Data er i centrum for enhver forretningsmodel i vores digitalt forbundne verden. Vi bruger vores dage på at skabe, bruge og dele data. Alle dine medarbejdere bruger eller har adgang til vigtige data, uanset om det er en venlig meddelelse til en kollega eller dine kunders private oplysninger.

Globale cyberkriminelle og statssponsorerede trusselaktører er konstant på udkig efter muligheder for at stjæle, løse eller sælge vores værdifulde data. For at beskytte det er vi nødt til at forstå, hvordan det håndteres. Mens traditionelle sikkerhedsværktøjer kan være effektive mod kendte trusler, er bruger- og enhedsadfærdsanalyser (UEBA) exceptionelt pålidelige til at identificere ukendte og interne trusler.

UEBA er en innovativ cybersikkerhedsteknologi, der bruger maskinlæringsalgoritmer til at opbygge en basislinje for normal brugeradfærd i dit netværk. Forenklet sagt tager det alles adfærd til efterretning.

Når algoritmerne lærer normal adfærd, kan de sammenligne helt nye handlinger med den forventede normale adfærd. Alt ud over det sædvanlige udløser straks en alarm. Derfor har I en automatiseret og mere omfattende metode til at registrere uregelmæssigheder, der kan udgøre en risiko for hele jeres infrastruktur.

Forestil dig, at en medarbejder forsøgte at få adgang til personlige filer med dine kunders eller kunders kontaktoplysninger. Alligevel havde de aldrig haft adgang til det før og afveg fra den forventede adfærd. UEBA identificerer sådanne hændelser og korrelerer dem med andre mistænkelige hændelser, så sikkerhedsteams kan få en liste over de mest risikable enheder og handle på dem, før de forårsager skader. Detektering af brud på datasikkerheden, overtrædelse af politikker, misbrug af rettigheder og andre insidertrusler meget hurtigere og mere effektivt hjælper med at begrænse skaderne fra angreb.

Cyberkriminelle forsøger konstant at infiltrere dine systemer. Og når de får adgang, skyldes det ofte fejl hos medarbejderne. Ifølge Verizon’s undersøgelsesrapport om brud på datasikkerheden for 2021 er ransomwares mest almindelige indgangspunkt gennem phishing, hvilket repræsenterer 98 % af hændelser og 93 % af brud. Mange brud skyldes kompromitterede brugerkonti, fordi en medarbejder blev narret til at installere malware på sin computer.

Når kriminelle er inde i dit system, kan de ændre tilladelser og endda oprette nye brugere. I værste fald kan de få adgang til beskyttede data, og dine private oplysninger er ikke længere under din kontrol.

Heldigvis registrerer UEBA alle disse hændelser. Selvom modstandere er målrettet mod dine cloud-baserede enheder og tredjepartsgodkendelsessystemer, er UEBA designet til at registrere disse forsøg og gøre det muligt for analytikere at blokere dem.

Trusselsbilledet bliver stadig mere komplekst. Det er nu vigtigt at bruge intelligente maskinlæringsteknologier, selv til grundlæggende sikkerhedsprocesser.

Historieforståelse: UEBA vs. UBA?

UBA, eller brugeradfærdsanalyser, beskriver processen med at spore, indsamle og vurdere brugerdata og -aktiviteter inden for IT-infrastrukturen.

I 2015 definerede Gartner en mere udvidet term, UEBA, eller bruger- og enhedsadfærdsanalyser. Den havde de samme funktioner som UBA og tilføjede muligheden for at spore aktiviteten i ikke-menneskelige enheder, herunder enheder, applikationer og servere.

Den grundlæggende forskel er, at UEBA kombinerer brugeradfærd med adfærd fra maskiner i stedet for blot at analysere data om brugeradfærd. Alle IT-systemer er forbundet med både mennesker og applikationer.

Sådan bruger UEBA maskinlæring

UEBA bruger maskinlæringsalgoritmer og statistiske analyser til at identificere unormale netværksaktiviteter. Når UEBA har opbygget en basislinje for hver enkelt enheds forventede adfærd og handlinger i netværket, kan den derefter undersøge dataene og evaluere alle handlinger i forhold til disse basislinjer.

