Киберсигурността става все по-важна за бизнеса от всякакъв размер. Вече е обичайно дори малките компании да използват изобилие от инструменти като SIEM, защитни стени и VPN за защита срещу проникване.
Хакерите обаче стават все по-сложни. Успехът им зависи от способността им да извършват атаки, без да бъдат открити от такива инструменти. И често успяват в това. Едно потенциално решение за това е известно като анализ на поведението на потребителите и субектите.
И така, какво е UEBA и трябва ли вашият бизнес да го използва? Нека разберем по-долу.
Какво е анализ на поведението на потребителите и субектите?
UEBA е решение за киберсигурност, което използва големи набори от данни за моделиране на мрежова активност. Той анализира както потребителите на мрежа, така и самата мрежа, като рутери и IoT устройства. След това търси подозрителна дейност и предупреждава бизнеса, когато бъде открита такава дейност.
Постига това чрез създаване на базова линия за това как изглежда нормалната активност в мрежата. След това използва машинно обучение, за да открие автоматично ненормално поведение.
Той е популярен, защото много продукти за киберсигурност са обучени основно да търсят зловреден софтуер. Хакерите могат да победят такъв софтуер, като влязат в мрежа и просто не инсталират никакви злонамерени файлове.
За разлика от това, UEBA може да търси всичко необичайно. Това му позволява да открива по-сложни атаки, които не съответстват на известни заплахи.
Как работи UEBA?
Решенията на UEBA обикновено имат три основни компонента: анализ, интеграция и презентация. Нека ги разгледаме накратко:
Анализ
UEBA анализира поведението на всички потребители и устройства на мрежата. Това създава базова линия, която илюстрира как изглежда мрежата, когато не се извършва атака. След това се използват статистически модели, за да се определи кога даден потребител или устройство се държи по начин, който не би трябвало.
Интеграция
Решенията на UEBA обикновено са проектирани да се интегрират с друг софтуер за сигурност. Вашият бизнес вероятно вече проследява поведението на мрежата и вашият продукт на UEBA трябва да може автоматично да събира данни от такива продукти.
Презентация
UEBA обикновено не предприема действия срещу заплахите. Вместо това той е предназначен да представи своите данни на ИТ персонала за по-нататъшно разследване. Това може да бъде толкова просто, колкото изпращането на сигнал. Но много продукти на UEBA също така произвеждат графики и други статистически данни, които персоналът може да използва за извършване на допълнителен анализ.
От какво защитава UEBA?
UEBA може да защити срещу различни заплахи, които другите продукти за сигурност не могат. Да видим какви са, а?
Вътрешни заплахи
Софтуерът за сигурност често се затруднява откриване на вътрешни заплахи. Въпреки че SIEM може лесно да открие проникване в мрежа, той може да не открие, че някой вече в мрежата прави нещо, което не трябва да прави. Правилно конфигурираната UEBA ще разбере как обикновено се държат потребителите и трябва да генерира сигнал, ако потребителят започне да прави нещо друго.
Компрометирани потребителски акаунти
Ако потребителят се държи необичайно, това не винаги е причинено от вътрешна заплаха. Това може също да означава, че нападател е откраднал акаунта на потребителя. Бизнес служителите редовно са обект на фишинг и компрометирани потребителски акаунти следователно са често срещано явление. UEBA може да открие съставени акаунти веднага щом нападателят започне да прави нещо необичайно.
Ескалация на привилегиите
Ескалация на привилегиите се случва, когато на потребителя се предоставят допълнителни привилегии за достъп до други части на мрежата. Това е нещо, от което хакерът би се възползвал. UEBA може да бъде настроен да открива всеки път, когато привилегиите на потребителя се увеличават, и да изпраща сигнал за разследване.
Атаки с груба сила
Атаки с груба сила включва многократни опити за достъп до потребителски акаунти и мрежи. Тъй като това очевидно не е в рамките на нормалното поведение, то може лесно да бъде открито от UEBA. В този сценарий UEBA може да генерира сигнал или може да бъде настроен да изхвърли нападателя автоматично.
Ограничен достъп до информация
UEBA може да следи кой има достъп до поверителна информация. Следователно може да предотврати пробиви на данни, като генерира сигнал всеки път, когато потребителят има достъп до нещо, което не е необходимо за тяхната работа.
UEBA срещу SIEM
Инструментите за информация за сигурност и управление на събития са подобни на UEBA, но не съвсем същите. Инструментите на SIEM също анализират мрежа и генерират сигнали, когато се открие подозрителна активност.
Разликата е, че SIEM генерира сигнал само когато нападател направи нещо, за което е известно, че е злонамерено. Така че, ако нападателят е внимателен, той все още може да влезе в мрежа и да избегне откриването.
UEBA е предназначена да открива атаки, не поради злонамерено поведение, а поради поведение, което е извън нормата. Това му позволява да открива атаки, които не съответстват на нито една известна заплаха.
Много SIEM инструменти вече включват UEBA поради тази причина, но повечето не го правят.
Всички бизнеси трябва ли да използват UEBA?
Всички фирми трябва да обмислят използването на решение на UEBA, но подобно на много нови решения за киберсигурност, важно е да се претеглят плюсовете и минусите, преди да се приложи.
UEBA е в състояние да открива заплахи, които SIEM не би. Освен това е в състояние да улавя заплахи, които служителите по сигурността могат да пропуснат. В тази допълнителна защита често си струва да се инвестира, като се имат предвид загубите, понесени след успешна кибератака.
Решенията на UEBA също така осигуряват автоматизирана защита. Това може да позволи на бизнеса да има по-малък отдел за киберсигурност и следователно да осигури значителни спестявания на заплати.
Недостатъкът на UEBA е, че е скъп за прилагане. Може да е извън бюджета на много малки предприятия, като същевременно не е строго необходимо. Внедряването на решение на UEBA също ще изисква персоналът да бъде обучен да го използва, добавяйки допълнителни разходи.
UEBA също не е подходящ заместител на други продукти за киберсигурност. Въпреки че SIEM продукт може да включва UEBA, UEBA не е заместител на SIEM или други продукти за сигурност, които бизнесът вече има.
UEBA предлага превъзходна защита
Продуктите на UEBA предлагат значително подобрение спрямо стандартните SIEM продукти и са в състояние да идентифицират заплахи, които иначе биха останали неоткрити. Докато SIEM често се бори с вътрешни заплахи, UEBA може автоматично да открие необичайна мрежова активност от оторизирани потребители.
Дали UEBA е подходяща за вашия бизнес зависи от вашия бюджет за киберсигурност. Въпреки че UEBA е превъзходна, високата цена на инсталацията и фактът, че не замества други продукти, е очевиден недостатък.