Kibernetinis saugumas tampa vis svarbesnis bet kokio dydžio įmonėms. Dabar įprasta, kad net mažos įmonės, siekdamos apsisaugoti nuo įsibrovimo, naudoja daugybę įrankių, tokių kaip SIEM, ugniasienės ir VPN.
Tačiau įsilaužėliai tampa vis sudėtingesni. Jų sėkmė priklauso nuo jų gebėjimo surengti atakas be tokių priemonių. Ir dažnai jiems tai pavyksta. Vienas iš galimų šios problemos sprendimų yra žinomas kaip naudotojų ir subjektų elgesio analizė.
Taigi, kas yra UEBA ir ar jūsų verslas turėtų ja naudotis? Sužinokime žemiau.
Kas yra naudotojų ir subjektų elgesio analizė?
UEBA yra kibernetinio saugumo sprendimas, kuris naudoja didelius duomenų rinkinius tinklo veiklai modeliuoti. Ji analizuoja tiek tinklo vartotojus, tiek patį tinklą, pvz., maršrutizatorius ir IoT įrenginiai. Tada ji ieško įtartinos veiklos ir įspėja įmonę, kai tik tokia veikla aptinkama.
Tai pasiekiama sukuriant pradinį vaizdą, kaip atrodo įprasta veikla tinkle. Tada jis naudoja mašininį mokymąsi, kad automatiškai nustatytų neįprastą elgesį.
Jis populiarus, nes daugelis kibernetinio saugumo produktų yra išmokyti pirmiausia ieškoti kenkėjiškų programų. Įsilaužėliai gali nugalėti tokią programinę įrangą, įeidami į tinklą ir tiesiog neįdiegę jokių kenkėjiškų failų.
Priešingai, UEBA gali ieškoti nieko neįprasto. Tai leidžia aptikti sudėtingesnes atakas, kurios neatitinka žinomų grėsmių.
Kaip veikia UEBA?
UEBA sprendimus paprastai sudaro trys pagrindiniai komponentai: „Analytics“, „Integration“ ir „Presentation“. Pažvelkime į juos trumpai:
Analizė
UEBA analizuoja visų tinklo vartotojų ir įrenginių elgesį. Taip sukuriama bazinė linija, iliustruojanti, kaip tinklas atrodo, kai ataka nevyksta. Tada naudojami statistiniai modeliai, siekiant nustatyti, kada vartotojas ar įrenginys elgiasi taip, kaip neturėtų.
Integracija
UEBA sprendimai paprastai yra skirti integruoti su kita saugos programine įranga. Tikriausiai jūsų įmonė jau stebi tinklo elgesį, o jūsų UEBA produktas turėtų turėti galimybę automatiškai rinkti duomenis iš tokių produktų.
Pristatymas
UEBA paprastai nesiima veiksmų prieš grėsmes. Vietoj to, jis skirtas pateikti savo duomenis IT darbuotojams tolesniam tyrimui. Tai gali būti taip paprasta, kaip išsiųsti įspėjimą. Tačiau daugelis UEBA produktų taip pat sukuria grafikus ir kitus statistinius duomenis, kuriuos darbuotojai gali naudoti papildomai analizei atlikti.
Nuo ko saugo UEBA?
UEBA gali apsaugoti nuo įvairių grėsmių, kurių negali apsaugoti kiti saugumo produktai. Pažiūrėkime, kas jie yra, ar ne?
Vidinės grėsmės
Apsaugos programinei įrangai dažnai sunku aptikti viešai neatskleistas grėsmes. Nors SIEM gali lengvai aptikti įsibrovimą į tinklą, jis gali neaptikti, kad kažkas, jau esantis tinkle, daro tai, ko jie neturėtų daryti. Tinkamai sukonfigūruota UEBA supras, kaip paprastai elgiasi vartotojai, ir turėtų sugeneruoti įspėjimą, jei vartotojas pradės daryti ką nors kita.
Pažeistos vartotojų paskyros
Jei naudotojas elgiasi neįprastai, tai ne visada sukelia viešai neatskleista grėsmė. Tai taip pat gali reikšti, kad užpuolikas pavogė vartotojo paskyrą. Verslo darbuotojai nuolat susiduria su sukčiavimu ir pažeistos vartotojų paskyros todėl yra dažnas reiškinys. UEBA gali aptikti sudarytas paskyras, kai tik užpuolikas pradeda daryti ką nors neįprasto.
