Kiberdrošība kļūst arvien svarīgāka jebkura lieluma uzņēmumiem. Tagad ir ierasts, ka pat mazi uzņēmumi izmanto daudzus rīkus, piemēram, SIEM, ugunsmūrus un VPN, lai aizsargātu pret ielaušanos.
Tomēr hakeri kļūst arvien sarežģītāki. Viņu panākumi ir atkarīgi no viņu spējas veikt uzbrukumus, tos neatklājot ar šādiem rīkiem. Un bieži viņiem tas izdodas. Viens no iespējamiem risinājumiem ir zināms kā lietotāju un entītiju uzvedības analīze.
Tātad, kas ir UEBA, un vai jūsu uzņēmumam to vajadzētu izmantot? Noskaidrosim tālāk.
Kas ir lietotāju un entītiju uzvedības analīze?
UEBA ir kiberdrošības risinājums, kas izmanto lielas datu kopas, lai modelētu tīkla darbību. Tas analizē gan tīkla lietotājus, gan pašu tīklu, piemēram, maršrutētājus un IoT ierīces. Pēc tam tas meklē aizdomīgas darbības un brīdina uzņēmumu, kad tiek konstatēta šāda darbība.
Tas tiek panākts, izveidojot bāzes līniju tam, kā izskatās parasta darbība tīklā. Pēc tam tas izmanto mašīnmācīšanos, lai automātiski noteiktu neparastu uzvedību.
Tas ir populārs, jo daudzi kiberdrošības produkti ir apmācīti galvenokārt meklēt ļaunprātīgu programmatūru. Hakeri var uzvarēt šādu programmatūru, ieejot tīklā un vienkārši neinstalējot nekādus ļaunprātīgus failus.
Pretstatā tam UEBA var meklēt jebko nenormālu. Tas ļauj tai atklāt sarežģītākus uzbrukumus, kas neatbilst zināmiem draudiem.
Kā darbojas UEBA?
UEBA risinājumiem parasti ir trīs galvenie komponenti: analīze, integrācija un prezentācija. Apskatīsim tos īsi:
Analytics
UEBA analizē visu tīkla lietotāju un ierīču uzvedību. Tādējādi tiek izveidota bāzes līnija, kas ilustrē, kā tīkls izskatās, kad uzbrukums nenotiek. Pēc tam tiek izmantoti statistikas modeļi, lai noteiktu, kad lietotājs vai ierīce rīkojas tā, kā nevajadzētu.
Integrācija
UEBA risinājumi parasti ir paredzēti integrācijai ar citu drošības programmatūru. Iespējams, ka jūsu uzņēmums jau izseko tīkla darbību, un jūsu UEBA produktam vajadzētu būt iespējai automātiski apkopot datus no šādiem produktiem.
Prezentācija
UEBA parasti nerīkojas pret draudiem. Tā vietā tas ir paredzēts, lai sniegtu savus datus IT darbiniekiem turpmākai izmeklēšanai. Tas var būt tikpat vienkārši kā brīdinājuma nosūtīšana. Taču daudzi UEBA produkti veido arī grafikus un citus statistikas datus, ko darbinieki var izmantot, lai veiktu papildu analīzi.
Pret ko UEBA aizsargā?
UEBA var aizsargāt pret dažādiem draudiem, ko citi drošības produkti var nebūt. Paskatīsimies, kas tie ir, vai ne?
Iekšējie draudi
Drošības programmatūrai bieži ir grūti atklāt iekšējos draudus. Lai gan SIEM var viegli noteikt tīkla ielaušanos, tas var nenoteikt, ka kāds jau tīklā dara kaut ko tādu, kas viņam nav jādara. Pareizi konfigurēta UEBA sapratīs, kā lietotāji parasti uzvedas, un jāģenerē brīdinājums, ja lietotājs sāk darīt kaut ko citu.
Kompromitēti lietotāju konti
Ja lietotājs uzvedas neparasti, to ne vienmēr izraisa iekšējie draudi. Tas var arī nozīmēt, ka uzbrucējs ir nozadzis lietotāja kontu. Uzņēmējdarbības darbinieki regulāri saskaras ar pikšķerēšanu, un apdraudēti lietotāju konti tāpēc ir izplatīta parādība. UEBA var atklāt ietvertos kontus, tiklīdz uzbrucējs sāk darīt kaut ko neparastu.
