Какво е анализ на поведението на потребители и обекти (UEBA)?

В основата си UEBA се състои от два основни компонента: анализ на поведението на потребителя (UBA) и анализ на поведението на субекта (EBA).

UBA помага на организациите да виждат и спират потенциални рискове за сигурността чрез разбиране на поведението на потребителите. Това се постига чрез наблюдение и анализ на моделите в дейността на потребителите, за да се формира базов модел за типично поведение. Моделът определя вероятността конкретен потребител да извърши конкретна дейност въз основа на този модел за изучаване на поведението.

Подобно на UBA, EBA също може да помогне на организациите да идентифицират потенциални киберзаплахи – от страна на мрежата. EBA следи и анализира активността между нечовешки обекти, като например сървъри, приложения, бази данни и интернет на нещата (IoT). Това помага да се идентифицира подозрително поведение, което може да означава пробив, като например неоторизиран достъп до данни или необичайни модели на трансфер на данни.

Заедно UBA и EBA формират решение, което сравнява различни артефакти, включително географски местоположения, устройства, среди, време, честота и поведение на колеги или на цялата организация.

UEBA събира данни за потребители и обекти от всички свързани източници на данни в мрежата на организацията. Данните за потребителя могат да включват активност при влизане, местоположение и модели за достъп до данни, докато данните за субекта могат да включват логове от мрежови устройства, сървъри, крайни точки, приложения и други допълнителни услуги.

UEBA анализира събраните данни и ги използва, за да определи базови стойности или типични профили на поведение за всеки потребител и субект. След това базовите стойности се използват за създаване на динамични поведенчески модели, които непрекъснато се учат и адаптират във времето въз основа на входящите данни.

Използвайки базовите линии като ръководство за типично поведение, UEBA продължава да следи активността на потребителите и структурите в реално време, за да помогне на организацията да определи дали даден актив е бил компрометиран. Системата открива аномални дейности, които се отклоняват от типичното базово поведение, като например започване на трансфер на данни с необичайно голям обем, което предизвиква предупреждение. Въпреки че аномалиите сами по себе си не означават непременно злонамерено или дори подозрително поведение, те могат да се използват за подобряване на откриването, разследването и издирването на заплахи.

Сигналите, които съдържат информация за поведението на потребителите, вида на аномалията и потенциалното ниво на риск, се изпращат до екип на центъра за операции по сигурността (SOC). Екипът на SOC получава информацията и определя дали да продължи разследването въз основа на поведението, контекста и приоритета на риска.

Чрез използването на UEBA заедно с по-широк набор от решения за киберзаплахи организациите създават единна платформа за сигурност и се радват на по-силна позиция по отношение на сигурността като цяло. UEBA също така работи с управляеми инструменти за откриване и реагиране (MDR) и решения за управление на привилегирован достъп (PAM) за мониторинг; управление на информация и събития в областта на сигурността (SIEM); и инструменти за реагиране при инциденти за действие и реакция.

Ловците на заплахи използват разузнаване на заплахите, за да определят дали запитванията им са разкрили подозрително поведение. Когато поведението е подозрително, аномалиите насочват към потенциални пътища за по-нататъшно разследване. Чрез анализиране на моделите както сред потребителите и субектите, UEBA може да открива много по-рано по-широк кръг от кибератаки, включително ранни киберзаплахи, вътрешни киберзаплахи, DDoS атаки и атаки с груба сила, преди те да прераснат в потенциален инцидент или нарушение.

Моделите на UEBA се управляват от алгоритми за машинно обучение, които непрекъснато се учат от променящите се модели на поведение на потребителите и субектите, използвайки анализ на данни. Като се адаптират към нуждите на сигурността в реално време, решенията за сигурност могат да останат ефективни в условията на променящ се пейзаж на сигурността, включващ сложни киберзаплахи.

Анализаторите по сигурността използват аномалиите, за да потвърдят нарушението, да оценят неговото въздействие и да предоставят навременна и приложима информация за потенциални инциденти със сигурността, която екипите на SOC могат да използват за по-нататъшно разследване на случаите. Това, от своя страна, води до по-бързо и по-ефективно разрешаване на инциденти, което свежда до минимум цялостното въздействие на киберзаплахите върху цялата организация.

В ерата на хибридната или дистанционната работа днешните организации са изправени пред киберзаплахи, които винаги се развиват – ето защо и техните методи трябва да се развиват. За да откриват по-ефективно нови и съществуващи киберзаплахи, анализаторите по сигурността търсят аномалии. Макар че една аномалия не означава непременно злонамерено поведение, наличието на множество аномалии в цялата верига на убиване може да означава по-голям риск. Анализаторите по сигурността могат да подобрят още повече откриването на аномалии, като добавят предупреждения за идентифицирано необичайно поведение. Като възприемат UEBA и разширяват обхвата на своята сигурност, за да обхванат устройства извън традиционната офис среда, организациите могат проактивно да подобрят сигурността на лога, да намалят киберзаплахите и да осигурят по-устойчива и сигурна среда като цяло.

В регулираните индустрии, като например финансовите услуги и Здраве­опазването, разпоредбите за защита на данните и поверителността се съпровождат от стандарти, които всяка компания трябва да спазва. Възможностите на UEBA за непрекъснато наблюдение и докладване помагат на организациите да следят тези регулаторни изисквания за съответствие.

