Какво е UEBA (Анализ на поведението на потребителите и субектите)?
Има много начини за поддържане на мрежата защитена. Най-добрите методи обикновено включват софтуерни решения, които се борят със зловреден код или следят за опити за неоторизиран достъп отвън. Въпреки това,един аспект, който често се приема с лека ръка или дори се игнорира, са атаките отв рамките намрежата – от потребители зад защитната стена.
Тези видове атаки могат да бъдат ограничени с помощта на инструменти на UEBA.
Е, какво е УЕБА?
Анализ на поведението на потребителите и субектите (UEBA)е процес на киберсигурност, койтовключва:
- Ние наблюдаваме данните за нормална употреба и поведениена потребители и субекти.
- Задаване на базова линияизползвайки тези данни.
- Проследяване на текущите им дейности в реално време, за да се забележат евентуални отклоненияот базовата линия.
След това тези отклонения се анализират, за да се намерят индикации за злонамерена дейност от потребител или юридическо лице.
UEBA използва мрежови събития– обикновено големи набори от данни, съхранявани като регистрационни файлове и одитни пътеки – за моделиране на типичното и нетипичното поведение на потребителите и устройствата в мрежата.
Процесът използвамашинно обучение,алгоритми,статистика, ианализ на сигнатури на заплахивърху минали данни. След това се сравнява с текущите ежедневни дейности на потребителите, които след това се класифицират като „нормални“ или потенциално реални“заплахи“.
Като пример, нека приемем, че потребителят обикновено изтегля 15MB данни всеки ден. Ако внезапно започнат да изтеглят гигабайти данни, това би било извън нормата и класифицирано като отклонение, което изисква внимание.
Някои дейности, които могат да бъдат открити с помощта на този метод, включваткомпрометирани идентификационни данни,странични движенияи други злонамерени дейности.
Критична точка за разбиране тук би била тазиUEBA не проследява събития, свързани със сигурността, нито наблюдава устройства. Вместо,фокусира се върху мрежатадейностина потребители и устройства, докато вършат бизнеса си. Следователно може да се каже, четова е инструмент, който държи под око вътрешни лица – обикновено служители – на които са откраднати идентификационните им данни или умишлено са станали измамници.Освен това се използва за спиране на притежатели на акаунти, които вече имат достъпкъм мрежата и свързаните с нея активи от извършване на целеви атаки или опит за извършване на измама.И накрая, той също проследява приложения, устройства и сървъриза да се гарантира, че тези злонамерени потребители не ги експлоатират.
Разлика между САБ и УЕБА
Преди УЕБА имахмеUBA – Анализ на потребителското поведение. Този процес се фокусира само върху човешкия аспект; следеше потребителите и нищо друго.
Сега,UEBA разширява UBA, за да включи юридически лицакато рутери, крайни точки и сървъри. Това създаде по-стабилен инструмент за сигурност заоткриване на сложни атаки чрез съпоставяне на входове от потребител, устройство и IP адрес.
Това разширение стана необходимост, когато беше признато, че в случай на заплаха, обектите могат също да се използват като източници на информация, както и да помагат на администраторите да определят точно източниците на заплахи.
Това е още по-важно днес, когато виждаме възхода на всеки вид свързано устройство, което съставлява това, което сега наричаме „Интернет на нещата' илиIoT. С нарастването на броя на тези устройства нараства и броят на потенциалните входни точки за атака.
Как работи UEBA?
Процесът на UEBA включва свързване на мрежови дейности към конкретни потребителивместо хардуер или техните IP адреси.
Източникът на данни обикновено са общи хранилища на данни – като регистрационни файлове и одитни пътеки – които се съхраняват в езера от данни или хранилища за данни . Изходните данни могат също да идват от информация за сигурността и управление на събития ( SIEM ) инструменти.
Забележка: UEBA интегрира информация в регистрационни файлове, заснети пакети и подобни междуорганизационни набори от данни, които обикновено се улавят от SIEM инструменти. Ето защо UEBA и SIEM често се прилагат заедно.
Този уникален подход за наблюдение на поведението на хора и обекти рисува ясна картина на всякакви необичайни дейности, които може дори да не бъдат забелязани, да не говорим за маркирани, от традиционните инструменти за наблюдение на периметъра. Нещо повече, дори и най-малките отклонения могат да бъдат конфигурирани да задействат предупреждения за заплаха, което позволява на администраторите да преценят дали това наистина е ранна индикация за заплаха.
Данните, които се използват за анализа, съдържат информация като:
- Откъде влиза потребителят
- Файловете, приложенията и сървърите, които редовно използват
- Ролите и привилегиите, които са им възложени
- Местоположението, честотата и времето на достъп
- Свързването или IoT устройствата, използвани за достъп
UEBA използва тези входни данни, за да идентифицира атаки, които не са базирани на злонамерен софтуер, да оцени нивата на заплаха, да създаде оценки на риска и да реши дали това трябва да бъде доведено до вниманието на администраторите или не. Инструментът може дори да им помогне да ги насочат към правилния отговор.
