Розуміння УЄБА та її ролі у реагуванні на інциденти

Автор

Зломи безпеки стають все більш поширеними у цифровому світі. УЄБА допомагає організаціям виявляти ці інциденти та реагувати на них.

Аналітика поведінки користувачів і суб’єктів (UEBA) раніше була відома як Аналітика поведінки користувачів (UBA). Це рішення кібербезпеки, яке використовує аналітику, щоб отримати розуміння того, як зазвичай поводяться користувачі (люди) і організації (мережеві пристрої та сервери) в організації, щоб виявляти аномальну активність і реагувати на неї в режимі реального часу.

УЄБА може виявити та попередити аналітиків безпеки про ризиковані зміни та підозрілу поведінку, які можуть вказувати на:

  • Бічний рух
  • Зловживання привілейованим обліковим записом
  • Підвищення привілеїв
  • Компроміс облікових даних або
  • Інсайдерські загрози

УЄБА також додатково оцінює рівень загрози та надає оцінку ризику, яка може допомогти визначити відповідну відповідь.

Читайте далі, щоб дізнатися про те, як працює UEBA, чому організації переходять на UEBA, основні компоненти UEBA, роль UEBA у реагуванні на інциденти та найкращі практики UEBA.

Як працює аналітика поведінки користувачів і об’єктів?

Аналітика поведінки користувачів і об’єктів спочатку збирає інформацію про очікувану поведінку людей і машин у вашій організації зі сховищ даних, таких як озеро даних, сховище даних або через SIEM.

Потім UEBA використовує передові аналітичні підходи для обробки цієї інформації для визначення та подальшого визначення базових моделей поведінки: звідки працівник входить, рівень його привілеїв, файли, сервери, до яких він часто звертається, час і частота доступу та пристрої, які вони використовують для доступу.

Потім UEBA постійно відстежує дії користувачів і організацій, порівнює їх із базовою поведінкою та вирішує, які дії можуть призвести до атаки.

UEBA може знати, коли користувач займається своїми звичайними справами, а коли відбувається атака. Хоча хакер може отримати доступ до даних для входу співробітника, він не зможе імітувати його звичайну діяльність і поведінку.

Рішення UEBA складається з трьох основних компонентів:

Аналітика даних: UEBA збирає та організовує дані користувачів та організацій, щоб створити стандартний профіль типових дій кожного користувача. Потім формулюються та застосовуються статистичні моделі для виявлення аномальної активності та сповіщення групи безпеки.

Інтеграція даних: щоб зробити систему більш стійкою, UEBA порівнює дані, отримані з різних джерел, наприклад системні журнали, дані захоплення пакетів та інші набори даних, з даними, зібраними з існуючих систем безпеки.

  Знайте про основну схему: зірка проти сніжинки

Представлення даних: Процес, за допомогою якого система UEBA передає свої висновки та відповідну відповідь. Цей процес зазвичай включає надсилання запиту аналітикам безпеки для дослідження незвичайної поведінки.

Роль УЄБА у реагуванні на інциденти

Аналітика поведінки користувачів і об’єктів використовує машинне та глибоке навчання для моніторингу й аналізу звичайної поведінки людей і машин у вашій організації.

Якщо є відхилення від звичайної моделі, система UEBA виявляє це та проводить аналіз, який визначає, чи становить незвичайна поведінка реальну загрозу чи ні.

UEBA отримує дані з різних джерел журналу, таких як база даних, Windows AD, VPN, проксі-сервер, бейдж, файли та кінцеві точки, щоб виконати цей аналіз. Використовуючи ці вхідні дані та навчену поведінку, UEBA може об’єднати інформацію, щоб скласти остаточну оцінку для рейтингу ризиків і надіслати детальний звіт аналітикам безпеки.

