Kas yra vartotojų ir objektų elgesio analizė (UEBA)?

Iš esmės UEBA sudaro du pagrindiniai komponentai: vartotojo veikimo analizė (UBA) ir objektų veikimo analizė (EBA).

UBA padeda organizacijoms matyti ir sustabdyti galimą saugos riziką suprantant vartotojo elgseną. Tai pasiekiama stebint ir analizuojant vartotojo veiklos šablonus, kad būtų sukurtas bazinis įprasto elgesio modelis. Modelis nustato tikimybę, kad konkretus vartotojas atliks konkrečią veiklą, remdamasis šiuo elgesio mokymosi modeliu.

Kaip ir UBA, EBA taip pat gali padėti organizacijoms nustatyti galimas kibernetines grėsmes tinkle. EBA stebi ir analizuoja ne žmogiškųjų objektų, pvz., serverių, programų, duomenų bazių ir internetu sąveikaujančių įrenginių (IoT) veiklą. Tai padeda nustatyti įtartiną elgesį, kuris gali rodyti pažeidimą, pvz., neteisėtą prieigą prie duomenų arba neįprastus duomenų perdavimo modelius.

Kartu UBA ir EBA sudaro sprendimą, kuris palygina įvairius artefaktus, įskaitant geografines vietas, įrenginius, aplinkas, laiką, dažnį, bei kolegų arba visos organizacijos elgesį.

UEBA renka vartotojų ir objektų duomenis iš visų prijungtų duomenų šaltinių visame organizacijos tinkle. Vartotojų duomenys gali apimti prisijungimo veiklą, vietą ir duomenų prieigos šablonus, o objektų duomenys gali apimti žurnalus iš tinklo įrenginių, serverių, galinių punktų, programų ir kitų papildomų tarnybų.

UEBA analizuoja surinktus duomenis ir juos naudoja tam, kad nustatytų kiekvieno vartotojo ir objekto bazines linijas arba įprastus elgesio profilius. Tada bazinės linijos naudojamos dinaminiams elgesio modeliams, kurie laikui bėgant nuolat mokosi ir prisitaiko pagal gaunamus duomenis, kurti.

Naudodama bazines linijas kaip įprasto elgesio atskaitos tašką, UEBA ir toliau stebi vartotojų ir objektų elgesį realiuoju laiku, kad padėtų organizacijai nustatyti, ar išteklius buvo pažeistas. Sistema aptinka neįprastą nuo įprasto bazinės linijos elgesio nukrypstančią veiklą, pvz., neįprastai didelio kiekio duomenų perdavimo inicijavimą, ir tai suaktyvina įspėjimą. Nors pačios anomalijos nebūtinai rodo kenkėjišką ar net įtartiną elgesį, jas galima naudoti siekiant pagerinti aptikimą, tyrimus ir grėsmių paiešką.

Įspėjimai, kuriuose pateikiamos įžvalgos apie vartotojų elgseną, anomalijų tipą ir galimą rizikos lygį, siunčiami saugos operacijų centro (SOC) komandai. SOC komanda gauna informaciją ir nustato, ar ji turėtų atlikti tyrimą atsižvelgdama į elgesį, kontekstą ir rizikos prioritetą.

Naudodamos UEBA kartu su platesniu kibernetinių grėsmių sprendimų rinkiniu, organizacijos sukuria bendrą saugos platformą ir apskritai sustiprina savo saugumą. UEBA taip pat veikia su valdomo aptikimo ir reagavimo (MDR) įrankiais ir privilegijuotos prieigos valdymo (PAM) stebėjimo sprendimais; saugos informacijos ir įvykių valdymu (SIEM); ir reagavimo į incidentus įrankiais, skirtais veikti ir reaguoti.

Grėsmių ieškotojai naudoja grėsmių analizę, kad galėtų nustatyti, ar jų užklausos atskleidė įtartiną elgesį. Kai elgesys įtartinas, anomalijos nurodo galimus tolesnio tyrimo kelius. Analizuodama vartotojų ir subjektų modelius, UEBA gali greičiau aptikti daug įvairesnių kibernetinių atakų, įskaitant ankstyvąsias kibernetines grėsmes, vidines kibernetines grėsmes, „DDoS“ atakas ir grubios jėgos atakas, kol jos dar neperaugo į potencialų incidentą ar pažeidimą.

UEBA modelius valdo mašininio mokymo algoritmai, kurie naudodami duomenų analizę nuolat mokosi iš kintančių vartotojų ir objektų elgsenos modelių. Prisitaikydami prie saugos poreikių realiuoju laiku, saugos sprendimai gali išlikti veiksmingi kintančioje saugumo aplinkoje, kurioje kyla sudėtingų kibernetinių grėsmių.

