σύστημά σας UEBA ώστε απλώς να δημιουργεί μια ειδοποίηση για την ομάδα ασφαλείας για να προτείνει περαιτέρω έρευνα ή μπορείτε να το ρυθμίσετε ώστε να προβεί σε άμεσες ενέργειες, όπως η αυτόματη απενεργοποίηση της συνδεσιμότητας δικτύου για αυτόν τον υπάλληλο λόγω της ύποπτης κυβερνοεπίθεσης.

Χρειάζομαι μια λύση UEBA;

Μια λύση UEBA είναι απαραίτητη για τους οργανισμούς, επειδή οι χάκερ πραγματοποιούν πιο εξελιγμένες επιθέσεις που γίνονται όλο και πιο δύσκολο να εντοπιστούν. Αυτό ισχύει ιδιαίτερα σε περιπτώσεις όπου η απειλή προέρχεται από μέσα.

  Αποτρέψτε άλλους από την επεξεργασία σημαντικών τμημάτων ενός κοινόχρηστου αρχείου Word

Σύμφωνα με πρόσφατες στατιστικές για την ασφάλεια στον κυβερνοχώρο, περισσότερο από 34% εταιρείες επηρεάζονται από εσωτερικές απειλές παγκοσμίως. Και επιπλέον, το 85% των επιχειρήσεων λέει ότι είναι δύσκολο να ποσοτικοποιηθεί το πραγματικό κόστος μιας επίθεσης εμπιστευτικών πληροφοριών.

Ως αποτέλεσμα, οι ομάδες ασφαλείας στρέφονται προς νεότερες προσεγγίσεις ανίχνευσης και απόκρισης συμβάντων (IR). Για να εξισορροπήσουν και να ενισχύσουν τα συστήματα ασφαλείας τους, οι αναλυτές ασφαλείας συγχωνεύουν τεχνολογίες όπως τα αναλυτικά στοιχεία συμπεριφοράς χρηστών και οντοτήτων (UEBA) με τα συμβατικά SIEM και άλλα παλαιού τύπου συστήματα πρόληψης.

Η UEBA σας παρέχει ένα πιο ισχυρό σύστημα ανίχνευσης απειλών από εσωτερικές πληροφορίες σε σύγκριση με άλλες παραδοσιακές λύσεις ασφαλείας. Παρακολουθεί όχι μόνο την ανώμαλη ανθρώπινη συμπεριφορά αλλά και τις ύποπτες πλευρικές κινήσεις. Η UEBA παρακολουθεί επίσης τις δραστηριότητες στις υπηρεσίες cloud, τις κινητές συσκευές και τις συσκευές Internet of Things.

Ένα εξελιγμένο σύστημα UEBA απορροφά δεδομένα από όλες τις διαφορετικές πηγές καταγραφής και δημιουργεί μια λεπτομερή αναφορά της επίθεσης για τους αναλυτές ασφαλείας σας. Αυτό εξοικονομεί την ομάδα ασφαλείας σας από τον χρόνο που αφιερώνει σε αμέτρητα αρχεία καταγραφής για να προσδιορίσει την πραγματική ζημιά λόγω επίθεσης.

Εδώ είναι μερικές από τις πολλές περιπτώσεις χρήσης της UEBA.

Κορυφαίες 6 περιπτώσεις χρήσης UEBA

#1. Η UEBA εντοπίζει κατάχρηση προνομίων εσωτερικών πληροφοριών όταν οι χρήστες εκτελούν επικίνδυνες δραστηριότητες εκτός της καθιερωμένης κανονικής συμπεριφοράς.

#2. Η UEBA συγχωνεύει ύποπτες πληροφορίες από διαφορετικές πηγές για να δημιουργήσει μια βαθμολογία κινδύνου για την κατάταξη κινδύνου.

#3. Η UEBA πραγματοποιεί ιεράρχηση περιστατικών μειώνοντας τα ψευδώς θετικά. Εξαλείφει την κόπωση συναγερμού και δίνει τη δυνατότητα στις ομάδες ασφαλείας να επικεντρωθούν σε ειδοποιήσεις υψηλού κινδύνου.

