Što je analitika ponašanja korisnika i entiteta (UEBA)?

Jezgru UEBA-e čine dvije ključne komponente: analitika ponašanja korisnika (UBA) i analitika ponašanja entiteta (EBA).

UBA tvrtkama i ustanovama omogućuje da na temelju razumijevanja ponašanja korisnika opaze i spriječe potencijalne sigurnosne rizike. To se postiže praćenjem i analizom uzoraka svih aktivnosti korisnika radi formiranja referentnog modela uobičajenog ponašanja. Model koji se koristi za učenje o ponašanju na temelju tog uzorka određuje vjerojatnost da se određeni korisnik upusti u određenu aktivnost.

Kao i UBA, EBA pomaže tvrtkama i ustanovama da prepoznaju potencijalne računalne prijetnje, ali na mrežnoj strani. EBA nadzire i analizira aktivnost između umjetnih entiteta, kao što su poslužitelji, aplikacije, baze podataka i Internet stvari (IoT). To pomaže pri prepoznavanju sumnjivih vidova ponašanja koji mogu upućivati na kršenje sigurnosti, poput neovlaštenog pristupanja podacima ili neuobičajenih uzoraka prijenosa podataka.

UBA i AZURE zajedno čine rješenje koje uspoređuje niz artefakata, uključujući geografske lokacije, uređaje, okruženja, vrijeme, učestalost te ponašanje drugih ravnopravnih osoba iz tvrtke ili ustanove.

UEBA prikuplja podatke o korisnicima i entitetima iz svih povezanih izvora podataka diljem mreže tvrtke ili ustanove. Podaci o korisnicima mogu obuhvaćati obrasce aktivnosti prijave, mjesta i pristupanja podacima, dok podaci o entitetu mogu obuhvaćati zapisnike mrežnih uređaja, poslužitelja, krajnjih točaka, aplikacija i drugih dodatnih servisa.

UEBA analizira prikupljene podatke i koristi ih za definiranje referentnih vrijednosti, odnosno uobičajenih profila ponašanja svakog korisnika i entiteta. Referentne se vrijednosti zatim koriste za izradu dinamičnih modela ponašanja, koji neprekidno uče i s vremenom se prilagođavaju na temelju podataka koji im pristižu.

Koristeći referentne vrijednosti kao vodič za uobičajeno ponašanje, UEBA nastavlja nadzirati aktivnosti korisnika i entiteta u stvarnom vremenu kako bi tvrtka ili ustanova lakše utvrdila je li neki resurs kompromitiran. Sustav otkriva neuobičajene aktivnosti koje odstupaju od uobičajenog referentnog ponašanja, poput pokretanja neuobičajeno opsežnih prijenosa podataka, što aktivira upozorenje. Iako anomalije same po sebi ne moraju upućivati na zlonamjerno ili čak ni sumnjivo ponašanje, mogu se koristiti za poboljšanje otkrivanja, istraživanja i lociranja prijetnji.

Upozorenja s uvidom u ponašanje korisnika, vrstu anomalije i potencijalnu razinu rizika šalju se timu centra za sigurnosne operacije (SOC). Tim SOC-a prima informacije i na temelju ponašanja, konteksta i prioriteta rizika određuje je li potrebna njihova dodatna istraga.

Primjenom UEBA-e uz širi skup rješenja za računalne prijetnje tvrtke ili ustanove oblikuju objedinjenu sigurnosnu platformu i ostvaruju bolje ukupno stanje sigurnosti. UEBA funkcionira i s upravljanim alatima za otkrivanje i reagiranje (MDR) te rješenjima za upravljanje povlaštenim pristupom (PAM) radi nadzora, odnosno s alatima za upravljanje sigurnosnim informacijama i događajima (SIEM) te s alatima za odgovor na incidente radi djelovanja i reagiranja.

Osobe koje lociraju prijetnje služe se obavještavanjem o prijetnjama kako bi utvrdile jesu li njihovi upiti razotkrili sumnjivo ponašanje. Kada je ponašanje sumnjivo, anomalije upućuju na potencijalne smjerove dalje istrage. Analiziranjem uzoraka i među korisnicima i među entitetima UEBA može brže otkriti mnogo širi raspon računalnih napada, uključujući rane računalne prijetnje, interne računalne prijetnje, DDoS napade i napade grubom silom prije nego što eskaliraju u mogući incident ili kršenje sigurnosti.

Modele UEBA-e pokreću algoritmi za strojno učenje koji na temelju analize podataka neprekidno uče iz obrazaca ponašanja korisnika i entiteta, koji se s vremenom mijenjaju. Prilagođavanjem sigurnosnim potrebama u stvarnom vremenu sigurnosna rješenja mogu ostati učinkovita unatoč promjenama u sigurnosnom okruženju u kojem su prisutne sofisticirane računalne prijetnje.

