Кібернетичні атаки стають дедалі частішими в сучасному цифровому світі. Саме тому, рішення класу UEBA є вкрай важливими для організацій, адже допомагають виявляти та оперативно реагувати на подібні інциденти.
Аналітика поведінки користувачів та об’єктів (UEBA), раніше відома як аналітика поведінки користувачів (UBA), є інноваційним рішенням у сфері кібербезпеки. Воно використовує методи аналізу для розуміння типових моделей поведінки користувачів (людей) та організацій (мережевих пристроїв і серверів), з метою виявлення аномальної активності та миттєвого реагування на неї.
Система UEBA здатна виявляти та попереджати аналітиків безпеки про небезпечні зміни та підозрілі дії, які можуть свідчити про:
- Горизонтальне переміщення
- Неправомірне використання привілейованих облікових записів
- Підвищення рівня доступу
- Компрометацію облікових даних
- Внутрішні загрози
Крім того, UEBA аналізує рівень небезпеки і надає оцінку ризику, що допомагає визначити оптимальну стратегію реагування на інцидент.
Далі ми розглянемо принципи роботи UEBA, причини переходу організацій на цю систему, ключові компоненти, роль у реагуванні на інциденти, а також найкращі практики застосування.
Як працює аналітика поведінки користувачів та об’єктів?
Система UEBA спочатку збирає інформацію про типову поведінку користувачів та машин в організації з різних джерел, таких як сховища даних (озера даних, сховища даних) або через SIEM.
Потім, застосовуючи передові аналітичні методи, UEBA обробляє цю інформацію, створюючи базові моделі поведінки: звідки працівник входить в систему, його рівень доступу, які файли та сервери він найчастіше використовує, час і частоту доступу, а також пристрої, з яких він працює.
Після цього UEBA постійно моніторить активність користувачів та організацій, порівнює її з базовими моделями поведінки і виявляє дії, які можуть свідчити про атаку.
UEBA здатна розрізняти звичайну роботу користувача від дій, що можуть вказувати на кібератаку. Навіть якщо зловмисник отримає доступ до облікових даних, він не зможе імітувати типову поведінку справжнього користувача.
Рішення UEBA складається з трьох головних елементів:
Аналітика даних: UEBA агрегує та структурує дані про користувачів та об’єкти, щоб створити стандартний профіль поведінки кожного користувача. Після цього застосовуються статистичні моделі для виявлення аномальної активності та сповіщення команди безпеки.
Інтеграція даних: Для підвищення надійності, UEBA порівнює дані з різних джерел, наприклад системних журналів, даних перехоплення пакетів, а також існуючих систем безпеки.
Візуалізація даних: UEBA передає результати аналізу та відповідні рекомендації. Зазвичай це відбувається через сповіщення аналітиків безпеки про необхідність дослідження аномальної поведінки.
Роль UEBA у реагуванні на інциденти
Аналітика поведінки користувачів і об’єктів використовує методи машинного навчання та глибокого аналізу для відстеження і аналізу звичайної поведінки людей та машин в організації.
При виявленні відхилень від звичної моделі, система UEBA ідентифікує їх та проводить аналіз для визначення, чи є ця аномальна поведінка реальною загрозою.
Для цього аналізу UEBA отримує дані з різноманітних журналів, таких як бази даних, Windows AD, VPN, проксі-сервери, файли, бейджі та кінцеві точки. На основі цих даних та вивченої поведінки, UEBA об’єднує інформацію для формування оцінки ризику та детального звіту для аналітиків безпеки.
Наприклад, система UEBA може зафіксувати, що співробітник вперше підключається до мережі через VPN з Африки. Хоча ця поведінка є незвичною, це не обов’язково означає загрозу – користувач може просто подорожувати. Однак, якщо той самий співробітник з відділу кадрів раптово отримає доступ до фінансової підмережі, UEBA ідентифікує його дії як підозрілі та повідомить про це команду безпеки.
Ось ще один приклад:
Працівник лікарні Маунт-Сінай у Нью-Йорку, Гаррі, знаходиться у скрутному фінансовому становищі. Одного разу, він чекає, поки всі підуть з офісу, а потім о 7 вечора завантажує конфіденційні дані пацієнтів на USB-накопичувач. Він планує продати викрадену інформацію на чорному ринку.
На щастя, в лікарні Маунт-Сінай використовується рішення UEBA, яке відстежує поведінку кожного користувача та об’єкта в мережі.
Хоча Гаррі має доступ до інформації про пацієнтів, система UEBA підвищує його оцінку ризику, оскільки виявляє відхилення від його звичної поведінки, яка зазвичай включає перегляд, створення та редагування карток пацієнтів між 9 ранку та 5 вечора.
Коли Гаррі намагається отримати доступ до даних о 7 вечора, система розпізнає порушення часових рамок та встановлює оцінку ризику.
Система UEBA може бути налаштована так, щоб просто відправляти сповіщення команді безпеки для подальшого розслідування, або на вжиття негайних заходів, таких як автоматичне відключення користувача від мережі через підозру на кібератаку.
Чи потрібне вашій організації рішення UEBA?
Рішення UEBA є критично важливим для організацій, оскільки кібератаки стають все більш складними і важкими для виявлення, особливо коли загроза виходить зсередини.
За останніми статистичними даними з кібербезпеки, понад 34% компаній у світі стали жертвами внутрішніх загроз. Більш того, 85% організацій визнають, що складно оцінити реальну вартість внутрішніх атак.
