Küberturvalisus muutub igas suuruses ettevõtete jaoks üha olulisemaks. Praegu on tavaline, et isegi väikesed ettevõtted kasutavad sissetungi eest kaitsmiseks paljusid tööriistu, nagu SIEM-id, tulemüürid ja VPN-id.
Häkkerid on aga muutumas üha keerukamaks. Nende edu sõltub nende võimest korraldada rünnakuid ilma, et sellised tööriistad neid tuvastaksid. Ja see neil sageli õnnestub. Üks potentsiaalne lahendus sellele on tuntud kui kasutajate ja üksuste käitumise analüüs.
Mis on UEBA ja kas teie ettevõte peaks seda kasutama? Uurime allpool.
Mis on kasutajate ja üksuste käitumise analüüs?
UEBA on küberturvalisuse lahendus, mis kasutab võrgutegevuse modelleerimiseks suuri andmekogumeid. See analüüsib nii võrgu kasutajaid kui ka võrku ennast, nagu ruuterid ja IoT seadmed. Seejärel otsib see kahtlast tegevust ja teavitab ettevõtet iga kord, kui selline tegevus tuvastatakse.
See saavutab selle, luues lähtealuse selle kohta, kuidas tavaline võrgutegevus välja näeb. Seejärel kasutab see ebanormaalse käitumise automaatseks tuvastamiseks masinõpet.
See on populaarne, kuna paljud küberturvatooted on koolitatud peamiselt pahavara otsima. Häkkerid saavad sellisest tarkvarast jagu, kui sisenevad võrku ja lihtsalt ei installi pahatahtlikke faile.
Vastupidiselt sellele võib UEBA otsida kõike ebanormaalset. See võimaldab tuvastada keerukamaid rünnakuid, mis ei vasta teadaolevatele ohtudele.
Kuidas UEBA töötab?
UEBA lahendustel on tavaliselt kolm peamist komponenti: Analytics, integratsioon ja esitlus. Vaatame neid lühidalt:
Analüütika
UEBA analüüsib kõigi võrgukasutajate ja seadmete käitumist. Seda tehes luuakse lähtejoon, mis illustreerib, kuidas võrk välja näeb, kui rünnet ei toimu. Seejärel kasutatakse statistilisi mudeleid, et teha kindlaks, millal kasutaja või seade käitub viisil, mida ta ei peaks.
Integratsioon
UEBA lahendused on tavaliselt loodud integreeruma muu turbetarkvaraga. Tõenäoliselt jälgib teie ettevõte juba võrgukäitumist ja teie UEBA toode peaks suutma sellistelt toodetelt andmeid koguda automaatselt.
Esitlus
UEBA tavaliselt ohtude vastu midagi ette ei võta. Selle asemel on selle eesmärk esitada oma andmed IT-töötajatele edasiseks uurimiseks. See võib olla sama lihtne kui hoiatuse saatmine. Kuid paljud UEBA tooted toodavad ka graafikuid ja muid statistilisi andmeid, mida töötajad saavad kasutada täiendava analüüsi tegemiseks.
Mille eest UEBA kaitseb?
UEBA suudab kaitsta erinevate ohtude eest, mida teised turbetooted ei pruugi. Vaatame, mis need on, eks?
Siseringi ähvardused
Turvatarkvara jaoks on sageli raske tuvastada siseringi ohud. Kuigi SIEM võib kergesti tuvastada võrgu sissetungi, ei pruugi see tuvastada, et keegi juba võrgus teeb midagi, mida nad ei peaks tegema. Õigesti konfigureeritud UEBA mõistab, kuidas kasutajad tavaliselt käituvad, ja peaks genereerima hoiatuse, kui kasutaja hakkab midagi muud tegema.
Ohustatud kasutajakontod
Kui kasutaja käitub ebatavaliselt, ei ole see alati põhjustatud siseringist. See võib tähendada ka seda, et ründaja on kasutaja konto varastanud. Ettevõtete töötajad on regulaarselt andmepüügi sihtmärgiks ja ohustatud kasutajakontod on seetõttu tavaline nähtus. UEBA suudab hõlmatud kontod tuvastada kohe, kui ründaja hakkab midagi ebatavalist tegema.
