Kibernetska varnost postaja vse bolj pomembna za podjetja vseh velikosti. Zdaj je običajno, da celo majhna podjetja uporabljajo številna orodja, kot so SIEM, požarni zidovi in VPN, za zaščito pred vdori.
Hekerji pa postajajo vse bolj izpopolnjeni. Njihov uspeh je odvisen od njihove sposobnosti izvajanja napadov, ne da bi jih takšna orodja zaznala. In pogosto jim to tudi uspe. Ena možna rešitev za to je znana kot analitika vedenja uporabnikov in entitet.
Kaj je torej UEBA in ali bi jo vaše podjetje uporabljalo? Izvedemo spodaj.
Kaj je analiza vedenja uporabnikov in subjektov?
UEBA je rešitev za kibernetsko varnost, ki uporablja velike nabore podatkov za modeliranje omrežne dejavnosti. Analizira tako uporabnike omrežja kot samo omrežje, kot so usmerjevalniki in IoT naprave. Nato poišče sumljivo dejavnost in opozori podjetje, ko takšno dejavnost zazna.
To doseže tako, da ustvari izhodišče, kako izgleda običajna dejavnost v omrežju. Nato s strojnim učenjem samodejno zazna nenormalno vedenje.
Priljubljen je, ker je veliko izdelkov za kibernetsko varnost usposobljenih za predvsem iskanje zlonamerne programske opreme. Hekerji lahko premagajo takšno programsko opremo tako, da vstopijo v omrežje in preprosto ne namestijo nobenih zlonamernih datotek.
V nasprotju s tem lahko UEBA išče karkoli nenormalnega. To mu omogoča, da zazna bolj izpopolnjene napade, ki se ne ujemajo z znanimi grožnjami.
Kako deluje UEBA?
Rešitve UEBA imajo običajno tri primarne komponente: analitiko, integracijo in predstavitev. Oglejmo si jih na kratko:
analitiko
UEBA analizira obnašanje vseh uporabnikov omrežja in naprav. S tem se ustvari izhodišče, ki ponazarja, kako izgleda omrežje, ko se napad ne zgodi. Statistični modeli se nato uporabljajo za določitev, kdaj se uporabnik ali naprava obnaša tako, kot se ne bi smelo.
Integracija
Rešitve UEBA so običajno zasnovane za integracijo z drugo varnostno programsko opremo. Vaše podjetje verjetno že spremlja obnašanje omrežja in vaš izdelek UEBA bi moral biti sposoben samodejno zbirati podatke iz takšnih izdelkov.
Predstavitev
UEBA običajno ne ukrepa proti grožnjam. Namesto tega je zasnovan tako, da svoje podatke predstavi osebju IT za nadaljnjo preiskavo. To je lahko tako preprosto kot pošiljanje opozorila. Toda številni izdelki UEBA proizvajajo tudi grafe in druge statistične podatke, ki jih osebje lahko uporabi za dodatno analizo.
Pred čim ščiti UEBA?
UEBA lahko zaščiti pred različnimi grožnjami, ki jih drugi varnostni izdelki morda ne. Poglejmo, kaj so, kajne?
Notranje grožnje
Varnostna programska oprema je pogosto težko odkrivanje notranjih groženj. Čeprav lahko SIEM zlahka zazna vdor v omrežje, morda ne zazna, da nekdo, ki je že znotraj omrežja, počne nekaj, česar ne bi smel. Pravilno konfigurirana UEBA bo razumela, kako se uporabniki običajno obnašajo, in bi morala ustvariti opozorilo, če uporabnik začne delati nekaj drugega.
Ogroženi uporabniški računi
Če se uporabnik obnaša nenormalno, ni vedno posledica notranje grožnje. To lahko pomeni tudi, da je napadalec ukradel uporabniški račun. Poslovni zaposleni so redno tarča lažnega predstavljanja in ogroženi uporabniški računi so zato pogost pojav. UEBA lahko zazna sestavljene račune takoj, ko napadalec začne delati nekaj nenavadnega.