Privilegijų eskalavimas
Privilegijų eskalavimas įvyksta, kai vartotojui suteikiamos papildomos prieigos prie kitų tinklo dalių. Tai kažkas, kas būtų naudinga įsilaužėliams. UEBA galima nustatyti taip, kad ji aptiktų kiekvieną kartą, kai padidinamos vartotojo privilegijos, ir išsiųstų įspėjimą ištirti.
Brute Force atakos
Brutalios jėgos išpuoliai apima pakartotinius bandymus pasiekti vartotojų paskyras ir tinklus. Kadangi tai akivaizdžiai neatitinka įprastos elgsenos, UEBA gali tai lengvai aptikti. Pagal šį scenarijų UEBA gali generuoti įspėjimą arba gali būti nustatyta, kad užpuolikas būtų pašalintas automatiškai.
Apribota prieiga prie informacijos
UEBA gali stebėti, kas pasiekia konfidencialią informaciją. Todėl jis gali užkirsti kelią duomenų pažeidimams generuodamas įspėjimą, kai vartotojas pasiekia tai, kas nereikalinga jo darbui.
UEBA vs. SIEM
Saugumo informacijos ir įvykių valdymo įrankiai yra panašūs į UEBA, bet ne visiškai vienodi. SIEM įrankiai taip pat analizuoja tinklą ir generuoja įspėjimus, kai aptinkama įtartina veikla.
Skirtumas tas, kad SIEM generuoja įspėjimą tik tada, kai užpuolikas padaro ką nors, kas žinoma kaip kenkėjiška. Taigi, jei užpuolikas yra atsargus, jis vis tiek gali patekti į tinklą ir išvengti aptikimo.
UEBA skirta aptikti atakas ne dėl kenkėjiško elgesio, o dėl elgesio, kuris neatitinka normos. Tai leidžia aptikti atakas, kurios neatitinka jokių žinomų grėsmių.
Daugelyje SIEM įrankių dabar dėl šios priežasties įtraukta UEBA, tačiau dauguma jų neturi.
Ar visos įmonės turėtų naudoti UEBA?
Visos įmonės turėtų apsvarstyti galimybę naudoti UEBA sprendimą, tačiau, kaip ir daugelis naujų kibernetinio saugumo sprendimų, prieš jį įgyvendinant būtina pasverti privalumus ir trūkumus.
UEBA gali aptikti grėsmes, kurių SIEM neaptiktų. Jis taip pat gali atpažinti grėsmes, kurių apsaugos darbuotojai gali nepastebėti. Į šią papildomą apsaugą dažnai verta investuoti, atsižvelgiant į nuostolius, patirtus po sėkmingos kibernetinės atakos.
UEBA sprendimai taip pat užtikrina automatizuotą apsaugą. Tai gali leisti verslui turėti mažesnį kibernetinio saugumo skyrių ir atitinkamai sutaupyti darbo užmokesčio.
UEBA minusas yra tas, kad ją įgyvendinti brangu. Tai gali būti nepatenka į daugelio mažų įmonių biudžetą, nors tai nėra būtina. Diegiant UEBA sprendimą taip pat reikės apmokyti personalą juo naudotis, o tai padidins papildomas išlaidas.
UEBA taip pat nėra tinkamas kitų kibernetinio saugumo produktų pakaitalas. Nors SIEM produktas gali apimti UEBA, UEBA nepakeičia SIEM ar bet kokių kitų verslo jau turimų saugos produktų.
UEBA siūlo aukštesnę apsaugą
UEBA produktai yra žymiai geresni, palyginti su standartiniais SIEM produktais, ir gali nustatyti grėsmes, kurios kitu atveju nebūtų aptiktos. Nors SIEM dažnai kovoja su viešai neatskleista grėsme, UEBA gali automatiškai aptikti neįprastą įgaliotų vartotojų tinklo veiklą.
Ar UEBA tinka jūsų verslui, priklauso nuo jūsų kibernetinio saugumo biudžeto. Nors UEBA yra pranašesnė, didelė diegimo kaina ir tai, kad ji nepakeičia kitų produktų, yra akivaizdus trūkumas.