Hvad er UEBA?

UEBA står for User and Entity Behavior Analytics og er en sikkerhedsproces med fokus på overvågning af mistænkelig adfærd. Både brugeradfærd og adfærd i andre enheder såsom sky-, mobil- eller lokale applikationer, slutpunkter, netværk og eksterne trusler. Ved hjælp af Machine Learning bygger UEBA basislinjer for hver enhed i netværket, og handlinger evalueres i forhold til disse basislinjer.

Adfærdsanalyse giver analytikere mulighed for at besvare spørgsmålet: Hvad er normalt, og hvad er unormalt? Hvilket fritager analytikere fra at skabe komplicerede foruddefinerede regler for at definere, hvad der er tilladt. Dette gør det muligt for dem at opnå at være oplyst før, under og efter at have reageret på overtrædelser. Kort sagt, med UEBA sporer du alle brugere og enheder, mens du hjælper analytikere med at finde ud af, hvad de skal se efter.

Hvad er forskellen på UEBA og UBA?

Tidligere beskrev udtrykket User Behavior Analytics (UBA) processen med at spore, indsamle og vurdere brugerdata og aktiviteter inden for IT-infrastrukturen. Men i 2015 offentliggjorde analytikervirksomheden Gartner en markedsvejledning, der definerede udtrykket User and Entity Behavior Analytics. UEBA har de samme muligheder som UBA med tilføjelse af at være i stand til at spore brugeraktivitet og aktiviteten af ​​enheder, applikationer, servere og data. I stedet for at analysere brugeradfærdsdata kombinerer UEBA brugeradfærd med adfærd fra enheder.

Fordele ved en UEBA løsning

UEBA integreret med en SIEM løsning kan dække flere sikkerheds use cases med en enkelt platform. Særligt giver User and Entity Behavior Analytics insider threat detection. Hvilket kan afdække enten eksterne angreb, der har trængt ind i en organisations omkreds eller adfærd, der kan true virksomhedens drift indefra. UEBA forbedrer også effektiviteten af ​​eksisterende sikkerhedsværktøjer, understøtter enhedsovervågning og hjælper organisationer med at overholde brancheregulativer.

Fordelene ved en UEBA løsning inkluderer: 

  • Automatiseret detektion af trusler: Ved hjælp af machine learning og adfærdsanalyse kan virksomheder imødekomme manglen på erfarne cybersikkerhedsanalytikere og optimere eksisterende ressourcer til at udføre detektion af trusler.
  • Reduceret risiko: Kompromitterede brugerkonti er nøglerne til kongeriget, hvilket resulterer i mest skade som følge af et brud. Tidlig opdagelse af kompromitterede legitimationsoplysninger er afgørende for at mindske risiko og datatab.
  • Reduceret Mean Time To Respond (MMtR): User and Entity Behavior Analytics har high fidelity-risikoscore og reducerer tiden til at reagere på angreb, hvilket giver tid tilbage til sikkerhedsteamet.
  • Reduceret støj: Behavioral analytics hjælper med at eliminere falske positive. Dermed kan sikkerhedsteams fokusere på at afdække aktiviteter, der bærer den reelle risiko, og prioritere svar på de mest kritiske hændelser i organisationen.

UEBA vs. SIEM

I de tidlige dage af UEBA blev machine learning analyser ofte anvendt på enkelte datakilder. Det blev imidlertid hurtigt klart, at resultaterne af en UEBA løsning var afhængige af datakvaliteten og korrelationen af ​​data fra flere datakilder. Kombination af SIEM, der indeholder alle virksomheds sikkerhedsdata og anvendelse af avanceret User and Entity Behavior Analytics, har vist sig at være den ideelle løsning. Derfor er det ikke UEBA vs. SIEM længere, men snarere SIEM udvidet med UEBA. Den regel- og tærskelbaserede tilgang for traditionelle SIEM’er og andre eksisterende sikkerhedsværktøjer producerer mange falske positive og en strøm af alarmer. Når SIEM suppleres med UEBA, understøtter det analytikere i trusseljagt. Dette reducerer tid brugt på falske positive og giver sikkerhedsteam mulighed for at fokusere på kritiske trusler.

SIEM vs. UEBA

User and Entity Behavior Analytics reducerer time-to-value

At have SIEM som datakilde til UEBA giver ikke kun en flod af værdifulde logdata, det gør det også muligt for din SOC at arbejde smartere ved at reducere svartiden. Som et resultat er der ingen grund til at foretage kortlægning eller tilpasning. Hvilket sænker tid til værdi dramatisk. Implementeringsarkitekturen er let skalerbar for at øge antallet af enheder og datavolumen. UEBA bygger basislinjer for alle enheder i netværket ved at udnytte machine learning og bigdata-analysefunktioner. Handlinger evalueres derefter i forhold til disse basislinjer. Derfor bliver det mindre vigtigt at definere de rigtige regler og tærskler i SIEM, hvilket sparer dine analytikere tid.