#4. Η UEBA αποτρέπει την απώλεια δεδομένων και την εξαγωγή δεδομένων, επειδή το σύστημα στέλνει ειδοποιήσεις όταν εντοπίζει ευαίσθητα δεδομένα που μετακινούνται εντός του δικτύου ή μεταφέρονται εκτός δικτύου.

#5. Η UEBA βοηθά στον εντοπισμό πλευρικών κινήσεων χάκερ εντός του δικτύου που μπορεί να έχουν κλέψει τα διαπιστευτήρια σύνδεσης υπαλλήλων.

#6. Η UEBA παρέχει επίσης αυτοματοποιημένες απαντήσεις σε περιστατικά, επιτρέποντας στις ομάδες ασφαλείας να ανταποκρίνονται σε συμβάντα ασφαλείας σε πραγματικό χρόνο.

Πώς η UEBA βελτιώνει το UBA και τα παλαιού τύπου συστήματα ασφαλείας όπως το SIEM

Η UEBA δεν αντικαθιστά άλλα συστήματα ασφαλείας, αλλά αντιπροσωπεύει μια σημαντική βελτίωση που χρησιμοποιείται παράλληλα με άλλες λύσεις για πιο αποτελεσματική ασφάλεια στον κυβερνοχώρο. Η UEBA διαφέρει από την ανάλυση συμπεριφοράς χρηστών (UBA) στο ότι η UEBA περιλαμβάνει “Οντότητες” και “Συμβάντα”, όπως διακομιστές, δρομολογητές και τελικά σημεία.

Μια λύση UEBA είναι πιο ολοκληρωμένη από την UBA επειδή παρακολουθεί μη ανθρώπινες διαδικασίες και μηχανικές οντότητες για να εντοπίζει με μεγαλύτερη ακρίβεια τις απειλές.

Το SIEM σημαίνει πληροφορίες ασφαλείας και διαχείριση συμβάντων. Η παραδοσιακή παλαιού τύπου SIEM ενδέχεται να μην είναι σε θέση να ανιχνεύσει εξελιγμένες απειλές από μόνη της, επειδή δεν έχει σχεδιαστεί για την παρακολούθηση απειλών σε πραγματικό χρόνο. Και λαμβάνοντας υπόψη ότι οι χάκερ συχνά αποφεύγουν απλές εφάπαξ επιθέσεις και αντ’ αυτού εμπλέκονται σε μια αλυσίδα εξελιγμένων επιθέσεων, μπορούν να μείνουν απαρατήρητοι από παραδοσιακά εργαλεία ανίχνευσης απειλών όπως το SIEM για εβδομάδες ή και μήνες.

  Πώς να απενεργοποιήσετε το Battery Health Management σε Mac

Μια εξελιγμένη λύση UEBA αντιμετωπίζει αυτόν τον περιορισμό. Τα συστήματα UEBA αναλύουν δεδομένα που αποθηκεύονται από τη SIEM και συνεργάζονται για την παρακολούθηση των απειλών σε πραγματικό χρόνο, επιτρέποντάς σας να ανταποκρίνεστε σε παραβιάσεις γρήγορα και χωρίς κόπο.

Επομένως, με τη συγχώνευση των εργαλείων UEBA και SIEM, οι οργανισμοί μπορούν να είναι πολύ πιο αποτελεσματικοί στον εντοπισμό και την ανάλυση απειλών, να αντιμετωπίζουν γρήγορα τα τρωτά σημεία και να αποφεύγουν επιθέσεις.

Βέλτιστες πρακτικές Analytics συμπεριφοράς χρήστη και οντοτήτων

Ακολουθούν πέντε βέλτιστες πρακτικές για τα αναλυτικά στοιχεία συμπεριφοράς των χρηστών που παρέχουν πληροφορίες σχετικά με τα πράγματα που πρέπει να κάνετε κατά τη δημιουργία μιας βασικής γραμμής για τη συμπεριφορά των χρηστών.

