Kybernetická bezpečnosť sa stáva čoraz dôležitejšou pre podniky všetkých veľkostí. Teraz je bežné, že aj malé spoločnosti používajú na ochranu pred narušením množstvo nástrojov, ako sú SIEM, firewally a VPN.
Hackeri sú však čoraz sofistikovanejší. Ich úspech závisí od ich schopnosti viesť útoky bez toho, aby ich takéto nástroje odhalili. A často sa im to aj darí. Jedno z možných riešení je známe ako analýza správania používateľov a entít.
Čo je teda UEBA a mala by ho vaša firma využívať? Poďme zistiť nižšie.
Čo je analýza správania používateľov a entít?
UEBA je riešenie kybernetickej bezpečnosti, ktoré využíva veľké súbory údajov na modelovanie sieťovej aktivity. Analyzuje používateľov siete aj samotnú sieť, ako sú smerovače a IoT zariadenia. Potom vyhľadá podozrivú aktivitu a upozorní podnik vždy, keď sa takáto aktivita zistí.
Dosahuje to vytvorením základnej línie toho, ako vyzerá bežná aktivita v sieti. Potom pomocou strojového učenia automaticky zistí abnormálne správanie.
Je populárny, pretože mnohé produkty kybernetickej bezpečnosti sú vyškolené tak, aby primárne hľadali malvér. Hackeri môžu takýto softvér poraziť tak, že vstúpia do siete a jednoducho nenainštalujú žiadne škodlivé súbory.
Na rozdiel od toho môže UEBA hľadať čokoľvek abnormálne. To mu umožňuje odhaliť sofistikovanejšie útoky, ktoré nezodpovedajú známym hrozbám.
Ako funguje UEBA?
Riešenia UEBA majú zvyčajne tri primárne komponenty: Analytics, Integration a Presentation. Poďme sa na ne v krátkosti pozrieť:
Analytics
UEBA analyzuje správanie všetkých používateľov siete a zariadení. Tým sa vytvorí základná línia, ktorá ilustruje, ako sieť vyzerá, keď k útoku nedochádza. Štatistické modely sa potom používajú na určenie toho, kedy sa používateľ alebo zariadenie správa tak, ako by sa nemalo.
integrácia
Riešenia UEBA sú zvyčajne navrhnuté na integráciu s iným bezpečnostným softvérom. Vaša firma už pravdepodobne sleduje správanie v sieti a váš produkt UEBA by mal byť schopný automaticky zbierať údaje z takýchto produktov.
Prezentácia
UEBA zvyčajne nepodnikne kroky proti hrozbám. Namiesto toho je navrhnutý tak, aby predložil svoje údaje pracovníkom IT na ďalšie preskúmanie. Môže to byť také jednoduché ako odoslanie upozornenia. Mnohé produkty UEBA však vytvárajú aj grafy a iné štatistické údaje, ktoré môžu zamestnanci použiť na vykonanie dodatočnej analýzy.
Pred čím chráni UEBA?
UEBA môže chrániť pred rôznymi hrozbami, ktoré iné bezpečnostné produkty nemusia. Pozrime sa, aké sú, dobre?
Insider Threats
Bezpečnostný softvér to má často ťažké odhaliť vnútorné hrozby. Zatiaľ čo SIEM môže ľahko zistiť narušenie siete, nemusí zistiť, že niekto už v sieti robí niečo, čo by nemal robiť. Správne nakonfigurovaný UEBA pochopí, ako sa používatelia normálne správajú, a mal by vygenerovať výstrahu, ak používateľ začne robiť niečo iné.
Ohrozené používateľské účty
Ak sa používateľ správa neštandardne, nie je to vždy spôsobené vnútornou hrozbou. Môže to tiež znamenať, že útočník ukradol používateľské konto. Firemní zamestnanci sú pravidelne terčom phishingu a napadnuté používateľské účty sú preto bežným javom. UEBA dokáže odhaliť zložené účty hneď, ako útočník začne robiť niečo neobvyklé.