Privileegide eskaleerimine
Privileegide eskaleerumine toimub siis, kui kasutajale antakse täiendavad õigused juurdepääsuks võrgu teistele osadele. See on midagi, millest häkker kasu saaks. UEBA saab seadistada tuvastama iga kord, kui kasutaja õigusi suurendatakse, ja saadab uurimise jaoks hoiatuse.
Brute Force rünnakud
Jõhja jõu rünnakud hõlmavad korduvaid katseid kasutajakontodele ja võrkudele juurde pääseda. Kuna see ilmselgelt ei kuulu tavapärase käitumise piiridesse, saab UEBA selle hõlpsasti tuvastada. Selle stsenaariumi korral võib UEBA genereerida hoiatuse või seadistada ründajat automaatselt minema lööma.
Piiratud juurdepääs teabele
UEBA saab jälgida, kes pääseb juurde konfidentsiaalsele teabele. Seetõttu saab see ära hoida andmetega seotud rikkumisi, genereerides hoiatuse iga kord, kui kasutaja pääseb juurde millelegi, mis pole tema töö jaoks vajalik.
UEBA vs. SIEM
Turvateabe ja sündmuste haldamise tööriistad on sarnased UEBA-ga, kuid mitte päris samad. SIEM-i tööriistad analüüsivad ka võrku ja genereerivad hoiatusi alati, kui tuvastatakse kahtlane tegevus.
Erinevus seisneb selles, et SIEM genereerib hoiatuse ainult siis, kui ründaja teeb midagi, mis on teadaolevalt pahatahtlik. Seega, kui ründaja on ettevaatlik, võib ta siiski võrku siseneda ja avastamist vältida.
UEBA on loodud rünnakute tuvastamiseks, mitte pahatahtliku käitumise, vaid tavapärasest erineva käitumise tõttu. See võimaldab tuvastada rünnakuid, mis ei vasta ühelegi teadaolevale ohule.
Paljud SIEM-i tööriistad sisaldavad nüüd sel põhjusel UEBA-d, kuid enamik seda ei tee.
Kas kõik ettevõtted peaksid kasutama UEBA-d?
Kõik ettevõtted peaksid kaaluma UEBA lahenduse kasutamist, kuid nagu paljude uute küberjulgeolekulahenduste puhul, on enne selle kasutuselevõttu oluline kaaluda plusse ja miinuseid.
UEBA suudab tuvastada ohte, mida SIEM ei suudaks. Samuti on see võimeline tabama ohte, millest turvatöötajad võivad märkamata jääda. Sellesse lisakaitsesse tasub sageli investeerida, arvestades eduka küberrünnaku järel tekkinud kahjusid.
UEBA lahendused pakuvad ka automatiseeritud kaitset. See võib võimaldada ettevõttel omada väiksemat küberjulgeoleku osakonda ja seega pakkuda märkimisväärset palgasäästu.
UEBA miinus on see, et selle rakendamine on kallis. See võib paljude väikeettevõtete eelarvest välja jääda, kuigi see pole tingimata vajalik. UEBA lahenduse juurutamine eeldab ka töötajate väljaõpet selle kasutamiseks, mis lisab lisakulusid.
UEBA ei ole ka sobiv asendus teistele küberjulgeolekutoodetele. Kuigi SIEM-i toode võib sisaldada UEBA-d, ei asenda UEBA SIEM-i ega muid ettevõttes juba olemasolevaid turbetooteid.
UEBA pakub ülimat kaitset
UEBA tooted pakuvad tavapärastest SIEM-toodetest oluliselt paremat täiustust ja suudavad tuvastada ohte, mida muidu ei avastataks. Kuigi SIEM võitleb sageli siseohtudega, suudab UEBA automaatselt tuvastada volitatud kasutajate ebatavalise võrgutegevuse.
See, kas UEBA on teie ettevõtte jaoks õige või mitte, sõltub teie küberjulgeoleku eelarvest. Kuigi UEBA on parem, on paigaldamise kõrge hind ja asjaolu, et see ei asenda teisi tooteid, ilmne negatiivne külg.
