Cybersigurnost postaje sve važnija za tvrtke svih veličina. Sada je uobičajeno da čak i male tvrtke koriste mnoštvo alata kao što su SIEM-ovi, vatrozidovi i VPN-ovi za zaštitu od upada.
Hakeri, međutim, postaju sve sofisticiraniji. Njihov uspjeh ovisi o njihovoj sposobnosti da provode napade, a da ih takvi alati ne otkriju. I često u tome uspijevaju. Jedno moguće rješenje za to je poznato kao User and Entity Behavior Analytics.
Dakle, što je UEBA i treba li je vaša tvrtka koristiti? Doznajmo u nastavku.
Što je analiza ponašanja korisnika i entiteta?
UEBA je rješenje za kibernetičku sigurnost koje koristi velike skupove podataka za modeliranje mrežne aktivnosti. Analizira i korisnike mreže i samu mrežu, kao što su usmjerivači i IoT uređaji. Zatim traži sumnjivu aktivnost i upozorava tvrtku kad god se takva aktivnost otkrije.
To postiže stvaranjem osnovne linije kako izgleda normalna aktivnost na mreži. Zatim koristi strojno učenje za automatsko otkrivanje abnormalnog ponašanja.
Popularno je jer su mnogi proizvodi za kibernetičku sigurnost obučeni da prvenstveno traže zlonamjerni softver. Hakeri mogu pobijediti takav softver ulaskom u mrežu i jednostavno ne instaliranjem zlonamjernih datoteka.
Za razliku od toga, UEBA može tražiti bilo što nenormalno. To mu omogućuje da otkrije sofisticiranije napade koji se ne podudaraju s poznatim prijetnjama.
Kako UEBA radi?
UEBA rješenja obično imaju tri primarne komponente: analitiku, integraciju i prezentaciju. Pogledajmo ih ukratko:
Analitika
UEBA analizira ponašanje svih korisnika mreže i uređaja. Na taj način stvara se baza koja ilustrira kako mreža izgleda kada se napad ne dogodi. Statistički modeli se zatim koriste za određivanje kada se korisnik ili uređaj ponaša na način na koji ne bi trebao.
Integracija
UEBA rješenja su obično dizajnirana za integraciju s drugim sigurnosnim softverom. Vaša tvrtka vjerojatno već prati ponašanje mreže, a vaš UEBA proizvod bi trebao moći automatski prikupljati podatke iz takvih proizvoda.
Prezentacija
UEBA obično ne poduzima mjere protiv prijetnji. Umjesto toga, osmišljen je tako da svoje podatke prezentira IT osoblju radi daljnje istrage. To može biti jednostavno kao slanje upozorenja. No, mnogi proizvodi UEBA-e također proizvode grafikone i druge statističke podatke koje osoblje može koristiti za obavljanje dodatnih analiza.
Od čega UEBA štiti?
UEBA može zaštititi od raznih prijetnji koje drugi sigurnosni proizvodi možda neće. Da vidimo što su, hoćemo li?
Insajderske prijetnje
Sigurnosnom softveru je to često teško otkriti insajderske prijetnje. Iako SIEM može lako otkriti upad u mrežu, možda neće otkriti da netko već unutar mreže radi nešto što ne bi trebao. Ispravno konfigurirana UEBA razumjet će kako se korisnici normalno ponašaju i trebala bi generirati upozorenje ako korisnik počne raditi nešto drugo.
Kompromitirani korisnički računi
Ako se korisnik ponaša nenormalno, to nije uvijek uzrokovano insajderskom prijetnjom. To također može značiti da je napadač ukrao korisnički račun. Poslovni zaposlenici redovito su na meti krađe identiteta i ugroženi korisnički računi stoga su česta pojava. UEBA može otkriti sastavljene račune čim napadač počne raditi nešto neobično.
Eskalacija privilegija
Povećanje privilegija događa se kada se korisniku dodijele dodatne privilegije za pristup drugim dijelovima mreže. To je nešto od čega bi haker imao koristi. UEBA se može postaviti tako da otkrije svaki put kada se povećaju privilegije korisnika i pošalje upozorenje na istragu.
Brute Force napadi
Napadi grube sile uključuju ponovljene pokušaje pristupa korisničkim računima i mrežama. Budući da to očito nije unutar normalnog ponašanja, UEBA ga može lako otkriti. U ovom scenariju, UEBA može generirati upozorenje ili se može postaviti tako da automatski izbaci napadača.
Ograničeni pristup informacijama
UEBA može pratiti tko pristupa povjerljivim informacijama. Stoga može spriječiti kršenje podataka generiranjem upozorenja kad god korisnik pristupi nečemu što nije potrebno za njihov rad.
UEBA vs. SIEM
Alati za sigurnosne informacije i upravljanje događajima slični su UEBA-i, ali nisu sasvim isti. SIEM alati također analiziraju mrežu i generiraju upozorenja kad god se otkrije sumnjiva aktivnost.
Razlika je u tome što SIEM generira upozorenje samo kada napadač učini nešto za što se zna da je zlonamjerno. Dakle, ako je napadač oprezan, i dalje može ući u mrežu i izbjeći otkrivanje.
UEBA je dizajnirana za otkrivanje napada, ne zbog zlonamjernog ponašanja, već zbog ponašanja koje je izvan norme. To mu omogućuje otkrivanje napada koji ne odgovaraju nijednoj poznatoj prijetnji.
Mnogi SIEM alati sada uključuju UEBA iz tog razloga, ali većina ne.
Trebaju li sve tvrtke koristiti UEBA-u?
Sve tvrtke trebale bi razmotriti korištenje UEBA rješenja, ali kao i mnoga nova rješenja za kibernetičku sigurnost, bitno je odvagnuti prednosti i nedostatke prije implementacije.
UEBA je sposobna otkriti prijetnje koje SIEM ne bi. Također je sposoban uhvatiti prijetnje koje sigurnosno osoblje može propustiti. U ovu dodatnu zaštitu često se isplati ulagati, s obzirom na gubitke nastale nakon uspješnog cyber napada.
UEBA rješenja također pružaju automatiziranu zaštitu. To može omogućiti poduzeću da ima manji odjel za kibernetičku sigurnost i, posljedično, osigurati značajne uštede u plaćama.
Loša strana UEBA-e je što je skupa za implementaciju. To može biti izvan proračuna mnogih malih poduzeća, iako nije strogo potrebno. Implementacija rješenja UEBA-e također će zahtijevati obuku osoblja za korištenje, dodajući dodatne troškove.
UEBA također nije prikladna zamjena za druge proizvode za kibernetičku sigurnost. Iako SIEM proizvod može uključivati UEBA-u, UEBA nije zamjena za SIEM ili bilo koje druge sigurnosne proizvode koje tvrtka već ima.
UEBA nudi vrhunsku zaštitu
UEBA proizvodi nude značajno poboljšanje u odnosu na standardne SIEM proizvode i sposobni su identificirati prijetnje koje bi inače ostale neotkrivene. Dok se SIEM često bori s unutarnjim prijetnjama, UEBA može automatski otkriti neuobičajene mrežne aktivnosti ovlaštenih korisnika.
Hoće li UEBA odgovarati vašem poslovanju ili ne, ovisi o vašem proračunu za kibernetičku sigurnost. Iako je UEBA superiorna, visoka cijena instalacije i činjenica da ne zamjenjuje druge proizvode očiti su nedostatak.