Cybersikkerhet blir stadig viktigere for bedrifter av alle størrelser. Det er nå vanlig at selv små selskaper bruker et vell av verktøy som SIEM-er, brannmurer og VPN-er for å beskytte mot inntrenging.
Hackere blir imidlertid stadig mer sofistikerte. Suksessen deres avhenger av deres evne til å utføre angrep uten å bli oppdaget av slike verktøy. Og de lykkes ofte med det. En potensiell løsning på dette er kjent som User and Entity Behavior Analytics.
Så hva er UEBA, og bør bedriften din bruke det? La oss finne ut nedenfor.
Hva er bruker- og enhetsatferdsanalyse?
UEBA er en cybersikkerhetsløsning som bruker store datasett for å modellere nettverksaktivitet. Den analyserer både brukerne av et nettverk og selve nettverket, som rutere og IoT-enheter. Den ser deretter etter mistenkelig aktivitet og varsler en bedrift når slik aktivitet oppdages.
Den oppnår dette ved å lage en grunnlinje for hvordan normal aktivitet på et nettverk ser ut. Den bruker deretter maskinlæring for å oppdage unormal atferd automatisk.
Det er populært fordi mange nettsikkerhetsprodukter er opplært til å primært lete etter skadelig programvare. Hackere kan beseire slik programvare ved å gå inn i et nettverk og ganske enkelt ikke installere skadelige filer.
I motsetning til dette kan UEBA se etter alt som er unormalt. Dette lar den oppdage mer sofistikerte angrep som ikke samsvarer med kjente trusler.
Hvordan fungerer UEBA?
UEBA-løsninger har vanligvis tre hovedkomponenter: Analytics, integrasjon og presentasjon. La oss se på dem i korte trekk:
Analytics
UEBA analyserer atferden til alle nettverksbrukere og enheter. Å gjøre det skaper en grunnlinje som illustrerer hvordan et nettverk ser ut når et angrep ikke forekommer. Statistiske modeller brukes deretter for å bestemme når en bruker eller enhet oppfører seg på en måte som den ikke burde.
Integrering
UEBA-løsninger er vanligvis utviklet for å integreres med annen sikkerhetsprogramvare. Bedriften din sporer sannsynligvis allerede nettverksatferd, og UEBA-produktet ditt skal kunne samle inn data fra slike produkter automatisk.
Presentasjon
UEBA iverksetter vanligvis ikke tiltak mot trusler. I stedet er den designet for å presentere dataene for IT-personalet for videre undersøkelser. Dette kan være så enkelt som å sende et varsel. Men mange UEBA-produkter produserer også grafer og andre statistiske data som ansatte kan bruke til å utføre ytterligere analyser.
Hva beskytter UEBA mot?
UEBA kan beskytte mot ulike trusler som andre sikkerhetsprodukter kanskje ikke. La oss se hva de er, skal vi?
Insidertrusler
Sikkerhetsprogramvare synes ofte det er vanskelig å oppdage innsidetrusler. Selv om en SIEM lett kan oppdage et nettverksinntrenging, oppdager den kanskje ikke at noen som allerede er inne i et nettverk gjør noe de ikke skal. En riktig konfigurert UEBA vil forstå hvordan brukere normalt oppfører seg og bør generere et varsel hvis en bruker begynner å gjøre noe annet.
Kompromitterte brukerkontoer
Hvis en bruker oppfører seg unormalt, er det ikke alltid forårsaket av en innsidetrussel. Det kan også bety at en angriper har stjålet brukerens konto. Bedriftsansatte blir jevnlig målrettet av phishing, og kompromitterte brukerkontoer er derfor en vanlig foreteelse. En UEBA kan oppdage sammensatte kontoer så snart angriperen begynner å gjøre noe utenom det vanlige.
Privilegium Eskalering
Eskalering av rettigheter skjer når en bruker gis tilleggsrettigheter for å få tilgang til andre deler av et nettverk. Dette er noe en hacker kan ha nytte av. En UEBA kan settes til å oppdage når en brukers rettigheter økes og sende ut et varsel for undersøkelse.
Brute Force angrep
Brude kraftangrep involvere gjentatte forsøk på å få tilgang til brukerkontoer og nettverk. Fordi dette åpenbart ikke er innenfor normal oppførsel, kan det lett oppdages av en UEBA. I dette scenariet kan en UEBA generere et varsel, eller den kan settes opp til å sparke angriperen automatisk.
Begrenset informasjonstilgang
En UEBA kan overvåke hvem som får tilgang til konfidensiell informasjon. Det kan derfor forhindre datainnbrudd ved å generere et varsel hver gang en bruker får tilgang til noe som ikke er nødvendig for arbeidet deres.
UEBA vs. SIEM
Verktøy for sikkerhetsinformasjon og hendelsesadministrasjon ligner på UEBA, men ikke helt det samme. SIEM-verktøy analyserer også et nettverk og genererer varsler når mistenkelig aktivitet oppdages.
Forskjellen er at SIEM bare genererer et varsel når en angriper gjør noe som er kjent for å være ondsinnet. Så hvis en angriper er forsiktig, kan de fortsatt gå inn i et nettverk og unngå oppdagelse.
UEBA er designet for å oppdage angrep, ikke på grunn av ondsinnet oppførsel, men på grunn av oppførsel som er utenfor normen. Dette lar den oppdage angrep som ikke samsvarer med noen kjente trusler.
Mange SIEM-verktøy inkluderer nå UEBA av denne grunn, men de fleste gjør det ikke.
Bør alle bedrifter bruke UEBA?
Alle virksomheter bør vurdere å bruke en UEBA-løsning, men som mange nye cybersikkerhetsløsninger, er det viktig å veie fordeler og ulemper før de implementeres.
UEBA er i stand til å oppdage trusler som SIEM ikke ville. Den er også i stand til å fange opp trusler som sikkerhetspersonalet kan gå glipp av. Denne ekstra beskyttelsen er ofte verdt å investere i, med tanke på tapene som oppstår etter et vellykket nettangrep.
UEBAs løsninger gir også automatisert beskyttelse. Dette kan tillate en virksomhet å ha en mindre cybersikkerhetsavdeling og følgelig gi betydelige lønnsbesparelser.
Ulempen med UEBA er at det er dyrt å implementere. Det kan være utenfor budsjettet til mange små bedrifter mens det ikke er strengt nødvendig. Implementering av en UEBA-løsning vil også kreve at personalet er opplært til å bruke den, noe som gir ekstra kostnader.
UEBA er heller ikke en passende erstatning for andre cybersikkerhetsprodukter. Selv om et SIEM-produkt kan inkludere UEBA, er ikke UEBA en erstatning for SIEM eller andre sikkerhetsprodukter en bedrift allerede har.
UEBA tilbyr overlegen beskyttelse
UEBA-produkter tilbyr en betydelig forbedring i forhold til standard SIEM-produkter og er i stand til å identifisere trusler som ellers ville forbli uoppdaget. Mens SIEM ofte sliter med innsidetrusler, kan UEBA automatisk oppdage uvanlig nettverksaktivitet av autoriserte brukere.
Hvorvidt UEBA er riktig for din virksomhet eller ikke, avhenger av cybersikkerhetsbudsjettet ditt. Mens UEBA er overlegen, er de høye kostnadene ved installasjon, og det faktum at den ikke erstatter andre produkter, en åpenbar ulempe.