Sigurnosni analitičari upotrebljavaju anomalije kako bi potvrdili kršenje, procijenili njegov utjecaj i pružili pravovremene i djelotvorne uvide u potencijalne sigurnosne incidente, što timovi SOC-a mogu koristiti za dalje istraživanje slučajeva. To pak rezultira bržim i učinkovitijim rješavanjem incidenata, čime se smanjuje ukupan utjecaj računalnih prijetnji na cijelu tvrtku ili ustanovu.

U eri hibridnog rada ili rada na daljinu današnje se tvrtke ili ustanove suočavaju s računalnim prijetnjama koja se neprekidno razvijaju, pa se stoga moraju razvijati i njihove metode. Da bi učinkovitije otkrivali nove i postojeće računalne prijetnje, sigurnosni analitičari traže anomalije. Iako pojedinačne anomalije ne moraju nužno upućivati na zlonamjerno ponašanje, prisutnost većeg broja anomalija diljem stupnjeva napada može ukazivati na povećan rizik. Sigurnosni analitičari mogu dodatno poboljšati otkrivanje dodavanjem upozorenja na prepoznato neuobičajeno ponašanje. Usvajanjem UEBA-e i proširivanjem opsega zaštite na uređaje preko granica tradicionalnih uredskih okruženja tvrtke ili ustanove mogu proaktivno poboljšati sigurnost prijave, ublažiti računalne prijetnje i osigurati sveukupno otpornije i sigurnije okruženje.

U reguliranim djelatnostima, kao što su financijske usluge i zdravstvo, propisi o zaštiti podataka i privatnosti nameću standarde s kojima svaka tvrtka mora biti usklađena. UEBA-ine mogućnosti neprekidnog nadzora i izvješćivanja olakšavaju tvrtkama i ustanovama praćenje tih regulatornih zahtjeva vezanih uz usklađenost.

Iako UEBA tvrtkama i ustanovama nudi dragocjene uvide, ona sa sobom nosi i vlastiti jedinstven skup izazova koje treba uzeti u obzir. Evo nekih uobičajenih problema koje treba riješiti prilikom implementacije UEBA-e:

• Lažni pozitivni i negativni signali
  UEBA sustavi povremeno mogu pogrešno kategorizirati normalno ponašanje kao sumnjivo i generirati lažno pozitivan signal. Također, UEBA-i mogu promaknuti stvarne računalne prijetnje, što može generirati lažno negativan signal. Da bi otkrivanje računalnih prijetnji bilo točnije, tvrtke ili ustanove moraju pažljivo istraživati upozorenja.
  
  
• Nazivi koji nisu dosljedni među entitetima
  Davatelj resursa može stvoriti upozorenje koje nedovoljno jasno identificira entitet, poput korisničkog imena bez konteksta naziva domene. Kada se to dogodi, korisnikov entitet nije moguće spojiti s drugim instancama istog računa te ga se identificira kao zaseban entitet. Da bi se minimizirao taj rizik, ključno je identificirati entitete primjenom standardiziranog oblika i sinkronizirati entitete s njihovim davateljem identiteta radi stvaranja jedinstvenog direktorija.
  
  
• Pitanja zaštite privatnosti
  Jačanje sigurnosnih operacija ne bi se trebalo ostvarivati na štetu prava pojedinaca na zaštitu privatnosti. Kontinuiran nadzor ponašanja korisnika i entiteta postavlja pitanja povezana s etikom i zaštitom privatnosti, zbog čega je ključno odgovorno koristiti sigurnosne alate, osobito one poboljšane umjetnom inteligencijom.
  
  
• Računalne prijetnje koje se brzo razvijaju 
  Iako su UEBA sustavi osmišljeni tako da se prilagođavaju promjenjivim računalnim prijetnjama, svejedno se mogu pojaviti izazovi u njihovom držanju koraka s brzinom razvoja računalnih prijetnji. Budući da se tehnike i uzorci računalnih napada mijenjaju, ključno je nastaviti ugađati tehnologiju UEBA kako bi odgovarala potrebama tvrtke ili ustanove.

Uz napretke u strojnom učenju, integraciji umjetne inteligencije i analiziranju podataka s ciljem poboljšanja njezinih mogućnosti, budućnost UEBA-a čini se blistavom. Ovo su neki od najdojmljivijih trendova i događaja koji će vjerojatno oblikovati razvoj UEBA-e:

• Pomaci u umjetnoj inteligenciji za računalnu sigurnost
  Očekuje se da će se s razvojem snage i sofisticiranosti umjetne inteligencije i strojnog učenja prediktivne mogućnosti UEBA-e dodatno razvijati. Od algoritama strojnog učenja, koji neprestano uče na temelju prikupljenih podataka, očekuje se da će bolje prepoznavati složene uzorke i anomalije, poboljšati točnost otkrivanja računalnih prijetnji i smanjiti broj lažno pozitivnih signala.
  