Внаслідок цього, служби безпеки переходять на сучасні підходи до виявлення та реагування на інциденти. Для збалансування і покращення систем безпеки, аналітики безпеки комбінують технології аналізу поведінки користувачів та об’єктів (UEBA) з традиційними SIEM та іншими застарілими системами запобігання.
UEBA надає більш потужну систему для виявлення внутрішніх загроз, порівняно з іншими традиційними рішеннями безпеки. Вона відстежує не тільки аномальну поведінку людей, але і підозрілі горизонтальні переміщення. UEBA також моніторить активність у хмарних сервісах, мобільних пристроях та пристроях інтернету речей (IoT).
Складна система UEBA отримує дані з різних журналів та створює детальний звіт про атаку для аналітиків безпеки. Це заощаджує час команди безпеки, який вони б витратили на аналіз незліченних журналів для визначення реальних збитків від атаки.
Ось деякі з поширених варіантів використання UEBA.
6 основних сценаріїв застосування UEBA
#1. UEBA ідентифікує зловживання привілеями інсайдерами, коли користувачі здійснюють ризиковані дії, що виходять за рамки встановленої типової поведінки.
#2. UEBA об’єднує підозрілу інформацію з різних джерел для створення оцінки ризику.
#3. UEBA визначає пріоритетність інцидентів, зменшуючи кількість помилкових спрацювань. Це допомагає командам безпеки сконцентруватися на дійсно важливих попередженнях.
#4. UEBA запобігає втраті та викраденню даних, надсилаючи сповіщення, коли виявляє, що конфіденційна інформація переміщується в межах мережі або передається за її межі.
#5. UEBA допомагає виявляти бічні переміщення хакерів, які могли викрасти облікові дані співробітників.
#6. UEBA забезпечує автоматичне реагування на інциденти, що дозволяє командам безпеки оперативно реагувати на порушення безпеки в режимі реального часу.
Як UEBA покращує UBA та застарілі системи безпеки, такі як SIEM
UEBA не замінює інші системи безпеки, але є значним покращенням, що використовується разом з іншими рішеннями для підвищення ефективності кібербезпеки. UEBA відрізняється від аналітики поведінки користувачів (UBA) тим, що UEBA включає “об’єкти” та “події”, такі як сервери, маршрутизатори та кінцеві точки.
Рішення UEBA є більш комплексним, ніж UBA, оскільки воно відстежує процеси та об’єкти, що не є людьми, для точнішого визначення загроз.
SIEM (керування інформацією про безпеку та подіями) традиційно може не виявляти складні загрози самостійно, оскільки він не призначений для моніторингу в режимі реального часу. Враховуючи, що хакери часто не обмежуються простими атаками, а вдаються до складних ланцюжків дій, традиційні інструменти виявлення, такі як SIEM, можуть не помічати вторгнення протягом тижнів або навіть місяців.
Складні рішення UEBA усувають це обмеження. Системи UEBA аналізують дані, що зберігаються в SIEM, і працюють спільно для моніторингу загроз у режимі реального часу, дозволяючи швидко і ефективно реагувати на порушення.
Отже, поєднуючи інструменти UEBA і SIEM, організації можуть набагато ефективніше виявляти та аналізувати загрози, швидко усувати вразливості та запобігати атакам.
Найкращі практики аналізу поведінки користувачів та об’єктів
Нижче наведено п’ять найкращих методів аналітики поведінки користувачів, які допоможуть вам у створенні базової лінії для поведінки користувачів.
#1. Визначте випадки використання
Чітко визначте, які види загроз ви хочете виявляти за допомогою UEBA. Це може бути виявлення зловживань привілеями, компрометації облікових даних або внутрішніх загроз. Визначення варіантів використання допоможе визначити, які саме дані потрібно збирати для моніторингу.
#2. Визначте джерела даних
Чим більше типів даних може обробляти ваша система UEBA, тим точнішою буде базова лінія. Деякі з джерел даних можуть включати системні журнали, дані про людські ресурси (наприклад, історію роботи співробітників).
#3. Визначте поведінку, дані про яку будуть збиратися
Це може включати робочий час працівника, програми та пристрої, які він використовує найчастіше, а також його ритм набору тексту. Збір цих даних допоможе краще розуміти можливі причини помилкових спрацювань.
#4. Встановіть тривалість для створення базової лінії
Важливо врахувати цілі безпеки вашого бізнесу та дії користувачів при визначенні тривалості базового періоду.
Базовий період не повинен бути ні занадто коротким, ні занадто довгим. Занадто короткий період не дозволить зібрати достатньо інформації, що призведе до великої кількості помилкових спрацювань. Якщо ж базовий період буде занадто довгим, деякі зловмисні дії можуть бути помилково прийняті за типові.
#5. Регулярно оновлюйте базові дані
Оскільки поведінка користувачів та об’єктів постійно змінюється, базові дані потребують регулярного оновлення. Співробітник може отримати підвищення, що змінить його завдання, рівень доступу та діяльність. Системи UEBA можуть бути автоматично налаштовані на збір даних та коригування базових даних при виникненні змін.
Заключні слова
Оскільки ми все більше залежимо від технологій, загрози кібербезпеці стають складнішими. Великі підприємства повинні захищати свої системи, в яких зберігаються конфіденційні дані, як власні, так і клієнтські, для запобігання великим порушенням безпеки. UEBA пропонує систему реагування на інциденти в режимі реального часу, що дозволяє ефективно протистояти атакам.