Разумевање УЕБА и њене улоге у реаговању на инциденте

by
Tweet
Share
Share
Pin

Нарушавања безбедности постају све чешћа у дигиталном свету. УЕБА помаже организацијама да открију ове инциденте и реагују на њих.

Аналитика понашања корисника и ентитета (УЕБА) је раније била позната као Аналитика понашања корисника (УБА). То је решење за сајбер безбедност које користи аналитику да би стекло разумевање о томе како се корисници (људи) и ентитети (мрежни уређаји и сервери) у организацији обично понашају да открију и реагују на аномалну активност у реалном времену.

УЕБА може да идентификује и упозори безбедносне аналитичаре на ризичне варијације и сумњиво понашање које би могло да указује на:

  • Бочно кретање
  • Злоупотреба привилегованог налога
  • Ескалација привилегија
  • Компромис акредитива или
  • Инсајдерске претње

УЕБА такође даље процењује ниво претње и даје оцену ризика која може помоћи у успостављању одговарајућег одговора.

Читајте даље да бисте сазнали о томе како УЕБА функционише, зашто организације прелазе на УЕБА, главне компоненте УЕБА, улогу УЕБА у реаговању на инциденте и најбоље праксе УЕБА.

Како функционише Аналитика понашања корисника и ентитета?

Аналитика понашања корисника и ентитета прво прикупља информације о очекиваном понашању људи и машина у вашој организацији из складишта података као што су језеро података, складиште података или преко СИЕМ-а.

УЕБА затим користи напредне аналитичке приступе за обраду ових информација како би одредила и даље дефинисала основну линију образаца понашања: одакле се запослени пријављује, њихов ниво привилегија, фајлови, сервери којима често приступају, време и учесталост приступа и уређаји за које користе приступ.

УЕБА затим континуирано прати активности корисника и ентитета, упоређује их са основним понашањем и одлучује које радње могу довести до напада.

УЕБА може знати када корисник обавља своје уобичајене активности и када се дешава напад. Иако хакер може да приступи подацима за пријаву запосленог, неће моћи да опонаша своје редовне активности и понашање.

УЕБА решење има три главне компоненте:

Аналитика података: УЕБА прикупља и организује податке о корисницима и ентитетима како би изградила стандардни профил о томе како се сваки корисник обично понаша. Статистички модели се затим формулишу и примењују да би се открила аномална активност и упозорио безбедносни тим.

Интеграција података: Да би систем био отпорнији, УЕБА упоређује податке добијене из различитих извора – као што су системски дневники, подаци о хватању пакета и други скупови података – са подацима прикупљеним из постојећих безбедносних система.

  12 најбољих стаклених кућишта за рачунаре за ваше прилагођене верзије

Презентација података: Процес кроз који УЕБА систем саопштава своје налазе и одговарајући одговор. Овај процес обично укључује издавање захтева безбедносним аналитичарима да истраже необично понашање.

Улога УЕБА-е у реаговању на инциденте

Аналитика понашања корисника и ентитета користи машинско учење и дубоко учење за праћење и анализу уобичајеног понашања људи и машина у вашој организацији.

Ако постоји одступање од уобичајеног обрасца, УЕБА систем га детектује и врши анализу која утврђује да ли необично понашање представља стварну претњу или не.

УЕБА уноси податке из различитих извора евиденције као што су база података, Виндовс АД, ВПН, прокси, значка, датотеке и крајње тачке да би извршила ову анализу. Користећи ове инпуте и научено понашање, УЕБА може да споји информације да направи коначан резултат за рангирање ризика и пошаље детаљан извештај безбедносним аналитичарима.

На пример, УЕБА може да погледа запосленог који први пут долази преко ВПН-а из Африке. Само зато што је понашање запосленог ненормално не значи да је то претња; корисник можда једноставно путује. Међутим, ако исти запослени у одељењу за људске ресурсе изненада приступи финансијској подмрежи, УЕБА би препознала активности запосленог као сумњиве и упозорила безбедносни тим.

Ево још једног релевантног сценарија.

Хари, запослени у болници Моунт Синаи у Њујорку, очајнички тражи новац. На овај дан, Хари чека да сви напусте канцеларију, а затим преузима осетљиве информације пацијената на УСБ уређај у 19 часова. Он намерава да прода украдене податке на црном тржишту за висок долар.

Срећом, болница Моунт Синаи користи УЕБА решење, које прати понашање сваког корисника и ентитета унутар болничке мреже.

Иако Хари има дозволу да приступи информацијама о пацијентима, УЕБА систем повећава његов резултат ризика када открије одступање од његових уобичајених активности, које обично укључују гледање, креирање и уређивање записа пацијената између 9 и 17 часова.

Када Хари покуша да приступи информацијама у 19 часова, систем идентификује неправилности у шаблону и времену и додељује оцену ризика.

Можете да подесите свој УЕБА систем тако да једноставно креира упозорење за безбедносни тим како би предложио даљу истрагу, или га можете подесити да предузме тренутне радње као што је аутоматско искључивање мрежне везе за тог запосленог због сумње на сајбер напад.

Да ли ми треба УЕБА решење?

УЕБА решење је од суштинског значаја за организације јер хакери изводе софистицираније нападе које је све теже открити. Ово је посебно тачно у случајевима када претња долази изнутра.

  Шта је сајбер шпијунажа и како је спречити

Према најновијим статистикама о сајбер безбедности, више од 34% компанија су погођене инсајдерским претњама широм света. Поред тога, 85% предузећа каже да је тешко квантификовати стварну цену инсајдерског напада.