Наприклад, UEBA може спостерігати за співробітником, який вперше приходить через VPN з Африки. Те, що поведінка працівника ненормальна, не означає, що це загроза; користувач може просто подорожувати. Однак, якщо той самий співробітник відділу кадрів раптом отримає доступ до фінансової підмережі, УЄБА визнає діяльність цього співробітника підозрілою та повідомить групу безпеки.

Ось ще один схожий сценарій.

Гаррі, працівник лікарні Маунт-Сінай у Нью-Йорку, відчайдушно потребує грошей. Цього конкретного дня Гаррі чекає, поки всі вийдуть з офісу, а потім о 7 вечора завантажує конфіденційну інформацію пацієнтів на USB-пристрій. Він має намір продати викрадені дані на чорному ринку за високий долар.

На щастя, лікарня Mount Sinai використовує рішення UEBA, яке відстежує поведінку кожного користувача та організації в мережі лікарень.

Незважаючи на те, що Гаррі має дозвіл на доступ до інформації про пацієнта, система UEBA підвищує його оцінку ризику, коли виявляє відхилення від його звичайних дій, які зазвичай передбачають перегляд, створення та редагування карт пацієнтів між 9 ранку та 5 вечора.

Коли Гаррі намагається отримати доступ до інформації о 7 годині вечора, система визначає шаблони та часові порушення та призначає оцінку ризику.

Ви можете налаштувати свою систему UEBA так, щоб просто створити сповіщення для команди безпеки, щоб запропонувати подальше розслідування, або ви можете налаштувати її на вжиття негайних заходів, як-от автоматичне відключення підключення до мережі для цього співробітника через підозрювану кібератаку.

Чи потрібне мені рішення UEBA?

Рішення UEBA має важливе значення для організацій, оскільки хакери здійснюють більш складні атаки, які стає все важче виявити. Особливо це стосується випадків, коли загроза виходить зсередини.

  Як створити опитування в Zoom Meetings

Згідно з останніми статистичними даними кібербезпеки, більше 34% компаній у всьому світі постраждали від внутрішніх загроз. Крім того, 85% компаній стверджують, що важко визначити реальну вартість інсайдерської атаки.

У результаті служби безпеки переходять на новіші підходи до виявлення та реагування на інциденти (IR). Щоб збалансувати та покращити свої системи безпеки, аналітики безпеки об’єднують такі технології, як аналіз поведінки користувачів і об’єктів (UEBA), зі звичайними SIEM та іншими застарілими системами запобігання.

UEBA надає вам потужнішу систему виявлення внутрішніх загроз порівняно з іншими традиційними рішеннями безпеки. Він відстежує не лише аномальну поведінку людини, але й підозрілі бічні рухи. UEBA також відстежує діяльність у ваших хмарних сервісах, мобільних пристроях і пристроях Інтернету речей.

Складна система UEBA отримує дані з усіх різних джерел журналів і створює докладний звіт про атаку для ваших аналітиків безпеки. Це економить вашій команді безпеки час, витрачений на перегляд незліченних журналів для визначення фактичного збитку внаслідок атаки.

Ось деякі з багатьох випадків використання UEBA.

6 найкращих випадків використання УЄБА

#1. UEBA виявляє зловживання привілеями інсайдерів, коли користувачі виконують ризиковані дії, що виходять за межі встановленої нормальної поведінки.

#2. УЄБА поєднує підозрілу інформацію з різних джерел, щоб створити оцінку ризику для рейтингу ризиків.

#3. УЄБА визначає пріоритетність інцидентів, зменшуючи помилкові спрацьовування. Це усуває втому від попереджень і дає змогу командам безпеки зосередитися на попередженнях високого ризику.

#4. UEBA запобігає втраті та викраденню даних, оскільки система надсилає сповіщення, коли виявляє, що конфіденційні дані переміщуються в мережі або передаються з мережі.

#5. UEBA допомагає виявляти бічне переміщення хакерів у мережі, які, можливо, викрали облікові дані співробітників.

#6. УЄБА також забезпечує автоматичне реагування на інциденти, що дозволяє командам безпеки реагувати на інциденти безпеки в режимі реального часу.

