Η κυβερνοασφάλεια γίνεται ολοένα και πιο σημαντική για τις επιχειρήσεις όλων των μεγεθών. Είναι πλέον σύνηθες για τις μικρές εταιρείες να χρησιμοποιούν μια πληθώρα εργαλείων όπως SIEM, τείχη προστασίας και VPN για προστασία από εισβολή.
Οι χάκερ, ωστόσο, γίνονται ολοένα και πιο εξελιγμένοι. Η επιτυχία τους εξαρτάται από την ικανότητά τους να διεξάγουν επιθέσεις χωρίς να εντοπίζονται από τέτοια εργαλεία. Και συχνά το καταφέρνουν. Μια πιθανή λύση σε αυτό είναι γνωστή ως Αναλύσεις συμπεριφοράς χρηστών και οντοτήτων.
Τι είναι λοιπόν το UEBA και πρέπει να το χρησιμοποιεί η επιχείρησή σας; Ας μάθουμε παρακάτω.
Τι είναι το Analytics συμπεριφοράς χρηστών και οντοτήτων;
Η UEBA είναι μια λύση κυβερνοασφάλειας που χρησιμοποιεί μεγάλα σύνολα δεδομένων για τη μοντελοποίηση της δραστηριότητας του δικτύου. Αναλύει τόσο τους χρήστες ενός δικτύου όσο και το ίδιο το δίκτυο, όπως δρομολογητές και Συσκευές IoT. Στη συνέχεια, αναζητά ύποπτη δραστηριότητα και ειδοποιεί μια επιχείρηση κάθε φορά που εντοπίζεται τέτοια δραστηριότητα.
Αυτό το επιτυγχάνει δημιουργώντας μια βασική γραμμή για το πώς φαίνεται η κανονική δραστηριότητα σε ένα δίκτυο. Στη συνέχεια, χρησιμοποιεί μηχανική μάθηση για να ανιχνεύει αυτόματα την ανώμαλη συμπεριφορά.
Είναι δημοφιλές επειδή πολλά προϊόντα κυβερνοασφάλειας είναι εκπαιδευμένα να αναζητούν κυρίως κακόβουλο λογισμικό. Οι χάκερ μπορούν να νικήσουν τέτοιο λογισμικό μπαίνοντας σε ένα δίκτυο και απλά μην εγκαθιστώντας κακόβουλα αρχεία.
Σε αντίθεση με αυτό, η UEBA μπορεί να αναζητήσει οτιδήποτε μη φυσιολογικό. Αυτό του επιτρέπει να εντοπίζει πιο εξελιγμένες επιθέσεις που δεν ταιριάζουν με γνωστές απειλές.
Πώς λειτουργεί το UEBA;
Οι λύσεις της UEBA έχουν συνήθως τρία κύρια στοιχεία: Analytics, Integration και Presentation. Ας τα δούμε συνοπτικά:
Analytics
Η UEBA αναλύει τη συμπεριφορά όλων των χρηστών και συσκευών του δικτύου. Με αυτόν τον τρόπο δημιουργείται μια γραμμή βάσης που δείχνει πώς φαίνεται ένα δίκτυο όταν δεν λαμβάνει χώρα μια επίθεση. Στη συνέχεια, χρησιμοποιούνται στατιστικά μοντέλα για να προσδιοριστεί πότε ένας χρήστης ή μια συσκευή συμπεριφέρεται με τρόπο που δεν θα έπρεπε.
Ενσωμάτωση
Οι λύσεις της UEBA σχεδιάζονται συνήθως για να ενσωματώνονται με άλλο λογισμικό ασφαλείας. Η επιχείρησή σας πιθανώς παρακολουθεί ήδη τη συμπεριφορά του δικτύου και το προϊόν σας UEBA θα πρέπει να μπορεί να συλλέγει δεδομένα από τέτοια προϊόντα αυτόματα.
