Hva er UEBA?

UEBA står for User and Entity Behavior Analytics. Det er en sikkerhetsprosess som overvåker mistenkelig atferd. Det er både brukeratferd og atferd i andre enheter, for eksempel skybaserte, mobile eller lokale applikasjoner, endepunkter og nettverk samt eksterne trusler. Ved hjelp av maskinlæring bygger UEBA vektorer for hver enhet i nettverket, og tiltak evalueres mot disse grunnlinjene. 

Atferdsanalyser gjør det mulig for analytikere å besvare spørsmålet: Hva er normalt og hva er unormalt? Dermed slipper analytikere å lage kompliserte forhåndsdefinerte regler for å definere hva som er tillatt. På denne måten kan de oppnå situasjonsforståelse før, under og etter respons på brudd. Med UEBA kan du enkelt spore alle brukere og enheter, samtidig som analytikerne får hjelp til å bestemme hva de skal se etter.

Hva er forskjellen på UEBA og UBA?

Tidligere beskrev begrepet User Behavior Analytics (UBA) prosessen med sporing, innsamling og vurdering av brukerdata og aktiviteter i IT-infrastrukturen. Men i 2015 publiserte analysefirmaet Gartner en markedsveiledning som definerte begrepet User and Entity Behavior Analytics. UEBA har de samme egenskapene som UBA. Med tillegg kan UEBA spore brukeraktivitet og aktiviteten til enheter, applikasjoner, servere og data. I stedet for å analysere brukeratferdsdata, kombinerer UEBA brukeratferd med enhetenes atferd.

Fordelene ved en UEBA-løsning

UEBA integrert med en SIEM-løsning kan dekke flere sikkerhetsbehov med én enkelt plattform. Spesielt bruker- og enhetsatferdsanalyser gir påvisning av innsidetrusler som kan avdekke enten eksterne angrep som har penetrert en organisasjons perimeter, eller atferd som kan være truende for selskapets virksomhet innenfra. UEBA forbedrer også effektiviteten til eksisterende sikkerhetsverktøy, støtter overvåkning av enheter og hjelper organisasjoner med å overholde bransjeforskrifter.

De viktigste fordelene ved en UEBA-løsning inkluderer: 

  • Automatisert trusseldeteksjon: Ved å bruke maskinlæring og atferdsanalyser kan bedrifter motvirke mangelen på erfarne nettsikkerhetsanalytikere, og optimalisere eksisterende ressurser for å utføre trusseloppdagelse.
  • Redusert risiko: Kompromitterte brukerkontoer er nøklene til kongeriket, og fører til mest mulig skade ved sikkerhetsbrudd. Tidlig deteksjon av kompromitterte brukeropplysninger er avgjørende for å redusere risiko og datatap.  
  • Redusert «Mean Time To Respond» (MMtR): Bruker- og enhetsatferdsanalyser har høy troverdighet, og reduserer tiden det tar å respondere på angrep, noe som gir sikkerhetsteamet bedre tid.
  • Redusert støy: Atferdsanalyser bidrar til å eliminere falske varsler. Dermed kan sikkerhetsteamene fokusere på å avdekke aktiviteter som innebærer reell risiko, og prioritere tiltak på de mest kritiske hendelsene i organisasjonen.

UEBA vs. SIEM

Tidligere ble maskinlæringsanalyser ofte brukt på enkeltstående datakilder. Det ble imidlertid raskt klart at resultatene til en UEBA-løsning var helt avhengig av datakvaliteten og korrelasjonen av data fra flere datakilder. Ved å kombinere SIEM, som inneholder alle bedriftens sikkerhetsdata, og bruke avansert bruker- og enhetsatferdsanalyse, har UEBA utviklet seg til den ideelle løsningen. Dermed er det ikke UEBA vs. SIEM lenger, men snarere SIEM utvidet med UEBA. Den regel- og terskelbaserte tilnærmingen til tradisjonelle SIEM-er og andre eksisterende sikkerhetsverktøy gir mange varslinger, og mange av dem er ikke ekte. Når SIEM-en er utvidet med UEBA, støtter den analytikerne i trusseljakten. Dette reduserer tiden som brukes på falske varslinger, og gjør sikkerhetsteamene i stand til å fokusere på ekte kritiske trusler.

SIEM VS UEBA Infographic

Bruker- og enhetsatferdsanalyser reduserer time-to-value

SIEM som datakilde for UEBA gir ikke bare en samling av verdifulle loggdata, men gjør også at SOC-en kan jobbe smartere ved å redusere responstiden. Resultatet er at det ikke er nødvendig å foreta noen kartlegging eller tilpasning. Dette reduserer time-to-value ganske drastisk. Distribusjonsarkitekturen er enkel å skalere for å øke antall enheter og datavolum. UEBA bygger grunnlinjer for alle enheter i nettverket, ved å bruke maskinlæring og funksjonalitet for stordataanalyser. Tiltakene blir deretter evaluert mot disse grunnlinjene. Derfor blir det mindre kritisk å definere de riktige reglene og tersklene i SIEM, noe som sparer analytikernes tid.

