Vad är UEBA?

UEBA står för User and Entity Behavior Analytics. Det är en säkerhetsprocess som fokuserar på att övervaka misstänkt beteende. Både användarbeteende och beteende i andra entiteter som moln, mobila eller lokala applikationer, slutpunkter, nätverk och externa hot. Med hjälp av maskininlärning bygger UEBA upp basnivåer för varje entitet i nätverket och åtgärderna utvärderas mot dessa basnivåer. 

Beteendeanalys gör det möjligt för analytiker att besvara frågan: Vad är normalt och vad är onormalt? Detta gör att analytiker slipper skapa komplicerade fördefinierade regler för att definiera vad som är tillåtet. På så sätt kan de uppnå situationsmedvetenhet före, under och efter att ha reagerat på säkerhetsöverträdelser. Enkelt uttryckt kan du med UEBA spåra alla användare och entiteter samtidigt som du hjälper analytikerna avgöra vad de ska leta efter.

Vad är skillnaden mellan UEBA och UBA?

Tidigare beskrev begreppet User Behavior Analytics (UBA) processen att spåra, samla in och utvärdera användardata och aktiviteter inom IT-infrastrukturen. Men 2015 publicerade analysföretaget Gartner en marknadsguide som definierade begreppet User and Entity Behavior Analytics. UEBA har samma funktioner som UBA. UEBA kan däremot även spåra användaraktivitet och aktiviteter i enheter, applikationer, servrar och data. Istället för att analysera användarbeteendedata kombinerar UEBA användarbeteende med beteenden hos entiteter.

Fördelarna med en UEBA-lösning

UEBA integrerat med en SIEM-lösning kan täcka flera användningsfall inom säkerhet med en enda plattform. I synnerhet erbjuder UEBA hotdetektion av insiderhot. Detta kan avslöja attacker utifrån som har penetrerat en organisations försvar eller beteenden som kan hota företagets verksamhet inifrån. UEBA förbättrar också effektiviteten hos befintliga säkerhetsverktyg, stödjer entitetsövervakning och hjälper organisationer att följa branschregler.

Viktiga fördelar med en UEBA-lösning omfattar: 

  • Automatiserad hotdetektion: Med hjälp av maskininlärning och beteendeanalys kan företag motverka bristen på erfarna cybersäkerhetsanalytiker och optimera befintliga resurser för att utföra hotdetektion.
  • Minskad risk: Komprometterade användarkonton är nyckeln till riket, vilket resulterar i den största skadan till följd av intrång. Tidig upptäckt av komprometterade autentiseringsuppgifter är avgörande för att minska risker och eventuella dataförluster.  
  • Snabbare svar på händelser (MMtR): UEBA har detaljerad riskpoängtilldelning och minskar tiden för att reagera på attacker, vilket sparar tid för säkerhetsteamet.
  • Mindre brus: Beteendeanalys hjälper till att eliminera falska positiver. Därmed kan säkerhetsteam fokusera på att identifiera aktiviteter som utgör en verklig risk och prioritera åtgärder för de mest kritiska incidenterna inom organisationen.

UEBA kontra SIEM

Under UEBA:s tidiga dagar användes ofta maskininlärningsanalys på enskilda datakällor. Det blev dock snabbt uppenbart att en UEBA-lösningens resultat var helt beroende av datakvaliteten och korrelationen av data från flera datakällor. Att kombinera SIEM som innehåller alla företagets säkerhetsdata och tillämpa avancerad UEBA har visat sig vara den idealiska lösningen. Det är alltså inte längre UEBA kontra SIEM utan snarare SIEM förstärkt med UEBA. Det regel- och tröskelbaserade metodiken hos traditionella SIEM-lösningar och andra befintliga säkerhetsverktyg ger många falska positiver och en uppsjö med varningsmeddelanden. När SIEM-lösningen kompletteras med UEBA stödjer den analytiker vid Threat Hunting. Detta minskar tiden som spenderas på falska positiver vilket gör det möjligt för säkerhetsteam att fokusera på kritiska hot.

SIEM VS UEBA Infographic

UEBA minskar time-to-value

Med SIEM som datakälla för UEBA ger inte bara en mer värdefull pool av loggdata, utan det gör det också möjligt för ditt SOC-team att arbeta smartare genom att halvera responstiden. Som resultat krävs ingen kartläggning eller anpassning. Vilket minskar time-to-value dramatiskt. Driftsättningsarkitekturen kan enkelt skalas för att öka antalet entiteter och datavolymer. UEBA bygger basnivåer för varje entitet i nätverket med hjälp av maskininlärning och big-data-analysfunktioner. Åtgärderna utvärderas sedan mot dessa basnivåer. Följaktligen blir det mindre viktigt att definiera rätt regler och trösklar i SIEM, vilket sparar tid för dina analytiker.