Παρουσίαση
Η UEBA συνήθως δεν λαμβάνει μέτρα κατά των απειλών. Αντίθετα, έχει σχεδιαστεί για να παρουσιάζει τα δεδομένα του στο προσωπικό πληροφορικής για περαιτέρω έρευνα. Αυτό μπορεί να είναι τόσο απλό όσο η αποστολή ειδοποίησης. Ωστόσο, πολλά προϊόντα της UEBA παράγουν επίσης γραφήματα και άλλα στατιστικά δεδομένα που το προσωπικό μπορεί να χρησιμοποιήσει για να πραγματοποιήσει πρόσθετη ανάλυση.
Από τι προστατεύει η UEBA;
Η UEBA μπορεί να προστατεύσει από διάφορες απειλές που άλλα προϊόντα ασφαλείας μπορεί να μην είναι. Ας δούμε ποιες είναι, έτσι;
Εσωτερικές Απειλές
Το λογισμικό ασφαλείας συχνά δυσκολεύεται εντοπισμός εσωτερικών απειλών. Ενώ ένα SIEM μπορεί εύκολα να εντοπίσει μια εισβολή στο δίκτυο, μπορεί να μην ανιχνεύσει ότι κάποιος που βρίσκεται ήδη σε ένα δίκτυο κάνει κάτι που δεν έπρεπε να κάνει. Μια σωστά διαμορφωμένη UEBA θα κατανοήσει πώς συμπεριφέρονται συνήθως οι χρήστες και θα πρέπει να δημιουργήσει μια ειδοποίηση εάν ένας χρήστης αρχίσει να κάνει κάτι άλλο.
Παραβιασμένοι λογαριασμοί χρηστών
Εάν ένας χρήστης συμπεριφέρεται ασυνήθιστα, δεν προκαλείται πάντα από μια εσωτερική απειλή. Μπορεί επίσης να σημαίνει ότι ένας εισβολέας έχει κλέψει τον λογαριασμό του χρήστη. Οι υπάλληλοι των επιχειρήσεων γίνονται τακτικά στόχος phishing και παραβιασμένους λογαριασμούς χρηστών είναι λοιπόν σύνηθες φαινόμενο. Η UEBA μπορεί να εντοπίσει λογαριασμούς που αποτελούνται από τη στιγμή που ο εισβολέας αρχίσει να κάνει κάτι ασυνήθιστο.
Κλιμάκωση προνομίων
Η κλιμάκωση προνομίων συμβαίνει όταν εκχωρούνται σε έναν χρήστη πρόσθετα δικαιώματα για πρόσβαση σε άλλα μέρη ενός δικτύου. Αυτό είναι κάτι από το οποίο θα ωφεληθεί ένας χάκερ. Μια UEBA μπορεί να ρυθμιστεί ώστε να εντοπίζει κάθε φορά που τα προνόμια ενός χρήστη αυξάνονται και να στέλνει μια ειδοποίηση για έρευνα.
Επιθέσεις Brute Force
Επιθέσεις ωμής βίας περιλαμβάνει επανειλημμένες προσπάθειες πρόσβασης σε λογαριασμούς χρηστών και δίκτυα. Επειδή αυτό προφανώς δεν είναι εντός της κανονικής συμπεριφοράς, μπορεί εύκολα να εντοπιστεί από την UEBA. Σε αυτό το σενάριο, μια UEBA μπορεί να δημιουργήσει μια ειδοποίηση ή μπορεί να ρυθμιστεί ώστε να εκτοξεύει αυτόματα τον εισβολέα.
Περιορισμένη πρόσβαση στις πληροφορίες
Η UEBA μπορεί να παρακολουθεί ποιος έχει πρόσβαση σε εμπιστευτικές πληροφορίες. Επομένως, μπορεί να αποτρέψει τις παραβιάσεις δεδομένων δημιουργώντας μια ειδοποίηση κάθε φορά που ένας χρήστης έχει πρόσβαση σε κάτι που δεν απαιτείται για την εργασία του.
UEBA vs. SIEM
Τα εργαλεία Ασφαλείας Πληροφοριών και Διαχείρισης Συμβάντων είναι παρόμοια με το UEBA, αλλά όχι εντελώς ίδια. Τα εργαλεία SIEM αναλύουν επίσης ένα δίκτυο και δημιουργούν ειδοποιήσεις κάθε φορά που εντοπίζεται ύποπτη δραστηριότητα.
