A kiberbiztonság egyre fontosabbá válik bármilyen méretű vállalkozás számára. Manapság már a kis cégek is gyakran használnak eszközöket, például SIEM-eket, tűzfalakat és VPN-eket a behatolás elleni védelem érdekében.
A hackerek azonban egyre kifinomultabbak. Sikerük attól függ, hogy képesek-e támadásokat végrehajtani anélkül, hogy az ilyen eszközök észlelnék őket. És ez gyakran sikerül is nekik. Ennek egyik lehetséges megoldása a Felhasználói és entitási viselkedéselemzés.
Tehát mi az UEBA, és az Ön vállalkozása használja? Alább megtudjuk.
Mi az a felhasználói és entitási viselkedéselemzés?
Az UEBA egy kiberbiztonsági megoldás, amely nagy adatkészleteket használ a hálózati tevékenységek modellezésére. Mind a hálózat felhasználóit, mind magát a hálózatot elemzi, például útválasztókat és IoT eszközök. Ezután gyanús tevékenységet keres, és figyelmezteti a vállalkozást, ha ilyen tevékenységet észlel.
Ezt úgy éri el, hogy létrehoz egy alapvonalat arra vonatkozóan, hogyan néz ki a normál tevékenység a hálózaton. Ezután gépi tanulást használ a rendellenes viselkedés automatikus észlelésére.
Népszerű, mert sok kiberbiztonsági terméket arra képeztek ki, hogy elsősorban rosszindulatú programokat keressen. A hackerek legyőzhetik az ilyen szoftvereket, ha belépnek a hálózatba, és egyszerűen nem telepítenek rosszindulatú fájlokat.
Ezzel szemben az UEBA bármi abnormálist kereshet. Ez lehetővé teszi a kifinomultabb támadások észlelését, amelyek nem egyeznek az ismert fenyegetésekkel.
Hogyan működik az UEBA?
Az UEBA-megoldások általában három elsődleges összetevőből állnak: Analytics, Integration és Presentation. Nézzük őket röviden:
Analitika
Az UEBA elemzi az összes hálózati felhasználó és eszköz viselkedését. Ezzel létrehoz egy alapvonalat, amely bemutatja, hogyan néz ki egy hálózat, amikor nem történik támadás. Statisztikai modellek segítségével megállapítható, hogy egy felhasználó vagy eszköz mikor viselkedik úgy, ahogyan nem kellene.
Integráció
Az UEBA-megoldásokat általában más biztonsági szoftverekkel való integrációra tervezték. Vállalkozása valószínűleg már nyomon követi a hálózati viselkedést, és az UEBA-terméknek képesnek kell lennie arra, hogy automatikusan adatokat gyűjtsön az ilyen termékekről.
Bemutatás
Az UEBA általában nem lép fel a fenyegetésekkel szemben. Ehelyett úgy tervezték, hogy bemutassa adatait az informatikai személyzetnek további vizsgálat céljából. Ez olyan egyszerű lehet, mint egy figyelmeztetés küldése. De sok UEBA-termék grafikonokat és egyéb statisztikai adatokat is készít, amelyeket a személyzet további elemzésekhez használhat fel.
Mi ellen véd az UEBA?
Az UEBA számos olyan fenyegetés ellen tud védelmet nyújtani, amelyeket más biztonsági termékek nem. Lássuk, mik ezek, jó?
Bennfentes fenyegetések
A biztonsági szoftverek gyakran nehéznek találják észleli a bennfentes fenyegetéseket. Bár a SIEM könnyen észlelheti a hálózati behatolást, előfordulhat, hogy nem észleli, hogy valaki már a hálózaton belül olyasmit csinál, amit nem kellene. A megfelelően konfigurált UEBA megérti a felhasználók szokásos viselkedését, és figyelmeztetést kell generálnia, ha a felhasználó valami mást kezd el.
Feltört felhasználói fiókok
Ha egy felhasználó rendellenesen viselkedik, azt nem mindig bennfentes fenyegetés okozza. Ez azt is jelentheti, hogy egy támadó ellopta a felhasználó fiókját. Az üzleti alkalmazottakat rendszeresen adathalászat célozza meg, ill feltört felhasználói fiókok ezért gyakori jelenségek. Az UEBA azonnal észleli a benne lévő fiókokat, amint a támadó valami szokatlan dolgot kezd el.