Med en stjålet adgangskode kan en modstander bryde ind i et system. UEBA overvåger dog alle igangværende aktiviteter og opfanger subtile forskelle mellem adfærd i din organisation. Et eksempel på adfærdsmæssige forskelle kan ses ved peer-grouping: UEBA skaber ikke kun en baseline for hver bruger, men også teams eller definerede grupper osv. Hvis en person i et team f.eks. får adgang til en usædvanlig fil for dem, men resten af deres team får adgang til filen regelmæssigt, bliver adfærden ikke markeret og bliver ikke falsk positiv, fordi det ikke er unormalt for teamet. “UEBA overvåger disse subtile forskelle og skaber en sammenligning af udgangspunktet,der reducerer falske positiver, når en person gør noget nyt, hvilket ellers er en fremherskende ting at gøre i teamet.” Det øger dit sikkerhedsniveau markant.

Så snart modstanderen logger ind med en stjålet adgangskode, sammenligner UEBA detaljerne om, hvad der sker med den aktuelle adgangskodeejers basislinje for adfærd. For at forblive uopdaget skal hackeren kopiere en anden persons normale mønstre. Så snart deres handlinger ikke giver mening, påpeger UEBA det.

På grund af sin evne til at behandle store mængder data er maskinlæring drastisk mere i stand til at identificere avancerede trusler end en menneskelig analytiker. Den kan også identificere og kvantificere adfærdsmønstre, som en menneskelig analytiker måske ikke har overvejet.

Resultatet er registrering af uregelmæssigheder i alle dine systemer, f.eks. applikationer, netværk, filhandlinger og brugerhandlinger. Alle abnormiteter, der bryder med det tidligere mønster, bliver dokumenteret som potentielt risikable. Organisationen informeres derefter via automatiske alarmer og de potentielle trusler prioriteres i vigtighed, hvilket gør det nemt at håndtere dem.

Maskinlæring kan også genkende noget usædvanligt – selv når aktiviteten endnu ikke er forstået. Maskinlæring “”lærer”” sig fortsat at kende gennem design og tilpasser sig legitime brugeres adfærd.

UEBA supplerer SIEM

Sikkerhedsinformation og hændelsesstyring (SIEM) er en vigtig teknologi, der er afhængig af regler til at analysere data, samtidig med at den giver indsigt i datamønstre og tendenser i realtid. På grund af disse regler kan dygtige modstandere normalt finde en måde at komme rundt i dem på.

UEBA er et supplerende værktøj til SIEM, da det ser på medarbejderadfærd og ikke er regelbaseret. I stedet bruger den avancerede algoritmer til at registrere risikable anomalier, som ellers ville være svære at se i dit SIEM.

Det bedste er at bruge en blanding af begge dele. Dit netværk er mere sikkert, når du kombinerer både UEBA og SIEM.

SIEM VS UEBA Infografik

UEBA gavner organisationer og sikkerhedsanalytikere

Ved at integrere UEBA med SIEM kan du øge antallet af sikkerhedsrelaterede use cases, du dækker.

Selvom UEBA giver intern trusselsdetektion, kan det afdække både eksterne angreb, der har penetreret en organisations perimeter og interne adfærd, der kan være truende for virksomhedens drift. UEBA forbedrer også effektiviteten af eksisterende sikkerhedsværktøjer, understøtter enhedsovervågning og hjælper organisationer med at overholde branchebestemmelser.

De adfærdsanalyser, der er indbygget i UEBA, giver svaret på spørgsmålet:

Hvad er normalt, og hvad er unormalt?

Uden UEBA skal analytikere udarbejde komplicerede, foruddefinerede regler for at definere, hvad der er tilladt. Da hver enkelt medarbejder i din organisation har forskellige vaner, bliver det en lang liste – især hvis du beskæftiger hundredvis af medarbejdere. Og hvad værre er, det bliver aldrig endeligt.

Med UEBA får analytikere støtte fra maskinlæring til at spore alle brugere og enheder og hjælpe med at finde ud af, hvad de skal kigge efter. Det stærke resultat er, at UEBA giver analytikerne situationsbevidsthed før, under og efter at have reageret på hændelser.

Vigtige fordele ved UEBA:

  • Automatiseret trusselsdetektion: Ved hjælp af maskinlæring og adfærdsanalyser kan virksomheder reducere effekten af manglen på sikkerhedsanalytikere og optimere eksisterende ressourcer til trusselsdetektion. Dette omfatter registrering af kompromitterede konti, brute force-angreb, ændringer af tilladelser, oprettelse af privilegerede brugere og brud på beskyttede data.
  • Reduceret risiko: Kompromitterede brugerkonti giver cyberkriminelle intern adgang til dit netværk, hvilket resulterer i tab eller skade. Tidlig registrering af kompromitterede akkreditiver er afgørende for at reducere risici og datatab.
  • Reduceret gennemsnitlig responstid (MMtR): UEBA bruger high-fidelity risk scoring til at reducere reaktionstiden på angreb. Jo hurtigere dit sikkerhedsteam er opmærksom på en indtrængen, jo større er deres evne til at kontrollere den.
  • Reduceret støj: Adfærdsanalyser hjælper med at eliminere falske positiver. I forbindelse med øgede trusselsbelastninger kan falske positiver være overvældende for et sikkerhedsteam. Det er en løbende udfordring for mange sikkerhedsdriftscentre at indhente en række alarmer. Med maskinlæringssupport har sikkerhedsteams mere tid og mulighed for at fokusere på at afdække aktiviteter, der giver den største risiko og prioriterer reaktionerne på de mest kritiske trusler, som deres organisation står over for.

