Разумевање УЕБА и њене улоге у реаговању на инциденте

by
Tweet
Share
Share
Pin

U digitalnom dobu, narušavanja bezbednosti postaju sve učestalija. U cilju zaštite, organizacije se oslanjaju na rešenja kao što je UEBA, koja im pomažu da otkriju i reaguju na ove incidente.

Analitika ponašanja korisnika i entiteta (UEBA), ranije poznata kao Analitika ponašanja korisnika (UBA), predstavlja rešenje za kibernetičku bezbednost. Ona koristi analitičke metode kako bi stekla uvid u tipično ponašanje korisnika (ljudi) i entiteta (mrežni uređaji i serveri) unutar organizacije. Cilj je otkrivanje i reagovanje na neuobičajene aktivnosti u realnom vremenu.

UEBA je sposobna da identifikuje i alarmira bezbednosne analitičare na potencijalno rizične varijacije i sumnjivo ponašanje, što može ukazivati na:

  • Bočno kretanje
  • Zloupotrebu privilegovanih naloga
  • Eskalaciju privilegija
  • Kompromitovane akreditive
  • Unutrašnje pretnje

Pored toga, UEBA procenjuje nivo pretnje i dodeljuje ocenu rizika, što olakšava uspostavljanje odgovarajućeg odgovora.

U nastavku saznajte kako UEBA funkcioniše, zašto organizacije prelaze na UEBA, koje su glavne komponente UEBA sistema, koja je uloga UEBA u reagovanju na incidente, kao i najbolje prakse za primenu UEBA.

Kako funkcioniše Analitika ponašanja korisnika i entiteta?

Analitika ponašanja korisnika i entiteta prvo prikuplja podatke o očekivanom ponašanju ljudi i mašina u okviru organizacije. Izvori ovih informacija mogu biti različita skladišta podataka, kao što su jezero podataka ili skladište podataka, ili se podaci mogu preuzimati putem SIEM sistema.

UEBA zatim primenjuje napredne analitičke tehnike za obradu prikupljenih informacija. Na osnovu njih se definiše osnovna linija tipičnih obrazaca ponašanja: odakle se zaposleni prijavljuju, koji je njihov nivo privilegija, kojim fajlovima i serverima često pristupaju, u koje vreme i koliko često, kao i koje uređaje koriste za pristup.

Sistem neprekidno prati aktivnosti korisnika i entiteta, upoređujući ih sa definisanom osnovnom linijom, i na taj način procenjuje koje akcije mogu ukazivati na potencijalni napad.

UEBA može da razlikuje kada korisnik obavlja svoje uobičajene aktivnosti i kada se dešava napad. Čak i ako haker uspe da dođe do podataka za prijavu zaposlenog, teško će moći da imitira njegovo uobičajeno ponašanje.

UEBA rešenje ima tri glavne komponente:

Analitika podataka: UEBA prikuplja i sistematizuje podatke o korisnicima i entitetima kako bi izgradila standardni profil o tome kako se svaki korisnik ponaša. Statistički modeli se koriste za detekciju neuobičajenih aktivnosti i obaveštavanje bezbednosnog tima.

Integracija podataka: Radi veće efikasnosti, UEBA upoređuje podatke iz različitih izvora – kao što su sistemski logovi, podaci o hvatanju paketa i druge baze podataka – sa podacima prikupljenim iz postojećih bezbednosnih sistema.

Prezentacija podataka: Proces kroz koji UEBA sistem saopštava svoje nalaze i predlaže odgovarajuće reakcije. Ovaj proces obično podrazumeva slanje obaveštenja bezbednosnim analitičarima da istraže neuobičajeno ponašanje.

Uloga UEBA-e u reagovanju na incidente

Analitika ponašanja korisnika i entiteta koristi tehnike mašinskog učenja i dubokog učenja za nadzor i analizu uobičajenog ponašanja ljudi i mašina unutar organizacije.

Kada dođe do odstupanja od uobičajenog obrasca, UEBA sistem detektuje to odstupanje i analizira da li neobično ponašanje predstavlja stvarnu pretnju.

UEBA prikuplja podatke iz različitih izvora evidencije, kao što su baze podataka, Windows AD, VPN, proxy, fajlovi i krajnje tačke, kako bi sprovela detaljnu analizu. Koristeći ove informacije i prethodno naučeno ponašanje, UEBA može da kombinuje podatke i generiše finalni rezultat za rangiranje rizika, šaljući detaljan izveštaj bezbednosnim analitičarima.

