Kas ir lietotāju un elementu uzvedības analīze (UEBA)?

UEBA pēc būtības sastāv no diviem pamatkomponentiem: lietotāju uzvedības analīzes (UBA) un elementu uzvedības analīzes (EBA).

UBA palīdz organizācijām skatīt un novērst iespējamos drošības riskus, izprotot lietotāju uzvedību. Tas tiek paveikts, pārraugot un analizējot modeļus visās lietotāju darbībās, lai veidotu tipiskas uzvedības bāzlīnijas modeli. Modelis nosaka iespējamību, ka konkrēts lietotājs veiks noteiktu darbību, pamatojoties uz šo uzvedības mācīšanās modeli.

Līdzīgi kā UBA arī EBA var palīdzēt organizācijām identificēt iespējamos kiberapdraudējumus, tikai tīkla pusē. EBA pārrauga un analizē darbības starp entītijām, kas nav personas, piemēram, serveriem, programmām, datu bāzēm un lietisko internetu (IoT). Tas palīdz noteikt aizdomīgu darbību, kas varētu liecināt par pārkāpumu, piemēram, nesankcionētu piekļuvi datiem vai neparastus datu pārsūtīšanas modeļus.

Vienkopus UBA un EBA ir risinājums, kas salīdzina dažādus artefaktus, tostarp ģeogrāfiskās atrašanās vietas, ierīces, vides, laiku, biežumu un vienranga vai organizācijas mēroga uzvedību.

UEBA apkopo lietotāju un entītiju datus no visiem saistītajiem datu avotiem organizācijas tīklā. Lietotāju dati var ietvert pierakstīšanās darbības, atrašanās vietu un datu piekļuves modeļus, bet entītiju dati var ietvert žurnālus no tīkla ierīcēm, serveriem, galapunktiem, programmām un citiem papildu pakalpojumiem.

UEBA analizē apkopotos datus un izmanto tos, lai definētu bāzlīnijas vai tipiskas uzvedības profilus katram lietotājam un entītijai. Pēc tam bāzlīnijas tiek izmantotas, lai izveidotu dinamiskus uzvedības modeļus, kas nepārtraukti tiek apmācīti un laika gaitā tiek pielāgoti, pamatojoties uz ienākošajiem datiem.

Izmantojot bāzlīnijas datus kā parastās uzvedības ceļvedi, UEBA turpina pārraudzīt lietotāju un entītiju darbības reāllaikā, lai palīdzētu organizācijai noteikt, vai līdzeklis ir apdraudēts. Sistēma nosaka anormālas darbības, kas atšķiras no parastās bāzlīnijas uzvedības, piemēram, anormāli liela apjoma datu pārsūtīšanas uzsākšanu, kas izraisa brīdinājumu. Lai gan anomālijas pašas par sevi ne vienmēr norāda uz ļaunprātīgu vai pat aizdomīgu uzvedību, tās var izmantot, lai uzlabotu noteikšanu, izmeklēšanu un draudu medības.

Brīdinājumi ar ieskatu par lietotāja uzvedību, anomālijas veidu un iespējamo riska līmeni tiek nosūtīti drošības operāciju centra (SOC) komandai. SOC komanda saņem šo informāciju un nosaka, vai tai ir jāveic papildu izmeklēšana, pamatojoties uz uzvedību, kontekstu un riska prioritāti.

Izmantojot UEBA kopā ar plašāku kiberapdraudējumu risinājumu kopu, organizācijas veido vienotu drošības platformu un izbauda labāku drošības stāvokli kopumā. UEBA darbojas arī ar pārvaldītajiem atklāšanas un reaģēšanas (MDR) rīkiem un Privileged Access Management (PAM) risinājumiem pārraudzībai; drošības informācijas un notikumu pārvaldību (SIEM) un atbildes uz incidentu rīkiem, lai rīkotos un reaģētu.

Draudu mednieki izmanto draudu informāciju, kas palīdz noteikt, vai viņu vaicājumos ir atklāta aizdomīga uzvedība. Ja uzvedība ir aizdomīga, anomālijas norāda uz iespējamiem ceļiem tālākai izmeklēšanai. Analizējot gan lietotāju, gan entītiju modeļus, UEBA var ātrāk noteikt daudz plašāku kiberuzbrukumu klāstu, tostarp agrīnos kiberapdraudējumus, iekšējos kiberapdraudējumus, DDoS uzbrukumu un pārlases uzbrukumus, pirms tie tiek eskalēti par iespējamu incidentu vai pārkāpumu.

UEBA modeļus darbina mašīnmācīšanās algoritmi, kas nepārtraukti mācās no mainīgajiem lietotāju un entītiju uzvedības modeļiem, izmantojot datu analīzi. Pielāgojoties drošības vajadzībām reāllaikā, drošības risinājumi var saglabāt efektivitāti arī tad, kad mainās drošības situācija, kas ietver izsmalcinātus kiberapdraudējumus.