Као резултат тога, безбедносни тимови се померају ка новијим приступима откривању и реаговању на инциденте (ИР). Да би уравнотежили и побољшали своје безбедносне системе, безбедносни аналитичари спајају технологије попут анализе понашања корисника и ентитета (УЕБА) са конвенционалним СИЕМ-овима и другим застарелим системима за превенцију.

УЕБА вам пружа моћнији систем за откривање инсајдерских претњи у поређењу са другим традиционалним безбедносним решењима. Он прати не само аномално људско понашање, већ и сумњиве бочне покрете. УЕБА такође прати активности на вашим услугама у облаку, мобилним уређајима и уређајима за интернет ствари.

Софистицирани УЕБА систем уноси податке из свих различитих извора евиденције и прави детаљан извештај о нападу за ваше безбедносне аналитичаре. Ово вашем безбедносном тиму штеди време које је провело пролазећи кроз безбројне евиденције да би се утврдила стварна штета услед напада.

Ево неких од многих случајева употребе УЕБА-е.

6 најбољих случајева коришћења УЕБА

#1. УЕБА открива злоупотребу инсајдерских привилегија када корисници обављају ризичне активности ван устаљеног нормалног понашања.

#2. УЕБА спаја сумњиве информације из различитих извора како би створила оцену ризика за рангирање ризика.

#3. УЕБА врши одређивање приоритета инцидента тако што смањује лажне позитивне резултате. Елиминише замор од упозорења и омогућава тимовима за безбедност да се фокусирају на упозорења високог ризика.

#4. УЕБА спречава губитак података и ексфилтрацију података јер систем шаље упозорења када открије да се осетљиви подаци премештају унутар мреже или преносе ван мреже.

#5. УЕБА помаже у откривању бочног кретања хакера унутар мреже који су можда украли акредитиве за пријаву запослених.

#6. УЕБА такође обезбеђује аутоматизоване одговоре на инциденте, омогућавајући безбедносним тимовима да реагују на безбедносне инциденте у реалном времену.

Како УЕБА побољшава УБА и застареле безбедносне системе као што је СИЕМ

УЕБА не замењује друге безбедносне системе, али представља значајно побољшање које се користи поред других решења за ефикаснију сајбер безбедност. УЕБА се разликује од аналитике понашања корисника (УБА) по томе што УЕБА укључује „Ентитете“ и „Догађаје“ као што су сервери, рутери и крајње тачке.

УЕБА решење је свеобухватније од УБА јер прати нељудске процесе и машинске ентитете да би прецизније идентификовало претње.

СИЕМ је скраћеница за безбедносне информације и управљање догађајима. Традиционални застарели СИЕМ можда неће моћи сам да открије софистициране претње јер није дизајниран да надгледа претње у реалном времену. А с обзиром на то да хакери често избегавају једноставне једнократне нападе и уместо тога учествују у ланцу софистицираних напада, традиционални алати за откривање претњи као што је СИЕМ могу недељама или чак месецима остати неоткривени.

  Како заобићи Веризон екран за активацију

Софистицирано УЕБА решење решава ово ограничење. УЕБА системи анализирају податке које чува СИЕМ и раде заједно на праћењу претњи у реалном времену, омогућавајући вам да брзо и без напора одговорите на кршења.

Стога, спајањем УЕБА и СИЕМ алата, организације могу бити много ефикасније у откривању и анализи претњи, брзо решавају рањивости и избегавају нападе.

Најбоље праксе Аналитике понашања корисника и ентитета

Ево пет најбољих пракси за аналитику понашања корисника које дају увид у ствари које треба урадити приликом изградње основне линије за понашање корисника.

#1. Дефинишите случајеве употребе

Дефинишите случајеве употребе које желите да ваше УЕБА решење идентификује. То може бити откривање злоупотребе привилегованог налога, компромитовање акредитива или инсајдерске претње. Дефинисање случајева употребе помаже вам да одредите које податке да прикупите за праћење.

#2. Дефинишите изворе података

Што више типова података ваши УЕБА системи могу да обрађују, то ће бити прецизнија основа. Неки извори података укључују системске евиденције или податке о људским ресурсима као што је историја учинка запослених.

#3. Дефинишите понашања о томе који ће подаци бити прикупљени

Ово може укључивати радно време запослених, апликације и уређаје којима често приступају, као и ритмове куцања. Са овим подацима, можете боље разумети могуће разлоге за лажне позитивне резултате.

#4. Подесите трајање за успостављање основне линије

Приликом одређивања трајања вашег основног периода, од суштинског је значаја да узмете у обзир безбедносне циљеве вашег пословања и активности корисника.

Почетни период не би требало да буде сувише кратак или предугачак. То је зато што можда нећете моћи да прикупите тачне информације ако пребрзо завршите основно трајање, што резултира великом стопом лажних позитивних резултата. С друге стране, неке злонамерне активности могу бити прослеђене као нормалне ако вам треба предуго да прикупите основне информације.

#5. Редовно ажурирајте своје основне податке

Можда ћете морати редовно да обнављате своје основне податке јер се активности корисника и ентитета стално мењају. Запослени може бити унапређен и променити своје задатке и пројекте, ниво привилегија и активности. УЕБА системи се могу аутоматски подесити да прикупљају податке и прилагођавају основне податке када дође до промена.

Завршне речи

Како се све више ослањамо на технологију, претње сајбер безбедности постају сложеније. Велико предузеће мора да обезбеди своје системе који држе осетљиве податке о себи и својим клијентима како би избегло велике повреде безбедности. УЕБА нуди систем одговора на инциденте у реалном времену који може спречити нападе.