Използвайки тези данни, UEBA може да хване виновник, който например е получил достъп до акаунта на потребител, тъй като няма да може да емулира точно дейностите на своите жертви.
Какъв е обхватът на UEBA? Или какво може да защити?
Освен отатаки от мрежата на организацията,UEBA може също така да наблюдава облачни активи, които се предоставят динамично или достъпни от разстояние– нещо, което би било трудно да се направи с помощта на традиционни инструменти за сигурност, предимно ако са внедрени на място, в рамките на локалната мрежа.
Какви атрибути разглежда УЕБА?
Един добър инструмент на UEBA щенаблюдавайте няколко атрибутаза да му помогне да открива и предупреждава за подозрителни дейности бързо и точно.В допълнение, комбинацията от функции ще позволи по-всеобхватна базова линия, която обхваща множество човешки характеристики,което ще затрудни заблудата.
Някои основни атрибути за наблюдение включват:
- Комуникациявключва следене на имейли, чат и VoIP данни за проследяване на хората, с които потребителите взаимодействат.
- Система– техните цифрови отпечатъци и как се държат, когато са свързани, е ценен източник на информация, която може да бъде извлечена от крайни точки, браузъри, споделени файлове и навици за влизане; тези данни могат също да бъдат премахнати от SIEM.
- Човешки ресурси– мотивацията зад всяка подозрителна дейност и защо тя може да е злонамерен опит може да бъде извлечена от прегледите на работата на служителите в HR и Active Directory (AD).
- Физически данни за местоположение– проследяването на физически движения в помещенията може да предостави ценна информация; това може да бъде извлечено чрез наблюдение на данни за значки, местоположения за влизане и хронология на пътувания.
Както виждаме, обединяването на всички тези набори от данни може да нарисува ясна картина за даден потребител, неговите дейности и – ако е приложимо – техните злонамерени намерения.
Как се изгражда базова линия?
Един въпрос, който трябва да бъде зададен тук, е как да се изгради базовата линия, която ще ви помогне да следите потребителя. Е, трябва да преминете през няколко стъпки:
- Дефиниране на случаи на употреба– още от самото начало трябва да е ясно какво ще се проследява. Примери за това са откриване на злонамерени потребители, компрометирани акаунти, известни заплахи за сигурността или комбинация от всички.
- Дефиниране на източници на данни– тук се определя произходът на данните за изграждане на поведенчески профили на всеки потребител. Примери за източници включват регистрационни файлове, имейли, социални медийни платформи, отчети за преглед на човешки ресурси, потоци от мрежови пакети данни и SIEM.
- Определяне на поведението за наблюдение– решението на UEBA трябва да обхваща възможно най-много атрибути. В този момент са описани подробностите. Това може да са работно време, скорост на писане, корпоративни приложения и достъп до данни, посетени уебсайтове, динамика на мишката и данни, които не са свързани с ИТ, като въведени данни от HR относно нивата на удовлетвореност от работата на служителите.
- Определяне на времето за установяване на базовата линия– въпреки че служителите обикновено действат едно и също всеки ден, външни фактори, като дни на изплащане на заплати, седмици на приключване на бюджета или грипен сезон, могат да доведат до промени в навиците в работния ден. Тези фактори трябва да се вземат под внимание и да се избягват при планирането на основния график. Събирането на данни може да отнеме от седмица до 90 дни, през които УЕБА „научава“ за потребителите и установява базова линия. Администраторите също трябва да имат достатъчно време, за да се уверят, че базовите линии наистина са разумни.
- Определяне на политики и осигуряване на обучение– след като решението на UEBA е готово за работа, политиките за сигурност трябва да бъдат приложени и потребителите трябва да бъдат запознати с тях. Когато е необходимо, трябва да се даде обучение, за да се гарантира, че всеки знае какво и как да получи достъп до информацията, в която е упълномощен да бъде запознат. И накрая, всички трябва да се включат – човешки ресурси, правни отдели, администратори, екипи по сигурността и самите потребители.
- Пробен период– всяка система трябва да премине пробен период преди да бъде въведена в производство. Същото важи и за УЕБА. По време на пробния период грешки и несъответствия могат да бъдат наблюдавани и изгладени.
- Пускане на живо и наблюдение– след като UEBA заработи, е необходимо внимателно наблюдение, за да се гарантира, че всички системи работят според очакванията. Може да са необходими промени и корекции през първите няколко месеца. Като цяло базовата линия трябва да се коригира, за да се погрижи за всички нови атрибути, въведени в организацията, като нови графици, надстройки на системата за сигурност и трансфери на служители.