Як UEBA покращує UBA та застарілі системи безпеки, такі як SIEM

UEBA не замінює інші системи безпеки, але представляє значне вдосконалення, яке використовується разом з іншими рішеннями для більш ефективної кібербезпеки. UEBA відрізняється від аналітики поведінки користувачів (UBA) тим, що UEBA включає «сутності» та «події», такі як сервери, маршрутизатори та кінцеві точки.

Рішення UEBA є більш комплексним, ніж UBA, оскільки воно відстежує нелюдські процеси та машинні об’єкти для більш точного визначення загроз.

SIEM означає керування інформацією про безпеку та подіями. Традиційний застарілий SIEM може бути не в змозі самостійно виявляти складні загрози, оскільки він не призначений для моніторингу загроз у реальному часі. І враховуючи, що хакери часто уникають простих одноразових атак і натомість беруть участь у ланцюжку складних атак, традиційні інструменти виявлення загроз, такі як SIEM, можуть залишатися непоміченими протягом тижнів або навіть місяців.

  Як користуватися новою функцією глибокого посилання в Google Chrome

Складне рішення UEBA усуває це обмеження. Системи UEBA аналізують дані, що зберігаються в SIEM, і працюють разом, щоб відстежувати загрози в режимі реального часу, дозволяючи вам швидко й без зусиль реагувати на порушення.

Тому, об’єднавши інструменти UEBA та SIEM, організації можуть набагато ефективніше виявляти та аналізувати загрози, швидко усувати вразливості та уникати атак.

Найкращі методи аналізу поведінки користувачів і суб’єктів

Нижче наведено п’ять найкращих методів аналітики поведінки користувачів, які дають уявлення про те, що потрібно робити під час створення базової лінії для поведінки користувачів.

#1. Визначте випадки використання

Визначте випадки використання, які ви хочете визначити у своєму рішенні UEBA. Це може бути виявлення зловживань привілейованим обліковим записом, компрометації облікових даних або внутрішніх загроз. Визначення варіантів використання допомагає визначити, які дані збирати для моніторингу.

#2. Визначте джерела даних

Чим більше типів даних можуть обробляти ваші системи UEBA, тим точнішою буде базова лінія. Деякі джерела даних включають системні журнали або дані про людські ресурси, наприклад історію ефективності співробітників.

#3. Визначте поведінку, дані про які збиратимуться

Це може включати робочий час працівника, програми та пристрої, до яких вони часто звертаються, а також ритми набору тексту. Маючи ці дані, ви зможете краще зрозуміти можливі причини помилкових спрацьовувань.

#4. Встановіть тривалість для встановлення базової лінії

Визначаючи тривалість базового періоду, важливо враховувати цілі безпеки вашого бізнесу та дії користувачів.

Базовий період не повинен бути занадто коротким або занадто довгим. Це пов’язано з тим, що ви не зможете зібрати правильну інформацію, якщо закінчите базову тривалість надто швидко, що призведе до високого рівня помилкових спрацьовувань. З іншого боку, деякі зловмисні дії можуть розглядатися як звичайні, якщо ви надто довго збираєте базову інформацію.

#5. Регулярно оновлюйте базові дані

Вам може знадобитися регулярно перебудовувати базові дані, оскільки дії користувачів і об’єктів постійно змінюються. Співробітник може отримати підвищення та змінити свої завдання та проекти, рівень привілеїв та діяльність. Системи UEBA можна автоматично налаштувати на збір даних і коригування базових даних, коли відбуваються зміни.

Заключні слова

Оскільки ми все більше покладаємося на технології, загрози кібербезпеці стають складнішими. Велике підприємство має захищати свої системи, які зберігають конфіденційні дані як його власні, так і своїх клієнтів, щоб уникнути масштабних порушень безпеки. УЄБА пропонує систему реагування на інциденти в реальному часі, яка може запобігти атакам.