Privilēģiju eskalācija
Privilēģiju eskalācija notiek, kad lietotājam tiek piešķirtas papildu privilēģijas piekļūt citām tīkla daļām. Tas ir kaut kas, kas noderētu hakeram. UEBA var iestatīt, lai tā noteiktu ikreiz, kad tiek palielinātas lietotāja privilēģijas, un nosūtītu brīdinājumu izmeklēšanai.
Brutālu spēku uzbrukumi
Brutālu spēku uzbrukumi ietver atkārtotus mēģinājumus piekļūt lietotāju kontiem un tīkliem. Tā kā tas acīmredzami neatbilst normālai uzvedībai, UEBA to var viegli noteikt. Šādā gadījumā UEBA var ģenerēt brīdinājumu vai arī to var iestatīt tā, lai uzbrucējs tiktu automātiski padzīts.
Ierobežota piekļuve informācijai
UEBA var uzraudzīt, kas piekļūst konfidenciālai informācijai. Tāpēc tas var novērst datu pārkāpumus, ģenerējot brīdinājumu ikreiz, kad lietotājs piekļūst kaut kam, kas nav vajadzīgs viņa darbam.
UEBA vs. SIEM
Drošības informācijas un notikumu pārvaldības rīki ir līdzīgi UEBA, bet ne gluži vienādi. SIEM rīki arī analizē tīklu un ģenerē brīdinājumus ikreiz, kad tiek konstatēta aizdomīga darbība.
Atšķirība ir tāda, ka SIEM ģenerē brīdinājumu tikai tad, ja uzbrucējs izdara kaut ko tādu, kas ir zināms kā ļaunprātīgs. Tātad, ja uzbrucējs ir uzmanīgs, viņš joprojām var iekļūt tīklā un izvairīties no atklāšanas.
UEBA ir izstrādāta, lai atklātu uzbrukumus nevis ļaunprātīgas uzvedības dēļ, bet gan tādas uzvedības dēļ, kas neatbilst normai. Tas ļauj tai atklāt uzbrukumus, kas neatbilst nevienam zināmam apdraudējumam.
Šī iemesla dēļ daudzos SIEM rīkos tagad ir iekļauta UEBA, bet lielākā daļa to nedara.
Vai visiem uzņēmumiem vajadzētu izmantot UEBA?
Visiem uzņēmumiem vajadzētu apsvērt iespēju izmantot UEBA risinājumu, taču, tāpat kā daudziem jauniem kiberdrošības risinājumiem, pirms tā ieviešanas ir svarīgi izsvērt plusus un mīnusus.
UEBA spēj atklāt draudus, ko SIEM nevarētu atklāt. Tas spēj arī uztvert draudus, kurus drošības darbinieki var nepamanīt. Šajā papildu aizsardzībā bieži vien ir vērts ieguldīt, ņemot vērā zaudējumus, kas radušies pēc veiksmīga kiberuzbrukuma.
UEBA risinājumi nodrošina arī automatizētu aizsardzību. Tas var ļaut uzņēmumam izveidot mazāku kiberdrošības nodaļu un līdz ar to nodrošināt ievērojamus algu ietaupījumus.
UEBA mīnuss ir tas, ka tās ieviešana ir dārga. Tas var būt ārpus daudzu mazo uzņēmumu budžeta, lai gan tas nav absolūti nepieciešams. UEBA risinājuma ieviešana prasīs arī personāla apmācību tā lietošanā, radot papildu izmaksas.
UEBA arī nav piemērots citu kiberdrošības produktu aizstājējs. Lai gan SIEM produkts var ietvert UEBA, UEBA neaizstāj SIEM vai citus drošības produktus, kas jau ir uzņēmumam.
UEBA piedāvā izcilu aizsardzību
UEBA produkti piedāvā ievērojamus uzlabojumus salīdzinājumā ar standarta SIEM produktiem un spēj identificēt draudus, kas citādi netiktu atklāti. Lai gan SIEM bieži cīnās ar iekšējiem apdraudējumiem, UEBA var automātiski noteikt autorizēto lietotāju neparastas darbības tīklā.
Tas, vai UEBA ir piemērots jūsu biznesam, ir atkarīgs no jūsu kiberdrošības budžeta. Lai gan UEBA ir pārāka, augstās uzstādīšanas izmaksas un fakts, ka tā neaizstāj citus produktus, ir acīmredzams mīnuss.