Три стълба на УЕБА
Въз основа на информацията, която видяхме досега, вече можем да дефинираме трите стълба на УЕБА. Тези стълбове предвиждаткакво прави УЕБА,как го прави, ирезултатът.
Следователно, според Gartner, решенията на UEBA се дефинират в три измерения:
- Случаи на употреба– Решенията на UEBA наблюдават, откриват и докладват злонамерени дейности от потребители и субекти в корпоративна мрежа. Те също така трябва да останат уместни при анализа на мониторинга на доверен хост, откриването на измами и мониторинга на служителите, например.
- Източници на данни– решение на UEBA не трябва да се внедрява директно в мрежата или дори в ИТ средата, за да може да събира данни. Вместо това, той трябва да извлича данните от хранилища на данни като езера от данни, складове за данни или чрез SIEM.
- Анализ– Решенията на UEBA трябва да откриват аномалии, като използват различни аналитични подходи, които включват машинно обучение, правила, статистически модели, сигнатури на заплахи и др.
Какви са предимствата на UEBA?
Сега, след като дефинирахме и видяхме какво може да направи решението на UEBA, нека да разгледаме предимствата, които носи на масата:
- Това е преди всичко инструмент, който може да помогне за спирането на много вътрешни кибератакикато компрометирани акаунти, атаки с груба сила, неоторизирано създаване на нови акаунти и пробиви на данни.
- Той обхваща обхват, който повечето организации обикновено пренебрегват ине могат да бъдат проследени от традиционни инструменти като антивирусни или антизловреден софтуер решения – вътрешната заплаха.
- Внедряването на UEBA намалява броя на анализаторите по сигурносттакоито трябва да поддържат безопасна корпоративна мрежа; тези решения са автоматични, работят денонощно и изпращат предупреждения в реално време.
- Решението на UEBA може да намали бюджета и режийните разходинеобходими за поддържане на киберсигурността на организацията.
- Човешка грешка, причинена от това, че администраторите трябва да пресяват ръчно огромно количество данни за дейността, може да бъде избегната; анализът и смекчаването на заплахи могат да се извършват за минути, в реално време и точно.
- UEBA е уникален подход за сигурност, тъй като включва приемане на множество системи и източници на даннии неспазване на проследяване на предварително дефинирани правила за корелация или модели на атака;AI винаги се учи.
Има ли някакви недостатъци при използването на UEBA?
Би било несправедливо да се каже, че няма недостатъци при прилагането на UEBA. И така, ето ги:
- UEBA генерира данни, които са по-сложниотколкото средното традиционно решение за сигурност. Следователно,това изисква обучен специалистза внедряване, управление и наблюдение на системата. Анализът също така изисква научено око, за да се избегнат прибързаните заключения поради фалшиво положителни резултати.
- Въпреки че е система за сигурност,не е достатъчно да се защити една система изцяло сама по себе си. Помня,той проследява само поведението на хора и обектии нищо повече. Някои организации може да видят това като недостатък, особено когато обмислят необходимостта от допълнителен софтуер за сигурност – но не е така. Просто не е предназначен за спиране на атаки - просто предупреждава злонамерени вътрешни потребители.
Най-добри практики за прилагане на UEBA
Ето няколко точки, които трябва да имате предвид, когато се стремите към успешно внедряване на UEBA:
- Винаги обмисляйте заплахи както отвътре, така и отвън на мрежата– всички политики, правила и базови линии трябва да вземат предвид потребителите, намиращи се навсякъде.
- Трябва да се вземат предвид всички сметки– не забравяйте, че хакерите винаги могат да надстроят своите привилегии, за да увеличат възможностите си за достъп.
- UEBA трябва да се изпрати на съответните членове на екипа по сигурността– не обратно към самите потребители или друг неоторизиран персонал, например.
- КАКТО ВИДЯХМЕ ПО-ГОРЕ, обхватът на UEBA е ограничен– администраторите не трябва да отклоняват вниманието си от другите традиционни инструменти за сигурност.
- Обучете всички потребителиза минимизиране на фалшиви положителни сигнали или неволни сигнали за задействане.
- Също,обучават служители по сигурносттада четат анализите правилно, за да не правят прибързани заключения.
УЕБА е необходимост
В заключение трябва да кажем, че приемането на решение на UEBA е необходимост в днешния свят на кражби на интелектуална собственост, изтичане на технологии, хакове и пробиви на данни – всичко това се прави отвътре. Винаги се е казвало, че потребителите са най-слабото звено в киберсигурността. Комбинирането на тази информация със служители, които таят злонамерени намерения, улеснява разбирането защо имаме нужда от този тип решения.
Следователно има смисъл корпоративните данни да бъдат защитени с помощта на решенията на UEBA. Какво да правяВиемисля? Информирай ни; оставете ни коментар.