Na primer, UEBA može da primeti zaposlenog koji se prvi put prijavljuje putem VPN-a iz Afrike. Samo zato što je ponašanje zaposlenog neuobičajeno, ne mora da znači da se radi o pretnji; možda je korisnik samo na putovanju. Međutim, ako isti zaposleni iz odeljenja ljudskih resursa iznenada pokuša da pristupi finansijskoj podmreži, UEBA će prepoznati aktivnost kao sumnjivu i alarmirati bezbednosni tim.

Evo još jednog relevantnog scenarija.

Hari, zaposleni u bolnici Mount Sinai u Njujorku, očajnički traži novac. Jednog dana, Hari sačekuje da svi napuste kancelariju i prebacuje osetljive informacije o pacijentima na USB uređaj u 19 časova. On planira da proda ukradene podatke na crnom tržištu po visokoj ceni.

Srećom, bolnica Mount Sinai koristi UEBA rešenje koje prati ponašanje svakog korisnika i entiteta unutar bolničke mreže.

Iako Hari ima dozvolu da pristupi informacijama o pacijentima, UEBA sistem povećava njegov rezultat rizika kada otkrije odstupanje od njegovih uobičajenih aktivnosti, koje obično uključuju pregledanje, kreiranje i izmenu podataka o pacijentima između 9 i 17 časova.

Kada Hari pokuša da pristupi informacijama u 19 časova, sistem identifikuje nepravilnosti u šablonu i vremenu i dodeljuje mu odgovarajuću ocenu rizika.

Možete podesiti svoj UEBA sistem da samo generiše upozorenje za bezbednosni tim kako bi predložio dalju istragu, ili ga možete podesiti da odmah preduzme određene mere, kao što je automatsko isključivanje mrežne veze za zaposlenog zbog sumnje na sajber napad.

Da li mi je potrebno UEBA rešenje?

UEBA rešenje je od suštinskog značaja za organizacije, jer hakeri izvode sve sofisticiranije napade koje je sve teže otkriti. Ovo je posebno tačno u slučajevima kada pretnja dolazi iznutra.

Prema najnovijim statistikama o sajber bezbednosti, više od 34% kompanija je pogođeno pretnjama iznutra na globalnom nivou. Pored toga, 85% kompanija izjavljuje da im je teško da odrede stvarnu cenu unutrašnjih napada.

Kao rezultat toga, bezbednosni timovi se okreću novijim pristupima otkrivanju i reagovanju na incidente (IR). Da bi uravnotežili i poboljšali svoje bezbednosne sisteme, bezbednosni analitičari kombinuju tehnologije kao što je analitika ponašanja korisnika i entiteta (UEBA) sa konvencionalnim SIEM sistemima i drugim zastarelim sistemima za prevenciju.

UEBA vam pruža moćniji sistem za otkrivanje unutrašnjih pretnji u poređenju sa drugim tradicionalnim bezbednosnim rešenjima. On prati ne samo neuobičajeno ljudsko ponašanje, već i sumnjiva bočna kretanja. UEBA takođe nadgleda aktivnosti na vašim uslugama u oblaku, mobilnim uređajima i uređajima za internet stvari.

Sofisticirani UEBA sistem prikuplja podatke iz svih relevantnih izvora evidencije i kreira detaljan izveštaj o napadu za vaše bezbednosne analitičare. Na taj način štedi vreme bezbednosnog tima koje bi inače potrošili pregledajući brojne evidencije kako bi utvrdili stvarnu štetu nastalu napadom.

U nastavku su navedeni neki od glavnih načina primene UEBA.

6 glavnih načina korišćenja UEBA

#1. UEBA detektuje zloupotrebu unutrašnjih privilegija kada korisnici obavljaju rizične aktivnosti koje odstupaju od utvrđenog normalnog ponašanja.

#2. UEBA kombinuje sumnjive informacije iz različitih izvora da bi generisala ocenu rizika za rangiranje pretnji.

#3. UEBA vrši priorizaciju incidenata smanjujući broj lažnih pozitivnih rezultata. Time se eliminiše zamor od prevelikog broja upozorenja i omogućava bezbednosnim timovima da se fokusiraju na upozorenja visokog rizika.

#4. UEBA sprečava gubitak i eksfiltraciju podataka, jer sistem šalje upozorenja kada detektuje da se osetljivi podaci premeštaju unutar mreže ili prenose van mreže.

#5. UEBA pomaže u otkrivanju bočnog kretanja hakera unutar mreže koji su možda ukrali akreditive za prijavu zaposlenih.