  
• Integracija s proširenim otkrivanjem i reagiranjem (XDR) te prepoznavanjem i reagiranjem u krajnjim točkama (EDR) 
  Očekuje se da će se UEBA još bolje integrirati s EDR i XDR rješenjima. EDR rješenja šire opseg zaštite kako bi omogućila vidljivosti na razini više platformi i svih krajnjih točaka. XDR rješenja dodatno šire taj opseg nudeći zaštitu šire palete proizvoda, uključujući mreže, poslužitelje, aplikacije u oblaku i krajnje točke. Ugrađivanjem UEBA-e u XDR i EDR poboljšava se obavještavanje o prijetnjama koje ta rješenja nude, pa tvrtke i ustanove mogu učinkovitije otkrivati računalne prijetnje i reagirati na njih u okruženju s više oblaka i platformi.
  
  
• Automatizacija odgovora na incidente 
  U kombinaciji s UEBA-inim uvidima automatizirani će odgovori na incidente postati brži, sofisticiraniji i učinkovitiji, čime će se smanjiti ukupan utjecaj sigurnosnih incidenata.
  
  
• Mogućnosti proaktivnije zaštite 
  UEBA će se ugraditi i u otkrivanje povezano s identitetima i krajnjim točkama te rješenja za zaštitu. Suočena sa sve sofisticiranijim računalnim napadima UEBA će se razvijati zajedno s komplementarnim sigurnosnim rješenjima kako bi pružila još naprednije otkrivanje prijetnji i brze odgovore na incidente. Upravljano prošireno otkrivanje i reagiranje (MXDR), primjerice, objedinjuje upravljane usluge nadzora, lociranja i popravka u okviru upravljanog otkrivanja i reagiranja (MDR) s proširenom sigurnosnom zaštitom koju pruža XDR, a sve to s ciljem pružanja brzog, učinkovitog i proaktivnog obuhvaćanja računalnih prijetnji iza krajnje točke. Te nove mogućnosti UEBA-e timovima SOC-a omogućit će proaktivno traženje računalnih prijetnji u širokom rasponu IT okruženja, što tvrtkama i ustanovama omogućuje da ostanu korak ispred novih računalnih prijetnji.

Analiza mrežnog prometa (NTA) pristup je računalnoj sigurnosti koji u praksi ima mnogo sličnosti s UEBA-om, ali se razlikuje po fokusu, primjeni i razmjerima. Pri oblikovanju sveobuhvatnog rješenja za računalnu sigurnost ta se dva pristupa dobro nadopunjuju:

• Fokusira se na razumijevanje i nadzor ponašanja korisnika i entiteta unutar mreže putem strojnog učenja i umjetne inteligencije.
• Prikuplja podatke iz izvora povezanih s korisnicima i entitetima, što može obuhvaćati aktivnost prijave, zapisnike o pristupanju i podatke o događajima, kao i interakcije među entitetima.
• Koristi modele ili referentne vrijednosti da bi identificirala interne prijetnje, kompromitirane račune i neuobičajene vidove ponašanja koji bi mogli dovesti do mogućeg incidenta.

• Fokusira se na razumijevanje i nadzor protoka podataka unutar mreže ispitivanjem podatkovnih paketa i prepoznavanjem uzoraka koji bi mogli upućivati na potencijalnu prijetnju.
• Prikuplja podatke iz mrežnog prometa, što može obuhvaćati mrežne zapisnike, protokole, IP adrese i obrasce prometa.
• Koristi uzorke prometa za prepoznavanje prijetnji koje se oslanjaju na mrežu, kao što su DDoS napadi, zlonamjerni softver te krađa i izvlačenje podataka.
• Dobro funkcionira s drugim alatima i tehnologijama za mrežnu sigurnost, kao i s UEBA-om.

Budući da se prijetnje računalnoj sigurnosti brzo razvijaju, UEBA rješenja postaju sve neizostavnija u strategiji zaštite tvrtke ili ustanove. Ključ bolje zaštite vaše tvrtke od budućih internetskih prijetnji jest da ostanete informirani, proaktivni i budni.

Ako ste zainteresirani za jačanje računalne sigurnosti svoje tvrtke ili ustanove uz pomoć mogućnosti UEBA-e nove generacije, bilo bi dobro da se upoznate s najnovijim opcijama. Objedinjena rješenja za sigurnosne operacije povezuju mogućnosti SIEM-a i UEBA-e kako bi vaša tvrtka ili ustanova putem samo jedne platforme uočavala i zaustavljala sofisticirane računalne prijetnje u stvarnom vremenu. Budite brži uz objedinjenu sigurnost i vidljivost koja obuhvaća sve vaše oblake, platforme i usluge u krajnjim točkama. Ostvarite cjelovit pregled stanja sigurnosti objedinjavanjem sigurnosnih podataka iz cijele tehnološke infrastrukture te primjenom umjetne inteligencije otkrijte potencijalne računalne prijetnje.