UEBA risikoscore

Den ultimative forskel på en SIEM udvidet med UEBA vil udfolde sig, når du begynder at se de oplysninger, der præsenteres af UEBA, hvilket giver en risikoscore for brugere og enheder. Outputtet fra UEBA kan korreleres med SIEM events. Dette giver mere indsigt i sammenhængen med hændelser. Ved hjælp af et moderne SIEM med UEBA kan du berige de originale logdata ved hjælp af machine learning algoritmernes informationer og bedre opdage mistænkelig brugeradfærd i SIEM. Højrisikoaktiviteterne og kontekstuelle oplysninger præsenteres derefter for analytikeren til yderligere undersøgelse. Dette muliggør hurtigere og mere informerede beslutninger. Den avancerede adfærdsanalyse giver dit cybersikkerhedsteam mulighed for at arbejde smartere ved at fremskynde detektion og respons på trusler. Alt uden at øge dit teams arbejdsbyrde.

UEBA og interne trusler

At opdage interne trusler, inden de har potentialet til succesfuldt at kompromittere en organisation, er stadig en væsentlig udfordring for virksomheder i dag. 2020 insider threat rapporten fra Cybersecurity-Insiders viste, at 68% af alle organisationer observerede, at interne trusler var blevet hyppigere i de sidste 12 måneder. Ifølge Verizons rapport over databrud i 2020 tog mere en 25% af bruddene måneder eller længere at opdage. Dette betyder, at når bruddet blev opdaget, var der allerede sket skade. Det er kritisk at finde IOC’s (Indicators of Compromise) hurtigt. Når brugeroplysninger er kompromitteret, og angriberen har kontrol over en given konto, er den mest effektive metode til at opdage dette, overvågning af unormal adfærd i infrastrukturen ved hjælp af UEBA. 

Dette er bevist nyttigt til at modvirke tre af de mest almindelige typer af interne trusler:

Potentiel kompromittering af konto:

Med UEBA bliver opdagelse af mistænkelig adfærd og kompromitterede konti lettere og mere intuitiv. Når UEBA registrerer mistænkelige aktivitetsindikatorer i et netværk, vil den forbinde anomaliteterne og give analytikerne et komplet overblik over aktiviteter, geografi, godkendelse og de involverede brugere eller enheder. 

Kompromittering af maskiner:

En anden almindelig tilgang ved APTs (Advanced Persistent Threats), langvarige angreb og mere komplekse brud er, når maskiner kompromitteres og fungerer som mellemstationer for yderligere angreb. UEBA bruger typisk endpoints og netværksdata til at bygge en baseline og opdage uregelmæssig aktivitet. UEBA anvender også analyser og opdager trafik, som stammer fra maskiner. 

Interne angreb og lateral movement:

Når fodfæste er etableret vil angriberen forsøge at forstå netværket og søge efter værdifuld data. Angribere vil bruge scanningsapplikationer eller operativsystemkommandoer til bedre at forstå, hvordan man bevæger sig rundt og får adgang til bestemt data i et netværk. UEBA bruger en blanding af endpoints, Active Directory og anden datalagre til at holde øje med adfærd, der adskiller sig fra det normale. Dette inkluderer; anormal aktivitet ift. ugedag eller tidspunkt på dagen, anormale serveradgang, delinger af filer, applikationer eller andre ressourcer,, en anormal stor mængde adgang til specifikke ressourcer, unormal applikationsanvendelse og unormale adgangsmønstre til datalagring.

Hvor hjælper UEBA

Best practice for UEBA

  • Definer Use Cases:Når du overvejer at implementere en User and Entity Behavior Analytics løsning, bør du klart definere de use cases, der skal behandles. Det ville hjælpe, hvis du også beskrev det ønskede output fra UEBA løsningen for hver af disse sager. Dette vil sikre, at der leveres værdi mod vigtige smertepunkter.
  • Overvej datakilder: Du skal sørge for, at User and Entity Behavior Analytics løsningen kan understøtte dine prioriterede use cases nødvendige datakilder. Kontroller, om disse use cases kan implementeres som færdigpakkede analyser, og bestem det forventede indsatsniveau for brugerdefinerede use cases.
  • Proof of Concept:Du kan medtage en proof of concept (POC) fase i din proces. I denne henseende er det vigtigt at huske, at en UEBA POC kan vare 30 dage for at give machine learning algoritmerne tid til at lære din organisations data og konstruere basislinjer ved hjælp af live eller historiske data.
Best Practices for UEBA

Kontakt LogPoint

Kontakt os og lær hvorfor markedsledende firmaer vælger LogPoint:

Kontakt LogPoint

Få mere at vide om LogPoint

Book en demo
Kundehistorier
Kundeanmeldelser