Drošības analītiķi izmanto anomālijas, lai palīdzētu apstiprināt pārkāpumu, novērtēt tā ietekmi un sniegt savlaicīgus un veicamo darbību ieskatus par iespējamiem drošības incidentiem, ko SOC komandas var izmantot, lai papildus izmeklētu gadījumus. Tas, savukārt, nodrošina ātrāku un efektīvāku incidentu atrisināšanu, kas minimizē kiberapdraudējumu kopējo ietekmi uz visu organizāciju.

Hibrīdā vai attālā darba laikmetā mūsdienu organizācijas saskaras ar kiberapdraudējumiem, kas pastāvīgi attīstās, tāpēc ir jāattīstās arī viņu metodēm. Lai efektīvāk noteiktu jaunus un esošus kiberapdraudējumus, drošības analītiķi meklē anomālijas. Lai gan viena anomālija ne vienmēr norāda uz ļaunprātīgu uzvedību, vairāku anomāliju klātbūtne visā pakāpeniskajā kiberuzbrukumā var norādīt uz lielāku risku. Drošības analītiķi var papildus uzlabot noteikšanu, pievienojot brīdinājumus par noteiktu neparastu uzvedību. Apgūstot UEBA un paplašinot savas drošības tvērumu, lai ietvertu ierīces ārpus tradicionālā biroju aprīkojuma, organizācijas var proaktīvi uzlabot pieteikšanās drošību, mazināt kiberapdraudējumus un nodrošināt elastīgāku un drošāku vidi kopumā.

Regulētās nozarēs, piemēram, finanšu pakalpojumos un veselības aprūpē, datu aizsardzības un konfidencialitātes noteikumi ir papildināti ar standartiem, kas ir jāievēro katram uzņēmumam. UEBA nepārtrauktās pārraudzības un ziņošanas iespējas palīdz organizācijām sekot līdzi šīm normatīvajām atbilstības prasībām.

Lai gan UEBA sniedz organizācijām vērtīgus ieskatus, tai ir arī sava unikālā izaicinājumu kopa, kas jāņem vērā. Lūk, dažas bieži sastopamas problēmas, kam jāpievēršas, ieviešot UEBA:

• Aplami pozitīvie un negatīvie rezultāti
  Reizēm UEBA sistēmas var kļūdaini kategorizēt normālu uzvedību kā aizdomīgu un ģenerēt aplami pozitīvu rezultātu. UEBA var arī palaist garām faktiskos drošības kiberapdraudējumus, kas var ģenerēt aplami negatīvu rezultātu. Lai precīzāk noteiktu kiberapdraudējumus, organizācijām brīdinājumi ir uzmanīgi jāizmeklē.
  
  
• Nekonsekventa nosaukumdošana entītijās
  Resursu nodrošinātājs var izveidot brīdinājumu, kas nepietiekami identificē entītiju, piemēram, lietotājvārdu bez domēna nosaukuma konteksta. Šādā gadījumā lietotāja entītiju nevar sapludināt ar citām tā paša konta instancēm, tāpēc tā tiek identificēta kā atsevišķa entītija. Lai minimizētu šo risku, ir svarīgi identificēt entītijas, izmantojot standartizētu veidu, un sinhronizēt entītijas ar to identitātes nodrošinātāju, lai izveidotu vienotu direktoriju.
  
  
• Konfidencialitātes apsvērumi
  Drošības operāciju stiprināšana nedrīkst notikt uz privātpersonu konfidencialitātes tiesību rēķina. Nepārtraukta lietotāju un entītiju uzvedības pārraudzība izraisa jautājumus, kas saistīti ar ētiku un konfidencialitāti, tāpēc ir būtiski svarīgi atbildīgi izmantot drošības rīkus, it īpaši ar mākslīgo intelektu uzlabotus drošības rīkus.
  
  
• Strauja kiberapdraudējumu attīstība 
  Lai gan UEBA sistēmas ir izstrādātas, lai pielāgotos mainīgajai kiberapdraudējumu ainavai, tās joprojām var saskarties ar izaicinājumiem, lai turētu līdzi straujajai kiberapdraudējumu attīstībai. Kiberuzbrukumu paņēmieni un modeļi mainās, tāpēc ir būtiski svarīgi turpināt pielāgot UEBA tehnoloģiju, lai apmierinātu organizācijas vajadzības.

Mašīnmācīšanās attīstība, mākslīgā intelekta integrācija un datu analīze ļauj uzlabot UEBA iespējas, tāpēc tās nākotne izskatās spoža. Lūk, dažas visaizraujošākās tendences un izstrāde, kas varētu veidot UEBA attīstību:

• Mākslīgā intelekta kiberdrošībai attīstība
  Tā kā mākslīgais intelekts un mašīnmācīšanās kļūst arvien jaudīgāki un sarežģītāki, paredzams, ka UEBA prognozēšanas iespējas attīstīsies vēl vairāk. Tiek sagaidīts, ka mašīnmācīšanās algoritmi, kas nepārtraukti mācās, pamatojoties uz ienākošajiem datiem, labāk identificēs sarežģītus modeļus un anomālijas, uzlabos kiberapdraudējumu noteikšanas precizitāti un samazinās aplami pozitīvo rezultātu daudzumu.
  
