Kybernetická bezpečnost se stává stále důležitější pro podniky všech velikostí. Nyní je běžné, že i malé společnosti používají k ochraně proti vniknutí množství nástrojů, jako jsou SIEM, firewally a VPN.
Hackeři jsou však stále sofistikovanější. Jejich úspěch závisí na jejich schopnosti provádět útoky, aniž by je takové nástroje detekovaly. A často se jim to daří. Jedno z potenciálních řešení je známé jako User and Entity Behavior Analytics.
Co je tedy UEBA a měla by ji vaše firma používat? Pojďme to zjistit níže.
Co je analýza chování uživatelů a entit?
UEBA je řešení kybernetické bezpečnosti, které využívá velké datové sady k modelování síťové aktivity. Analyzuje jak uživatele sítě, tak síť samotnou, jako jsou směrovače a IoT zařízení. Poté vyhledá podezřelou aktivitu a upozorní firmu, kdykoli je taková aktivita zjištěna.
Dosahuje toho vytvořením základní linie toho, jak vypadá běžná aktivita v síti. Poté používá strojové učení k automatické detekci abnormálního chování.
Je populární, protože mnoho produktů kybernetické bezpečnosti je vyškoleno tak, aby primárně vyhledávaly malware. Hackeři mohou takový software porazit tím, že vstoupí do sítě a jednoduše nenainstalují žádné škodlivé soubory.
Na rozdíl od toho může UEBA hledat cokoli abnormálního. To mu umožňuje detekovat sofistikovanější útoky, které neodpovídají známým hrozbám.
Jak funguje UEBA?
Řešení UEBA mají obvykle tři primární komponenty: Analytics, Integration a Presentation. Pojďme se na ně ve stručnosti podívat:
Analytics
UEBA analyzuje chování všech uživatelů sítě a zařízení. Tím se vytvoří základní linie, která ilustruje, jak síť vypadá, když k útoku nedochází. Statistické modely se pak používají k určení, kdy se uživatel nebo zařízení chová tak, jak by se nemělo.
Integrace
Řešení UEBA jsou obvykle navržena pro integraci s jiným bezpečnostním softwarem. Vaše firma již pravděpodobně sleduje chování sítě a váš produkt UEBA by měl být schopen automaticky shromažďovat data z takových produktů.
Prezentace
UEBA proti hrozbám obvykle nepodnikne žádné kroky. Místo toho je navržen tak, aby svá data předkládal pracovníkům IT k dalšímu zkoumání. To může být stejně jednoduché jako odeslání upozornění. Mnoho produktů UEBA však také vytváří grafy a další statistická data, která mohou zaměstnanci použít k provádění dalších analýz.
Před čím UEBA chrání?
UEBA může chránit před různými hrozbami, které jiné bezpečnostní produkty nemohou. Podívejme se, co jsou zač, ano?
Insider Threats
Bezpečnostní software to má často těžké odhalit vnitřní hrozby. Zatímco SIEM může snadno detekovat narušení sítě, nemusí zjistit, že někdo již uvnitř sítě dělá něco, co by neměl dělat. Správně nakonfigurovaný UEBA pochopí, jak se uživatelé normálně chovají, a měl by vygenerovat upozornění, pokud uživatel začne dělat něco jiného.
Prolomené uživatelské účty
Pokud se uživatel chová abnormálně, nemusí to být vždy způsobeno hrozbou zevnitř. Může to také znamenat, že útočník ukradl účet uživatele. Zaměstnanci firem jsou pravidelně terčem phishingu kompromitované uživatelské účty jsou tedy běžným jevem. UEBA dokáže detekovat složené účty, jakmile útočník začne dělat něco neobvyklého.
Eskalace privilegií
K eskalaci oprávnění dochází, když jsou uživateli udělena další oprávnění pro přístup k jiným částem sítě. To je něco, z čeho by měl hacker prospěch. UEBA lze nastavit tak, aby detekovalo, kdykoli jsou zvýšena práva uživatele, a odeslalo výstrahu k prošetření.
Útoky hrubou silou
Útoky hrubou silou zahrnují opakované pokusy o přístup k uživatelským účtům a sítím. Protože to zjevně není v rámci normálního chování, může to UEBA snadno detekovat. V tomto scénáři může UEBA generovat výstrahu nebo může být nastaveno tak, aby útočníka automaticky vykoplo.
Omezený přístup k informacím
UEBA může sledovat, kdo přistupuje k důvěrným informacím. Může tedy zabránit narušení dat tím, že generuje výstrahu, kdykoli uživatel přistoupí k něčemu, co pro svou práci nepotřebuje.
UEBA vs. SIEM
Bezpečnostní informace a nástroje pro správu událostí jsou podobné UEBA, ale nejsou úplně stejné. Nástroje SIEM také analyzují síť a generují výstrahy, kdykoli je zjištěna podezřelá aktivita.
Rozdíl je v tom, že SIEM generuje výstrahu pouze tehdy, když útočník udělá něco, o čem je známo, že je škodlivé. Takže pokud je útočník opatrný, může stále vstoupit do sítě a vyhnout se detekci.
UEBA je navržena tak, aby detekovala útoky ne kvůli škodlivému chování, ale kvůli chování, které je mimo normu. To mu umožňuje detekovat útoky, které neodpovídají žádným známým hrozbám.
Mnoho nástrojů SIEM nyní z tohoto důvodu zahrnuje UEBA, ale většina nikoli.
Měly by všechny podniky používat UEBA?
Všechny podniky by měly zvážit použití řešení UEBA, ale stejně jako mnoho nových řešení kybernetické bezpečnosti je nezbytné zvážit pro a proti, než je implementovat.
UEBA je schopna detekovat hrozby, které SIEM nedokáže. Je také schopen zachytit hrozby, které mohou bezpečnostní pracovníci přehlédnout. Do této přidané ochrany se často vyplatí investovat, vezmeme-li v úvahu ztráty vzniklé po úspěšném kybernetickém útoku.
Řešení UEBA také poskytují automatizovanou ochranu. To může podniku umožnit mít menší oddělení kybernetické bezpečnosti a v důsledku toho poskytnout významné úspory mezd.
Nevýhodou UEBA je drahá implementace. Může být mimo rozpočet mnoha malých podniků, i když to není nezbytně nutné. Implementace řešení UEBA bude také vyžadovat, aby byl personál vyškolen k jeho používání, což zvyšuje další náklady.
UEBA také není vhodnou náhradou za jiné produkty kybernetické bezpečnosti. I když produkt SIEM může zahrnovat UEBA, UEBA nenahrazuje SIEM ani jiné bezpečnostní produkty, které firma již má.
UEBA nabízí vynikající ochranu
Produkty UEBA nabízejí výrazné zlepšení oproti standardním produktům SIEM a jsou schopny identifikovat hrozby, které by jinak zůstaly neodhaleny. Zatímco SIEM často bojuje s vnitřními hrozbami, UEBA dokáže automaticky detekovat neobvyklou síťovou aktivitu oprávněných uživatelů.
Zda je UEBA pro vaše podnikání to pravé, závisí na vašem rozpočtu na kybernetickou bezpečnost. Zatímco UEBA je lepší, vysoké náklady na instalaci a skutečnost, že nenahrazuje jiné produkty, jsou zjevnou nevýhodou.