Povečanje privilegijev
Do stopnjevanja privilegijev pride, ko se uporabniku dodelijo dodatne privilegije za dostop do drugih delov omrežja. To je nekaj, kar bi hekerju koristilo. UEBA lahko nastavite tako, da zazna, ko se povečajo privilegiji uporabnika, in pošlje opozorilo v preiskavo.
Brute Force napadi
Napadi s surovo silo vključujejo večkratne poskuse dostopa do uporabniških računov in omrežij. Ker to očitno ni v okviru običajnega vedenja, ga lahko UEBA zlahka zazna. V tem scenariju lahko UEBA ustvari opozorilo ali pa ga je mogoče nastaviti tako, da napadalca samodejno izbriše.
Omejen dostop do informacij
UEBA lahko spremlja, kdo dostopa do zaupnih informacij. Zato lahko prepreči kršitve podatkov tako, da ustvari opozorilo vsakič, ko uporabnik dostopa do nečesa, kar ni potrebno za njegovo delo.
UEBA vs. SIEM
Orodja za upravljanje varnostnih informacij in dogodkov so podobna UEBA, vendar niso povsem enaka. Orodja SIEM tudi analizirajo omrežje in ustvarjajo opozorila, ko se zazna sumljiva dejavnost.
Razlika je v tem, da SIEM generira opozorilo samo, ko napadalec naredi nekaj, za kar je znano, da je zlonamerno. Torej, če je napadalec previden, lahko še vedno vstopi v omrežje in se izogne odkrivanju.
UEBA je zasnovana tako, da odkriva napade, ne zaradi zlonamernega vedenja, temveč zaradi vedenja, ki je zunaj norme. To mu omogoča odkrivanje napadov, ki se ne ujemajo z nobeno znano grožnjo.
Veliko orodij SIEM iz tega razloga zdaj vključuje UEBA, vendar večina ne.
Ali bi morala vsa podjetja uporabljati UEBA?
Vsa podjetja bi morala razmisliti o uporabi rešitve UEBA, vendar je tako kot mnoge nove rešitve za kibernetsko varnost nujno pretehtati prednosti in slabosti, preden jo uvedejo.
UEBA je sposobna zaznati grožnje, ki jih SIEM ne bi. Prav tako je sposoben zaznati grožnje, ki jih varnostno osebje morda spregleda. V to dodatno zaščito je pogosto vredno vlagati, če upoštevamo izgube, ki nastanejo po uspešnem kibernetskem napadu.
Rešitve UEBA zagotavljajo tudi avtomatizirano zaščito. To lahko podjetju omogoči, da ima manjši oddelek za kibernetsko varnost in posledično zagotovi znatne prihranke pri plačah.
Slaba stran UEBA je, da je draga za izvajanje. Morda je zunaj proračuna mnogih malih podjetij, čeprav ni nujno potrebno. Uvedba rešitve UEBA bo zahtevala tudi usposabljanje osebja za njeno uporabo, kar bo povzročilo dodatne stroške.
UEBA tudi ni primerna zamenjava za druge izdelke za kibernetsko varnost. Čeprav lahko izdelek SIEM vključuje UEBA, UEBA ni nadomestilo za SIEM ali druge varnostne izdelke, ki jih podjetje že ima.
UEBA ponuja vrhunsko zaščito
Izdelki UEBA ponujajo znatno izboljšanje v primerjavi s standardnimi izdelki SIEM in so sposobni prepoznati grožnje, ki sicer ne bi bile odkrite. Medtem ko se SIEM pogosto spopada z notranjimi grožnjami, lahko UEBA samodejno zazna nenavadno omrežno dejavnost pooblaščenih uporabnikov.
Ali je UEBA prava za vaše podjetje ali ne, je odvisno od vašega proračuna za kibernetsko varnost. Čeprav je UEBA boljša, so visoki stroški namestitve in dejstvo, da ne nadomešča drugih izdelkov, očitna pomanjkljivost.