#6. UEBA takođe obezbeđuje automatizovane odgovore na incidente, omogućavajući bezbednosnim timovima da reaguju na bezbednosne incidente u realnom vremenu.

Kako UEBA unapređuje UBA i zastarele bezbednosne sisteme poput SIEM-a

UEBA ne zamenjuje druge bezbednosne sisteme, već predstavlja značajno unapređenje koje se koristi pored ostalih rešenja za efikasniju kibernetičku bezbednost. UEBA se razlikuje od analitike ponašanja korisnika (UBA) po tome što uključuje “Entitete” i “Događaje” kao što su serveri, ruteri i krajnje tačke.

UEBA rešenje je sveobuhvatnije od UBA, jer prati neljudske procese i mašinske entitete kako bi preciznije identifikovalo pretnje.

SIEM je skraćenica za bezbednosne informacije i upravljanje događajima. Tradicionalni zastareli SIEM sistemi možda nisu dovoljni da otkriju sofisticirane pretnje, jer nisu dizajnirani da nadgledaju pretnje u realnom vremenu. S obzirom na to da hakeri često izbegavaju jednostavne jednokratne napade i umesto toga učestvuju u lancu sofisticiranih napada, tradicionalni alati za detekciju pretnji kao što je SIEM mogu ostati neotkriveni nedeljama ili čak mesecima.

Sofisticirano UEBA rešenje prevazilazi ovo ograničenje. UEBA sistemi analiziraju podatke koje čuva SIEM i rade zajedno na praćenju pretnji u realnom vremenu, omogućavajući vam da brzo i efikasno reagujete na povrede bezbednosti.

Stoga, kombinovanjem UEBA i SIEM alata, organizacije mogu biti mnogo efikasnije u otkrivanju i analizi pretnji, brzom rešavanju ranjivosti i izbegavanju napada.

Najbolje prakse Analitike ponašanja korisnika i entiteta

U nastavku je navedeno pet najboljih praksi za analitiku ponašanja korisnika, koje daju uvid u ono što treba uraditi prilikom izrade osnovne linije za ponašanje korisnika.

#1. Definišite slučajeve upotrebe

Definišite slučajeve upotrebe koje želite da vaše UEBA rešenje identifikuje. To može biti otkrivanje zloupotrebe privilegovanih naloga, kompromitovanje akreditiva ili unutrašnje pretnje. Definisanje slučajeva upotrebe pomaže vam da odredite koje podatke da prikupljate za nadzor.

#2. Definišite izvore podataka

Što više tipova podataka vaši UEBA sistemi mogu da obrađuju, to će biti preciznija osnovna linija. Neki izvori podataka uključuju sistemske evidencije ili podatke o ljudskim resursima, kao što je istorija učinka zaposlenih.

#3. Definišite ponašanja o tome koji će podaci biti prikupljeni

Ovo može uključivati radno vreme zaposlenih, aplikacije i uređaje kojima često pristupaju, kao i ritmove kucanja. Sa ovim podacima, možete bolje razumeti potencijalne razloge za pojavu lažnih pozitivnih rezultata.

#4. Podesite trajanje za uspostavljanje osnovne linije

Prilikom određivanja trajanja osnovnog perioda, od suštinskog je značaja da uzmete u obzir bezbednosne ciljeve vašeg poslovanja i aktivnosti korisnika.

Početni period ne bi trebalo da bude ni prekratak ni predugačak. To je zato što možda nećete moći da prikupite tačne informacije ako prebrzo završite osnovno trajanje, što rezultira velikom stopom lažnih pozitivnih rezultata. S druge strane, neke zlonamerne aktivnosti mogu biti propuštene kao normalne ako vam treba predugo da prikupite osnovne informacije.

#5. Redovno ažurirajte svoje osnovne podatke

Možda ćete morati redovno da obnavljate svoje osnovne podatke, jer se aktivnosti korisnika i entiteta stalno menjaju. Zaposleni može biti unapređen i promeniti svoje zadatke i projekte, nivo privilegija i aktivnosti. UEBA sistemi se mogu automatski podesiti da prikupljaju podatke i prilagođavaju osnovne podatke kada dođe do promena.

Zaključak

Kako se sve više oslanjamo na tehnologiju, pretnje kibernetičkoj bezbednosti postaju sve složenije. Velika preduzeća moraju da obezbede svoje sisteme koji čuvaju osetljive podatke o njima samima i njihovim klijentima, kako bi izbegli ozbiljna narušavanja bezbednosti. UEBA nudi sistem odgovora na incidente u realnom vremenu koji može da spreči napade.