#1. Ορίστε περιπτώσεις χρήσης

Καθορίστε τις περιπτώσεις χρήσης που θέλετε να εντοπίσει η λύση της UEBA. Αυτά μπορεί να είναι ο εντοπισμός προνομιακής κατάχρησης λογαριασμού, παραβίαση διαπιστευτηρίων ή εσωτερικές απειλές. Ο ορισμός των περιπτώσεων χρήσης σάς βοηθά να προσδιορίσετε ποια δεδομένα θα συλλέξετε για παρακολούθηση.

#2. Ορίστε τις πηγές δεδομένων

Όσο περισσότερους τύπους δεδομένων μπορούν να χειριστούν τα συστήματά σας UEBA, τόσο πιο ακριβής θα είναι η γραμμή βάσης. Ορισμένες πηγές δεδομένων περιλαμβάνουν αρχεία καταγραφής συστήματος ή δεδομένα ανθρώπινου δυναμικού, όπως το ιστορικό απόδοσης των εργαζομένων.

#3. Καθορίστε συμπεριφορές σχετικά με τα δεδομένα που θα συλλεχθούν

Αυτό θα μπορούσε να περιλαμβάνει τις ώρες εργασίας του υπαλλήλου, τις εφαρμογές και τις συσκευές στις οποίες έχουν συχνά πρόσβαση και τους ρυθμούς πληκτρολόγησης. Με αυτά τα δεδομένα, μπορείτε να κατανοήσετε καλύτερα τους πιθανούς λόγους για ψευδώς θετικά αποτελέσματα.

#4. Ορίστε μια διάρκεια για τον καθορισμό της γραμμής βάσης

Κατά τον καθορισμό της διάρκειας της βασικής περιόδου σας, είναι σημαντικό να λάβετε υπόψη τους στόχους ασφαλείας της επιχείρησής σας και τις δραστηριότητες των χρηστών.

Η περίοδος έναρξης δεν πρέπει να είναι πολύ μικρή ή πολύ μεγάλη. Αυτό συμβαίνει επειδή ενδέχεται να μην μπορείτε να συλλέξετε τις σωστές πληροφορίες εάν τερματίσετε τη βασική διάρκεια πολύ γρήγορα, με αποτέλεσμα υψηλό ποσοστό ψευδώς θετικών αποτελεσμάτων. Από την άλλη πλευρά, ορισμένες κακόβουλες δραστηριότητες ενδέχεται να περάσουν κανονικά, εάν καθυστερήσετε να συλλέξετε τις βασικές πληροφορίες.

#5. Ενημερώνετε τακτικά τα βασικά σας δεδομένα

Ίσως χρειαστεί να αναδημιουργείτε τακτικά τα βασικά σας δεδομένα, επειδή οι δραστηριότητες χρηστών και οντοτήτων αλλάζουν συνεχώς. Ένας υπάλληλος μπορεί να προαχθεί και να αλλάξει τα καθήκοντα και τα έργα του, το επίπεδο των προνομίων και τις δραστηριότητές του. Τα συστήματα UEBA μπορούν να ρυθμιστούν αυτόματα ώστε να συλλέγουν δεδομένα και να προσαρμόζουν τα βασικά δεδομένα όταν συμβαίνουν αλλαγές.

Τελικές Λέξεις

Καθώς εξαρτιόμαστε όλο και περισσότερο από την τεχνολογία, οι απειλές για την ασφάλεια στον κυβερνοχώρο γίνονται πιο περίπλοκες. Μια μεγάλη επιχείρηση πρέπει να προστατεύει τα συστήματά της που διαθέτουν ευαίσθητα δεδομένα των δικών της και των πελατών της για να αποφευχθούν παραβιάσεις ασφάλειας μεγάλης κλίμακας. Η UEBA προσφέρει ένα σύστημα απόκρισης συμβάντων σε πραγματικό χρόνο που μπορεί να αποτρέψει επιθέσεις.