A privilégiumok eszkalációja
A jogosultságok kiterjesztésére akkor kerül sor, ha a felhasználó további jogosultságokat kap a hálózat más részeihez való hozzáféréshez. Ez olyan dolog, amiből a hacker profitálna. Az UEBA beállítható úgy, hogy észlelje, ha a felhasználó jogosultságait megnövelik, és riasztást küldjön vizsgálat céljából.
Brute Force Attacks
Brutális erőszakos támadások ismételt kísérletekkel jár a felhasználói fiókokhoz és hálózatokhoz való hozzáférésre. Mivel ez nyilvánvalóan nem tartozik a normál viselkedésbe, az UEBA könnyen észlelheti. Ebben a forgatókönyvben az UEBA riasztást generálhat, vagy beállítható úgy, hogy automatikusan kirúgja a támadót.
Korlátozott információ-hozzáférés
Az UEBA figyelemmel kísérheti, hogy ki fér hozzá a bizalmas információkhoz. Ezért képes megelőzni az adatszivárgást azáltal, hogy riasztást generál, amikor a felhasználó hozzáfér valamihez, ami nem szükséges a munkájához.
UEBA vs. SIEM
A biztonsági információs és eseménykezelő eszközök hasonlóak az UEBA-hoz, de nem teljesen ugyanazok. A SIEM-eszközök a hálózatot is elemzik, és riasztásokat generálnak, ha gyanús tevékenységet észlelnek.
A különbség az, hogy a SIEM csak akkor generál riasztást, ha a támadó olyasmit tesz, amelyről ismert, hogy rosszindulatú. Tehát, ha egy támadó óvatos, akkor is beléphet a hálózatba, és elkerülheti az észlelést.
Az UEBA-t úgy tervezték, hogy észlelje a támadásokat, nem a rosszindulatú, hanem a normán kívüli viselkedés miatt. Ez lehetővé teszi olyan támadások észlelését, amelyek nem egyeznek egyetlen ismert fenyegetéssel sem.
Sok SIEM-eszköz ma már beépíti az UEBA-t emiatt, de a többség nem.
Minden vállalkozás használja az UEBA-t?
Minden vállalkozásnak fontolóra kell vennie az UEBA-megoldás használatát, de sok új kiberbiztonsági megoldáshoz hasonlóan fontos mérlegelni az előnyöket és hátrányokat a bevezetés előtt.
Az UEBA képes észlelni azokat a fenyegetéseket, amelyeket a SIEM nem. Képes felvenni azokat a fenyegetéseket is, amelyeket a biztonsági személyzet esetleg figyelmen kívül hagy. Ebbe a hozzáadott védelembe gyakran megéri befektetni, figyelembe véve a sikeres kibertámadások utáni veszteségeket.
Az UEBA megoldásai automatizált védelmet is nyújtanak. Ez lehetővé teheti, hogy egy vállalkozás kisebb kiberbiztonsági részleggel rendelkezzen, és ennek következtében jelentős bérmegtakarítást érjen el.
Az UEBA hátránya, hogy költséges a megvalósítása. Lehet, hogy sok kisvállalkozás költségvetésén kívül esik, miközben nem feltétlenül szükséges. Az UEBA-megoldás megvalósításához a személyzetet is ki kell képezni a használatára, ami további költségekkel jár.
Az UEBA sem helyettesíti megfelelően más kiberbiztonsági termékeket. Míg a SIEM-termékek tartalmazhatják az UEBA-t, az UEBA nem helyettesíti a SIEM-et vagy bármely más, a vállalkozás által már meglévő biztonsági terméket.
Az UEBA kiváló védelmet kínál
Az UEBA-termékek jelentős javulást kínálnak a szabványos SIEM-termékekhez képest, és képesek azonosítani azokat a fenyegetéseket, amelyeket egyébként nem észlelnének. Míg a SIEM gyakran küzd a bennfentes fenyegetésekkel, az UEBA automatikusan észleli a jogosult felhasználók szokatlan hálózati tevékenységét.
Az, hogy az UEBA megfelelő-e vállalkozása számára, a kiberbiztonsági költségvetésétől függ. Bár az UEBA kiváló, a telepítés magas költsége és az a tény, hogy nem helyettesít más termékeket, nyilvánvaló hátrány.