Saugos analitikai naudoja anomalijas, kad galėtų patvirtinti pažeidimą, įvertinti jo poveikį ir laiku pateikti praktiškai pritaikomas įžvalgas apie galimus saugos incidentus, kurias SOC komandos gali naudoti toliau tirdamos atvejus. Tai savo ruožtu leidžia greičiau ir efektyviau spręsti incidentus ir dėl to bendras kibernetinių grėsmių poveikis visai organizacijai sumažėja iki minimumo.

Hibridinio arba nuotolinio darbo eroje šiandienos organizacijos susiduria su nuolat kintančiomis kibernetinėmis grėsmėmis, todėl organizacijų metodai taip pat turi būti tobulinami. Norėdami efektyviau aptikti naujas ir esamas kibernetines grėsmes, saugos analitikai ieško anomalijų. Nors viena anomalija nebūtinai nurodo kenkėjišką elgesį, kelių anomalijų buvimas grandinės sunaikinime gali rodyti didesnę riziką. Saugos analitikai gali dar labiau patobulinti aptikimus įtraukdami įspėjimus apie aptiktą neįprastą elgesį. Naudodamos UEBA ir išplėsdamos savo saugos aprėptį, kad ji apimtų ne įprastus biuro nustatymus turinčius įrenginius, organizacijos gali aktyviai tobulinti prisijungimo saugą, sumažinti kibernetines grėsmes ir apskritai užtikrinti lankstesnę ir saugesnę aplinką.

Reguliuojamose, pvz., finansinių paslaugų ir sveikatos priežiūros, sektoriuose duomenų apsaugos ir privatumo nuostatose pateikiami standartai, kuriuos turi atitikti kiekviena įmonė. UEBA nuolatinio stebėjimo ir ataskaitų kūrimo galimybės padeda organizacijoms stebėti šiuos reguliavimo atitikties reikalavimus.

Nors UEBA suteikia organizacijoms neįkainojamų įžvalgų, ji taip pat yra susijusi su unikaliais iššūkiais, į kuriuos reikia atsižvelgti. Toliau pateikiami keli dažnai pasitaikantys iššūkiai, kuriuos reikia įveikti diegiant UEBA.

• Klaidingai teigiami ir neigiami rezultatai
  Kartais UEBA sistemos gali klaidingai klasifikuoti įprastą elgesį kaip įtartiną ir generuoti klaidingai teigiamą rezultatą. UEBA taip pat gali nepastebėti realių saugos kibernetinių grėsmių ir gali generuoti klaidingai neigiamą rezultatą. Kad kibernetinių grėsmių aptikimas būtų tikslesnis, organizacijos turi atidžiai ištirti įspėjimus.
  
  
• Nenuoseklus objektų pavadinimų suteikimas
  Išteklių teikėjas gali sukurti įspėjimą, kuris nepakankamai identifikuoja objektą, pvz., vartotojo vardą be domeno vardo konteksto. Tokiu atveju vartotojo objekto negalima sulieti su kitais tos pačios paskyros egzemplioriais ir tada jis identifikuojamas kaip atskiras objektas. Norint sumažinti šią riziką, labai svarbu identifikuoti objektus naudojant standartinę formą ir sinchronizuoti objektus su tapatybės teikėju, kad būtų sukurtas vienas katalogas.
  
  
• Privatumo problemos
  Saugos operacijų stiprinimas neturėtų būti atliekamas atskirų privatumo teisių sąskaita. Nuolatinis vartotojų ir objektų elgesio stebėjimas kelia su konfidencialumu ir privatumu susijusių klausimų, todėl labai svarbu atsakingai naudoti saugos įrankius, ypač patobulintus dirbtiniu intelektu.
  
  
• Sparčiai kintančios kibernetinės grėsmės 
  Nors UEBA sistemos skirtos prisitaikyti prie kintančių kibernetinių grėsmių aplinkos, tačiau vis tiek gali susidurti su sunkumais, kai reikia neatsilikti nuo sparčiai kintančių kibernetinių grėsmių. Keičiantis kibernetinių atakų metodams ir modeliams, labai svarbu toliau derinti UEBA technologiją, kad būtų patenkinti organizacijos poreikiai.

Atsižvelgiant į mašininio mokymo, dirbtinio intelekto integracijos ir duomenų analizės pasiekimus, kurie turėtų padidinti UEBA galimybes, jos ateitis atrodo šviesi. Toliau pateikiama keletas svarbiausių tendencijų ir pokyčių, kurie gali nulemti UEBA raidą.

• Pažanga naudojant dirbtinį intelektą kibernetinės saugos srityje
  Kadangi dirbtinis intelektas ir mašininis mokymas tampa vis galingesni ir sudėtingesni, tikimasi, kad UEBA prognozavimo galimybės dar labiau išaugs. Tikimasi, kad mašininio mokymo algoritmai, kurie nuolat mokosi remdamiesi gaunamais duomenimis, padės geriau atpažinti sudėtingus modelius ir anomalijas, padidinti kibernetinių grėsmių aptikimo tikslumą ir sumažinti klaidingų teigiamų rezultatų skaičių.
  