UEBAs risikovurderinger

Den ultimate forskjellen med en SIEM utvidet med UEBA vil utfolde seg når du begynner å se på informasjonen fra UEBA. Dette gir en risikovurdering for brukere og enheter. Informasjonen fra UEBA kan korreleres med SIEM-hendelser. Dette gir mer innsikt i hendelsessammenhengen. Ved å bruke en moderne SIEM med UEBA kan du berike de originale loggdataene ved hjelp av informasjonen i maskinlæringsalgoritmene, og bedre oppdage mistenkelig brukeratferd i SIEM. Høyrisikoaktiviteter og kontekstuell informasjon blir deretter presentert for analytikeren for videre undersøkelser. Muliggjør raskere og mer informerte beslutninger. Den avanserte atferdsanalysen gjør det mulig for nettsikkerhetsteamet ditt å jobbe smartere ved å akselerere deteksjonen av, og responsen på trusler. Alt uten å øke teamets arbeidsmengde.

UEBA og den indre trusselen

Det å oppdage innsidetrusler før de lykkes med å kompromittere en organisasjon, er fortsatt en stor utfordring for bedriftene. 2020 Insider Threat Report fra Cybersecurity-Insiders fant at 68 prosent av organisasjonene observerte at innsidetrusler har blitt hyppigere de siste 12 månedene. Ifølge Verizons Data Breach Report 2020 tok mer enn 25 prosent av bruddene måneder eller enda lenger tid å oppdage. Dette betyr at skaden allerede hadde oppstått da brudd ble oppdaget. Det er helt avgjørende å raskt finne indikatorer på databrudd (IOC-er). Når brukeropplysninger er kompromittert og angriperen kontrollerer kontoen, er tradisjonelle kontroller ikke lenger tilstrekkelige. Når en angriper har fått tak i brukeropplysninger, er effektiv deteksjon å overvåke unormal atferd i infrastrukturen ved hjelp av UEBA.

Dette har vist seg å være nyttig for å motvirke de tre vanligste typene innsidetrusler:

Potensielt kompromitterte kontoer:

Med UEBA blir det stadig mer nyttig og intuitivt å oppdage mistenkelig atferd og kompromitterte kontoer. Når UEBA detekterer mistenkelige aktivitetsindikatorer i et nettverk, vil den koble sammen avvikene for å gi analytikerne full oversikt over aktiviteter, geografi, autentisering og brukerne eller enhetene som er involvert.

Kompromittert maskinvare

En annen vanlig tilnærming for avanserte, APT-er (Advanced Persistent Threats (APT)), langvarige angrep og mer komplekse brudd er når maskiner blir kompromittert og fungerer som utgangspunkter for videre angrep. UEBA bruker vanligvis endepunkt- og nettverksdata til å bygge grunnlinjer og oppdage avvikende aktivitet. Den bruker også analyser for å oppdage trafikk som kommer fra maskiner.

Interne angrep og lateral bevegelse:

Når et fotfeste er etablert, prøver angriperen å forstå nettverket og søke etter verdifulle data. Angripere vil bruke skanneprogrammer eller operativsystemkommandoer for å bedre forstå hvordan de kan bevege seg rundt og få tilgang til måldata i et nettverk. UEBA vil bruke en blanding av endepunkter, Active Directory og andre datalager for å se etter atferd som avviker fra normale grunnlinjer. Dette inkluderer: uvanlig aktivitet basert på ukedag eller tid på dagen, uvanlig tilgang til servere, fildelinger, applikasjoner eller andre ressurser, uvanlig stor tilgang til spesifikke ressurser, unormal bruk av applikasjoner og uvanlige tilgangsmønstre for lagring.

Best praksis for UEBA

  • Definer brukstilfeller: Når du vurderer å ta i bruk en løsning for bruker- og enhetsatferdsanalyser, bør du tydelig definere hvilke brukstilfeller som må håndteres. Det vil hjelpe hvis du også beskriver ønsket effekt fra UEBA-løsningen for hvert av disse tilfellene. Dette vil sikre at du får verdi for viktige smertepunkter.
  • Vurder datakilder: Du bør sørge for at bruker- og enhetsatferdsanalyseløsningen kan støtte de nødvendige datakildene til dine prioriterte brukstilfeller. Undersøk om disse brukstilfellene kan implementeres umiddelbart med forhåndspakkede analyser, og fastsett forventet innsatsnivå for tilpassede brukstilfeller. 
  • Bevis på konsept: Du kan inkludere en konseptbevisfase (POC) i prosessen. I den forbindelse er det viktig å huske at en UEBA POC kan vare i 30 dager for å gi maskinlæringsalgoritmene tid til å lære organisasjonens data og bygge grunnlinjer ved hjelp av sanntidsdata eller historiske data.
Best Practices for UEBA Infographic

Kontakt LogPoint

Ta kontakt og lær hvorfor ledende selskaper velger LogPoint:

Ta kontakt

Lær mer om LogPoint

Bestill en demo
Kundecaser
Kundeanmeldelser