UEBA riskpoäng

Den ultimata skillnaden med en SIEM-lösning som förstärkts med UEBA blir uppenbar när du börjar granska informationen som presenteras av UEBA. Vilket tilldelar riskpoäng för användare och entiteter. Utdata från UEBA kan korreleras med SIEM-händelser. Detta ger mer insikt i incidenternas sammanhang. Med hjälp av en modern SIEM-lösning med UEBA kan du berika ursprungliga loggdata med hjälp av maskininlärningsalgoritmernas information och enklare upptäcka misstänkt användarbeteende i själva SIEM-lösningen. Högriskaktiviteterna och den kontextuella informationen presenteras sedan för analytikern för vidare undersökning. Möjliggör snabbare och mer välgrundade beslut. De avancerade beteendeanalyserna gör det möjligt för ditt IT-säkerhetsteam att arbeta smartare genom att accelerera identifiering och respons på hot. Allt utan att öka teamets arbetsbelastning.

UEBA och insiderhot

Att upptäcka insiderhot innan de har potential att lyckas kompromettera en organisation är fortfarande en stor utmaning för företag idag. 2020 Insider Threat Report från Cybersecurity-Insiders konstaterade att 68 % av alla organisationer har observerat att insiderhot har blivit vanligare under de senaste 12 månaderna. Enligt 2020 Verizon Data Breach Investigations Report tog mer än 25 % av intrången flera månader eller längre att upptäcka. Det innebär att skada redan hade skett när intrången väl upptäcktes. Det är avgörande att snabbt hitta indikatorer på kompromettering (IoC – Indicators of Compromise). När autentiseringsuppgifterna väl har komprometterats och angriparen kontrollerar kontot räcker det inte längre med klassiska kontroller. När en angripare har autentiseringsuppgifter kan identifiering ske genom övervaka onormalt beteende i infrastrukturen med hjälp av UEBA.

Detta har visat sig vara effektivt för att motverka de tre vanligaste typerna av insiderhot:

Potentiell kontokompromettering:

Med UEBA blir det allt mer användbart och intuitivt att upptäcka misstänkta beteenden och komprometterade konton. När UEBA upptäcker misstänkta aktivitetsindikatorer i ett nätverk kommer det att koppla samman avvikelserna för att ge analytikerna en fullständig översikt över aktiviteter, geografi, autentisering och de användare eller entiteterna som är inblandade.

Maskinkompromettering:

En annan vanlig metod för Advanced Persistent Threats (APT), långvariga attacker och mer komplexa intrång är när maskiner komprometteras och fungerar som mellanlagringsplattform för ytterligare attacker. UEBA använder i regel data från slutpunkter och nätverket för att bygga basnivåer och upptäcka avvikande aktiviteter. Den använder också analysverktyg för att detektera trafik som härstammar från maskiner.

Interna attacker och lateral förflyttning:

När angriparen väl har fått fotfäste försöka denna att förstå nätverket och söka efter värdefulla data. Angripare använder skanningsapplikationer eller operativsystemkommandon för att bättre förstå hur de kan förflytta sig och få åtkomst till måldata i ett nätverk. UEBA använder en mix av slutpunkter, Active Directory och andra datakällor för att söka efter beteenden som avviker från de normala basnivåerna. Dessa inkluderar: ovanlig aktivitet per veckodag eller tidpunkt på dagen, ovanlig åtkomst till servrar, filresurser, applikationer eller andra resurser, ovanligt frekvent åtkomst till specifika resurser, onormal användning av applikationer och avvikande åtkomstmönster till lagring.

Bästa praxis för UEBA

  • Definiera användningsfall: När du överväger att driftsätta en UEBA-lösning bör du tydligt definiera de användningsfall som behöver hanteras. Det är även till hjälp om du kan beskriva önskade utdata från UEBA-lösningen för vart och ett av dessa fall. Detta säkerställer att det levererar värde mot viktiga smärtpunkter.
  • Överväg datakällor: Du bör säkerställa att UEBA-lösningen har stöd för dina prioriterade användningsfalls nödvändiga datakällor. Kontrollera om dessa användningsfall kan implementeras direkt med färdigpaketerade analysfunktioner och bestäm förväntad arbetsinsats för anpassade användningsfall. 
  • Proof of Concept: Du kan inkludera en PoC-fas (Proof of Concept) i din process. I detta avseende är det viktigt att komma ihåg att en UEBA PoC kan pågå i 30 dagar för att ge maskininlärningsalgoritmerna tid att lära sig din organisations data och bygga basnivåer med hjälp av realtidsdata eller historiska data.
Best Practices for UEBA Infographic

Kontakta LogPoint

Kontakta oss och ta reda på varför ledande varumärken väljer LogPoint:

Kom i kontakt med oss

Läs mer om LogPoint

Boka en LogPoint-demo
Kundfall
Kundrecensioner