  
• Integravimas su išplėstiniu aptikimu ir reagavimu (XDR) bei atakų prieš galinius punktus aptikimu ir reagavimu (EDR) 
  Tikimasi, kad UEBA dar labiau integruosis su EDR ir XDR sprendimais. EDR sprendimai išplečia saugos aprėptį, kad pabaigos taškus būtų galima matyti visose platformose. XDR sprendimai dar labiau išplečia šią sritį, nes užtikrina platesnio asortimento produktų, įskaitant tinklus, serverius, debesų technologijos pagrindu veikiančias programas ir galutinius taškus, saugą. Įtraukus UEBA į XDR ir EDR, patobulinamos šių sprendimų teikiamos grėsmių analizės funkcijos, kad organizacijos galėtų efektyviau aptikti kibernetines grėsmes ir į jas reaguoti kelių debesų ir kelių platformų aplinkoje.
  
  
• Reagavimo į incidentus automatizavimas 
  Kartu su UEBA įžvalgomis automatinis reagavimas į incidentus taps greitesnis, sudėtingesnis ir veiksmingesnis, todėl sumažės bendras saugumo incidentų poveikis.
  
  
• Daugiau aktyvių saugos galimybių 
  UEBA bus dar labiau integruota į tapatybės ir galinio punkto aptikimo bei apsaugos sprendimus. Vis sudėtingesnių kibernetinių atakų akivaizdoje UEBA bus plėtojama kartu su papildomais saugumo sprendimais, kad būtų užtikrintas dar pažangesnis grėsmių aptikimas ir greitas reagavimas į incidentus. Pavyzdžiui, valdomas išplėstinis aptikimas ir reagavimas (MXDR) sujungia valdomo aptikimo ir reagavimo (MDR) stebėjimą, grėsmių paiešką ir taisymo tarnybas su XDR išplėstine saugos apsauga, kad už galinio punkto ribų būtų teikiama greita, efektyvi ir aktyvi kibernetinė apsauga. Šios naujos UEBA galimybės suteiks SOC komandoms galimybę aktyviai ieškoti kibernetinių grėsmių įvairesnėse IT aplinkose, o tai suteiks organizacijoms galimybę išlikti pranašesnėms prieš kylančias kibernetines grėsmes.

Tinklo srauto analizė (NTA) yra kibernetinės saugos metodas, kuris iš tikrųjų turi daug panašumų su UEBA, tačiau skiriasi dėmesio sutelkimo, taikymo ir masto požiūriu. Kuriant visapusį kibernetinės saugos sprendimą, abu būdai puikiai veikia kartu:

• Dėmesys sutelkiamas į vartotojų ir objektų elgesio tinkle supratimą ir stebėjimą naudojant mašininį mokymą ir dirbtinį intelektą.
• Renka duomenis iš vartotojų ir objektų šaltinių, kurie gali apimti prisijungimo veiklą, prieigos žurnalus ir įvykių duomenis, taip pat sąveiką tarp objektų.
• Naudoja modelius arba bazines linijas, kad nustatytų vidines grėsmes, pažeistas paskyras ir neįprastą elgesį, dėl kurio gali kilti incidentas.

• Dėmesys sutelkiamas į duomenų srauto tinkle suvokimą ir stebėjimą, tirdama duomenų paketus ir identifikuodama modelius, kurie gali rodyti galimą grėsmę.
• Renka tinklo srauto duomenis, kurie gali apimti tinklo žurnalus, protokolus, IP adresus ir srauto modelius.
• Naudoja srauto modelius, kad nustatytų tinklo grėsmes, pvz., „DDoS“ atakas, kenkėjiškas programas ir duomenų vagystes bei eksfiltraciją.
• Puikiai veikia su kitais tinklo saugos įrankiais ir technologijomis, taip pat UEBA.

Kadangi kibernetinio saugumo grėsmės ir toliau sparčiai evoliucionuoja, UEBA sprendimai tampa kaip niekada svarbūs organizacijos gynybos strategijai. Norint geriau apsaugoti įmonę nuo būsimų kibernetinių grėsmių, reikia išlikti informuotiems, iniciatyviems ir sąmoningiems.

Jei norite sustiprinti savo organizacijos kibernetinę saugą naujos kartos UEBA galimybėmis, norėsite susipažinti su naujausiomis parinktimis. Vieningas saugos operacijų sprendimas vienoje platformoje sujungia SIEM ir UEBA galimybes, kad jūsų organizacija realiuoju laiku galėtų matyti ir sustabdyti sudėtingas kibernetines grėsmes. Veikite greičiau, naudodami vieningą saugumą ir matomumą debesyse, platformose ir galinių punktų paslaugose. Gaukite išsamią savo saugos būklės apžvalgą, apibendrindami saugos duomenis iš viso technologijų paketo, ir naudokite dirbtinį intelektą galimoms kibernetinėms grėsmėms atskleisti.