Η διαφορά είναι ότι το SIEM παράγει μια ειδοποίηση μόνο όταν ένας εισβολέας κάνει κάτι που είναι γνωστό ότι είναι κακόβουλο. Έτσι, εάν ένας εισβολέας είναι προσεκτικός, μπορεί να εισέλθει σε ένα δίκτυο και να αποφύγει τον εντοπισμό.
Η UEBA έχει σχεδιαστεί για να ανιχνεύει επιθέσεις, όχι λόγω κακόβουλης συμπεριφοράς, αλλά λόγω συμπεριφοράς που είναι εκτός του κανόνα. Αυτό του επιτρέπει να εντοπίζει επιθέσεις που δεν ταιριάζουν με καμία γνωστή απειλή.
Πολλά εργαλεία SIEM ενσωματώνουν πλέον το UEBA για αυτόν τον λόγο, αλλά η πλειοψηφία δεν το κάνει.
Πρέπει όλες οι επιχειρήσεις να χρησιμοποιούν το UEBA;
Όλες οι επιχειρήσεις θα πρέπει να εξετάσουν το ενδεχόμενο χρήσης μιας λύσης UEBA, αλλά όπως πολλές νέες λύσεις κυβερνοασφάλειας, είναι σημαντικό να σταθμίσετε τα πλεονεκτήματα και τα μειονεκτήματα πριν την εφαρμόσετε.
Η UEBA είναι σε θέση να ανιχνεύει απειλές που η SIEM δεν θα έκανε. Είναι επίσης ικανό να συλλαμβάνει απειλές που μπορεί να χάσει το προσωπικό ασφαλείας. Αυτή η πρόσθετη προστασία αξίζει συχνά να επενδύσετε, λαμβάνοντας υπόψη τις απώλειες που προκλήθηκαν μετά από μια επιτυχημένη κυβερνοεπίθεση.
Οι λύσεις της UEBA παρέχουν επίσης αυτοματοποιημένη προστασία. Αυτό μπορεί να επιτρέψει σε μια επιχείρηση να έχει ένα μικρότερο τμήμα κυβερνοασφάλειας και, κατά συνέπεια, να προσφέρει σημαντική εξοικονόμηση μισθών.
Το μειονέκτημα του UEBA είναι ότι είναι ακριβό στην εφαρμογή του. Μπορεί να είναι εκτός του προϋπολογισμού πολλών μικρών επιχειρήσεων, ενώ δεν είναι απολύτως απαραίτητο. Η εφαρμογή μιας λύσης UEBA θα απαιτήσει επίσης την εκπαίδευση του προσωπικού για τη χρήση της, προσθέτοντας επιπλέον κόστος.
Η UEBA δεν είναι επίσης κατάλληλος αντικαταστάτης για άλλα προϊόντα κυβερνοασφάλειας. Ενώ ένα προϊόν SIEM μπορεί να περιλαμβάνει το UEBA, το UEBA δεν αντικαθιστά το SIEM ή άλλα προϊόντα ασφαλείας που διαθέτει ήδη μια επιχείρηση.
Η UEBA προσφέρει ανώτερη προστασία
Τα προϊόντα UEBA προσφέρουν σημαντική βελτίωση σε σχέση με τα τυπικά προϊόντα SIEM και είναι σε θέση να εντοπίζουν απειλές που διαφορετικά θα έμεναν απαρατήρητες. Ενώ η SIEM συχνά παλεύει με εσωτερικές απειλές, η UEBA μπορεί να εντοπίσει αυτόματα ασυνήθιστη δραστηριότητα δικτύου από εξουσιοδοτημένους χρήστες.
Το εάν η UEBA είναι κατάλληλη για την επιχείρησή σας εξαρτάται από τον προϋπολογισμό σας για την κυβερνοασφάλεια. Ενώ η UEBA είναι ανώτερη, το υψηλό κόστος εγκατάστασης και το γεγονός ότι δεν αντικαθιστά άλλα προϊόντα, είναι ένα προφανές μειονέκτημα.