  
• Integrācija ar paplašināto atklāšanu un reaģēšanu (XDR) un galapunktu atklāšanu un reaģēšanu (EDR) 
  Paredzams, ka UEBA tiks vēl ciešāk integrēta ar EDR un XDR risinājumiem. EDR risinājumi paplašina drošības tvērumu, lai nodrošinātu starpplatformu redzamību visos galapunktos. XDR risinājumi paplašina šo tvērumu vēl vairāk, piedāvājot drošību plašākam produktu klāstam, tostarp tīkliem, serveriem, mākonī izvietotām programmām, kā arī galapunktiem. UEBA iekļaujot XDR un EDR risinājumos, tiek uzlabota šo risinājumu nodrošinātā draudu informācija, lai organizācijas varētu efektīvāk noteikt kiberapdraudējumus un reaģēt uz tiem vairākmākoņu, vairākplatformu vidē.
  
  
• Atbildes uz incidentu automatizācija 
  Apvienojumā ar UEBA ieskatiem automatizētās atbildes uz incidentiem kļūs ātrākas, izsmalcinātākas un efektīvākas, samazinot drošības incidentu ietekmi kopumā.
  
  
• Proaktīvākas drošības iespējas 
  UEBA tiks vēl vairāk iegulta identitātes un galapunktu noteikšanas, kā arī aizsardzības risinājumos. Arvien sarežģītāku kiberuzbrukumu dēļ UEBA attīstīsies kopā ar papildinošiem drošības risinājumiem, lai nodrošinātu vēl sarežģītāku apdraudējumu noteikšanu, kā arī ātru atbildi uz incidentiem. Piemēram, pārvaldītā paplašinātā atklāšana un reaģēšana (MXDR) apvieno pārvaldītās atklāšanas un reaģēšanas (MDR) pārvaldītās pārraudzības, medību un koriģēšanas pakalpojumus ar XDR paplašināto drošības aizsardzību, lai nodrošinātu ātru, efektīvu un proaktīvu aizsardzības pret kiberapdraudējumiem segumu aiz galapunktu robežām. Šīs jaunās UEBA iespējas sniegs SOC komandām iespēju proaktīvi meklēt kiberapdraudējumus plašākā IT vižu klāstā, sniedzot organizācijām iespēju būt soli priekšā jaunajiem kiberapdraudējumiem.

Tīkla trafika analīze (NTA) ir kiberdrošības pieeja, kam praksē ir ar daudzas līdzības ar UEBA, bet atšķirība ir fokusa, lietojuma un mēroga ziņā. Veidojot visaptverošu kiberdrošības risinājumu, šīs abas pieejas labi darbojas kopā:

• Koncentrējas uz lietotāju un entītiju uzvedības izpratni un pārraudzību tīklā, izmantojot mašīnmācīšanos un mākslīgo intelektu.
• Apkopo tādus datus no lietotāju un entītiju avotiem, kas var ietvert pierakstīšanās darbības, piekļuves žurnālus un notikumu datus, kā arī mijiedarbības starp entītijām.
• Izmanto modeļus vai bāzlīnijas, lai identificētu iekšējos apdraudējumus, apdraudētos kontus un neparastu uzvedību, kas var novest pie iespējama incidenta.

• Fokusējas uz datu plūsmas izpratni un pārraudzību tīklā, izpētot datu paketes un identificējot modeļus, kas varētu norādīt uz iespējamu apdraudējumu.
• Apkopo tādus datus no tīkla trafika, kas var ietvert tīkla žurnālus, protokolus, IP adreses un trafika modeļus.
• Izmanto trafika modeļus, lai identificētu tīkla apdraudējumus, piemēram, DDoS uzbrukumus, ļaunprogrammatūru, kā arī datu zādzību un eksfiltrāciju.
• Lieliski darbojas kopā ar citiem tīkla drošības rīkiem un tehnoloģijām, kā arī ar UEBA.

Tā kā kiberdrošības apdraudējumi joprojām strauji attīstās, UEBA risinājumi kļūst arvien svarīgāki organizācijas aizsardzības stratēģijai, salīdzinot ar to, kas ir bijis iepriekš. Lai labāk aizsargātu savu uzņēmumu pret nākotnes kiberapdraudējumiem, ir svarīgi būt izglītotiem, proaktīviem un zinošiem.

Ja jums ir interese uzlabot savas organizācijas kiberdrošības stāvokli, izmantojot nākamās paaudzes UEBA iespējas, vēlēsities izpētīt jaunākās opcijas. Vienotais drošības operāciju risinājums apvieno SIEM un UEBA iespējas, lai palīdzētu jūsu organizācijai reāllaikā skatīt un apturēt sarežģītus kiberuzbrukumus, turklāt izmantojot tikai vienu platformu. Darbojieties ātrāk, izmantojot vienoto drošību un redzamību savos mākoņos, platformās un galapunktu pakalpojumos. Iegūstiet pilnīgu pārskatu par savu drošības stāvokli, apkopjot drošības datus no visas savas tehniskās kopas, kā arī izmantojiet mākslīgo intelektu, lai atklātu iespējamos kiberapdraudējumus.