Eskalácia privilégií
K eskalácii privilégií dochádza, keď sú používateľovi udelené dodatočné privilégiá na prístup k iným častiam siete. To je niečo, z čoho by mal hacker prospech. UEBA je možné nastaviť tak, aby zisťovalo, kedy sa zvýšia privilégiá používateľa, a odošle výstrahu na vyšetrenie.
Útoky hrubou silou
Útoky hrubou silou zahŕňajú opakované pokusy o prístup k užívateľským účtom a sieťam. Pretože to zjavne nie je v rámci normálneho správania, môže to UEBA ľahko zistiť. V tomto scenári môže UEBA generovať výstrahu, alebo môže byť nastavená tak, aby útočníka automaticky vykopla.
Obmedzený prístup k informáciám
UEBA môže monitorovať, kto pristupuje k dôverným informáciám. Môže preto zabrániť narušeniu údajov vygenerovaním výstrahy vždy, keď používateľ pristúpi k niečomu, čo nie je potrebné pre jeho prácu.
UEBA vs. SIEM
Nástroje pre bezpečnostné informácie a správu udalostí sú podobné ako UEBA, ale nie úplne rovnaké. Nástroje SIEM tiež analyzujú sieť a generujú upozornenia vždy, keď sa zistí podozrivá aktivita.
Rozdiel je v tom, že SIEM generuje výstrahu iba vtedy, keď útočník urobí niečo, o čom je známe, že je škodlivé. Takže ak je útočník opatrný, stále môže vstúpiť do siete a vyhnúť sa odhaleniu.
UEBA je navrhnutá tak, aby zisťovala útoky nie v dôsledku škodlivého správania, ale v dôsledku správania, ktoré je mimo normy. To mu umožňuje odhaliť útoky, ktoré nezodpovedajú žiadnej známej hrozbe.
Mnoho nástrojov SIEM teraz z tohto dôvodu zahŕňa UEBA, ale väčšina nie.
Mali by všetky podniky používať UEBA?
Všetky podniky by mali zvážiť použitie riešenia UEBA, ale rovnako ako mnoho nových riešení kybernetickej bezpečnosti je nevyhnutné pred jeho implementáciou zvážiť klady a zápory.
UEBA je schopná odhaliť hrozby, ktoré SIEM nedokáže. Je tiež schopný zachytiť hrozby, ktoré bezpečnostný personál môže prehliadnuť. Do tejto pridanej ochrany sa často oplatí investovať, berúc do úvahy straty vzniknuté po úspešnom kybernetickom útoku.
Riešenia UEBA tiež poskytujú automatizovanú ochranu. To môže firme umožniť mať menšie oddelenie kybernetickej bezpečnosti a v dôsledku toho poskytnúť významné úspory miezd.
Nevýhodou UEBA je, že je nákladná na implementáciu. Môže byť mimo rozpočtu mnohých malých podnikov, pričom to nie je nevyhnutne potrebné. Implementácia riešenia UEBA bude tiež vyžadovať, aby bol personál vyškolený na jeho používanie, čo zvyšuje náklady.
UEBA tiež nie je vhodnou náhradou za iné produkty kybernetickej bezpečnosti. Zatiaľ čo produkt SIEM môže zahŕňať UEBA, UEBA nie je náhradou za SIEM alebo iné bezpečnostné produkty, ktoré už firma má.
UEBA ponúka vynikajúcu ochranu
Produkty UEBA ponúkajú výrazné zlepšenie oproti štandardným produktom SIEM a sú schopné identifikovať hrozby, ktoré by inak zostali neodhalené. Zatiaľ čo SIEM často zápasí s hrozbami zasvätených osôb, UEBA dokáže automaticky odhaliť nezvyčajnú sieťovú aktivitu autorizovaných používateľov.
To, či je alebo nie je UEBA to pravé pre vaše podnikanie, závisí od vášho rozpočtu na kybernetickú bezpečnosť. Zatiaľ čo UEBA je lepší, vysoké náklady na inštaláciu a skutočnosť, že nenahrádza iné produkty, sú zjavnou nevýhodou.