Begrænsninger for UEBA

Alle cybersikkerhedsværktøjer har iboende styrker og begrænsninger. Og det ved modstandere desværre også. Kriminelle har tendens til at fokusere deres indsats på en bestemt softwares begrænsninger for at komme forbi den.

For at bekæmpe dette kommer cybersikkerhedsdesignere med nye værktøjer. Derfor er det nødvendigt at have en integreret platform med cyberværktøjer. Du får mere omfattende beskyttelse og indsigt, når du har flere strategier til at beskytte dine data. Efterhånden som trusselsaktører bliver mere og mere innovative og kreative, skal beskyttelsesteknologierne udvikle sig for at kunne klare udfordringen.

Alle virksomheder har brug for tre essentielle krav i deres cybersikkerhedsstrategi for at beskytte deres digitale aktiver og onlinesystemer. For det første er det afgørende, at du arbejder ud fra kvalitetsdata. Uden kvalitetsdata er selv de bedste maskinlæringsalgoritmer ineffektive. Følgende krav er integration. Kommunikationen mellem en SIEM og UEBA skal være gnidningsfri for at sikre effektiv ydeevne. For det tredje skal din sikkerhedsstruktur være “”åben”” og kunne integrere fremskridt inden for cybersikkerhedsteknologi. Alle UEBA’er, der mangler i disse kategorier, vil levere præstationer, der ikke lever op til standarderne.

Selvom UEBA er god til at identificere insidertrusler, er det også svagt over for at skjule et budskab i et budskab, især billeder. Efterhånden som flere hackere skjuler malware inde i billederne, kræver sikkerhedsforanstaltninger mere specialiserede værktøjer.

Step by step hvor EUBA hjælper

LogPoint SIEM integreres problemfrit med UEBA.

Mange cybersikkerhedsudbydere tilbyder enkeltstående cyberværktøjer, men separate værktøjer giver ikke overblik og ringe mulighed for at se mønstre i dataene. Derudover kræver de dyr kalibrering og ofte tidskrævende tilpasning for at fungere. Mange har også ofte komplicerede strukturer og prisstrukturer, der stiger i forhold til mængden af data.

LogPoint SIEM er unikt i det globale cybersikkerhedslandskab ved at strukturere data ved indtagelse til et fælles sprog. Den høje kvalitet af data i LogPoint SIEM er afgørende for at opnå værdi fra maskinlæring og automatisering. Da dataene er på et fælles sprog, giver det mulighed for at integrere i realtid med alle LogPoints modulære cyberværktøjer – herunder UEBA.

LogPoint SIEM er et intuitivt og omkostningseffektivt valg for analytikere og organisationer på grund af dets køreklar ydeevne og præcise evne til at accelerere detektering og reaktion. Desuden giver LogPoints fælles sprogstruktur mulighed for uendelig fremtidig værktøjsintegration. Efterhånden som dine beskyttelsesbehov udvikler sig, bør dine sikkerhedssystemer også udvikle sig.

LogPoint-softwarens intelligente præcision har hjulpet hundredvis af virksomheder med at føle sig mere trygge ved cybersikkerhed. LogPoints tilgang til at score risikobetonede enheder med et maksimum ud af 100 giver dig mulighed for at prioritere din tid på de højeste risici i stedet for andre løsninger med en konstant stigende score, der gør det umuligt at prioritere håndtering af de højeste risici. Denne avancerede teknologi gør det muligt for LogPoint at tilbyde en kommerciel model med prædiktiv prissætning og ingen skjulte omkostninger. Det er den perfekte platform, der kan skaleres med din virksomhed.

Kontakt LogPoint, så hjælper vi med at beskytte din virksomhed mod cybertrusler.

Best Practices for UEBA Infografik

Kontakt Logpoint

Kontakt os og lær hvorfor markedsledende firmaer vælger Logpoint:

Kontakt LogPoint

Lær mere om Logpoint

Book en demo
Kundesager
Kunde anmeldelser