Въпреки че UEBA предоставя на организациите безценни познания, тя идва и със свой собствен уникален набор от предизвикателства, които трябва да се вземат предвид. Ето някои често срещани проблеми, които трябва да се решат при прилагането на UEBA:

• Фалшиви положителни и отрицателни резултати
  Понякога системите за UEBA могат погрешно да категоризират нормалното поведение като подозрително и да генерират фалшиви положителни резултати. UEBA може също така да пропусне действителни киберзаплахи за сигурността, което може да генерира фалшиви отрицателни резултати. За по-точно откриване на киберзаплахи организациите трябва да проучват внимателно сигналите.
  
  
• Непоследователно именуване в различните структури
  Доставчикът на ресурси може да създаде сигнал, който не идентифицира достатъчно добре дадена структура, например потребителско име без контекста на името на домейна. Когато това се случи, потребителската същност не може да бъде обединена с други екземпляри на същия акаунт и тогава се идентифицира като отделна същност. За да се сведе до минимум този риск, от решаващо значение е идентифицирането на субектите да се извършва чрез стандартизиран формуляр и да се синхронизират субектите с техния доставчик на идентичност, за да се създаде единна директория.
  
  
• Загриженост за неприкосновеността на личния живот
  Укрепването на операциите по сигурността не трябва да става за сметка на правата на личната неприкосновеност. Непрекъснатият мониторинг на поведението на потребителите и субектите повдига въпроси, свързани с етиката и неприкосновеността на личния живот, поради което е от съществено значение инструментите за сигурност – особено инструментите за сигурност, подобрени с изкуствен интелект – да се използват отговорно.
  
  
• Бързо развиващи се киберзаплахи 
  Въпреки че системите на UEBA са проектирани да се адаптират към променящите се киберзаплахи, те все още могат да се сблъскат с предизвикателства, свързани с бързо развиващите се киберзаплахи. Тъй като техниките и моделите на кибератаки се променят, от решаващо значение е да продължите да настройвате технологията UEBA, за да отговаря на нуждите на организацията.

С напредъка в машинното обучение, интеграцията на изкуствения интелект и анализа на данни, които ще подобрят възможностите му, бъдещето на UEBA изглежда светло. Ето някои от най-завладяващите тенденции и развития, които вероятно ще оформят еволюцията на UEBA:

• Напредъкът в ИИ за киберсигурност
  Тъй като изкуственият интелект и машинното обучение продължават да стават все по-мощни и усъвършенствани, се очаква прогностичните възможности на UEBA да се развият още повече. Алгоритмите за машинно обучение, които непрекъснато се учат въз основа на постъпващите данни, се очаква да идентифицират по-добре сложни модели и аномалии, да подобрят точността на откриване на киберзаплахи и да намалят фалшивите положителни резултати.
  
  
• Интеграция с разширено откриване и реагиране (XDR) и откриване и реагиране на крайни точки (EDR) 
  Очаква се UEBA да се интегрира още по-тясно с EDR и XDR решения. Решенията за EDR разширяват обхвата на сигурността, за да осигурят междуплатформена видимост в крайните точки. Решенията XDR разширяват още повече този обхват, като предлагат сигурност в по-широк кръг продукти, включително мрежи, сървъри, облачни приложения, както и крайни точки. Включването на UEBA в XDR и EDR, подобрява разузнаването на заплахите, предоставяно от тези решения, така че организациите да могат по-ефективно да откриват и да реагират на киберзаплахи в среда с много облаци и платформи.
  
  
• Автоматизиране на реакциите при инциденти 
  Когато се комбинират с прозренията на UEBA, автоматизираните реакции на инциденти ще станат по-бързи, по-усъвършенствани и по-ефективни, което ще намали въздействието на инцидентите със сигурността като цяло.
  
  
• По-проактивни възможности за сигурност 
  UEBA ще се вгради още повече в решенията за откриване на идентичност и крайни точки, както и в решенията за защита. В условията на все по-сложни кибератаки UEBA ще се развива заедно с допълнителни решения за сигурност, за да осигури още по-усъвършенствано откриване на заплахи, както и бързи реакции при инциденти. Например управляваното разширено откриване и реагиране (MXDR) обединява услугите за управлявано наблюдение, издирване и отстраняване на проблеми на управляваното откриване и реагиране (MDR) с разширената защита на сигурността на XDR, за да осигури бързо, ефективно и проактивно покритие на киберзаплахите отвъд крайната точка. Тези нови възможности на UEBA ще дадат на екипите на SOC възможност за проактивно търсене на киберзаплахи в по-широко разнообразие от ИТ среди, което ще даде възможност на организациите да изпреварват възникващите киберзаплахи.

Анализът на мрежовия трафик (АМТ) е подход в областта на киберсигурността, който на практика има много сходства с UEBA, но се различава по отношение на фокуса, приложението и мащаба. При формирането на цялостно решение за киберсигурност двата подхода работят добре заедно:

• Фокусира се върху разбирането и наблюдението на поведението на потребителите и субектите в мрежата чрез машинно обучение и изкуствен интелект.
• Събира данни от източници на потребители и субекти, които могат да включват дейности по вписване, регистри за достъп и данни за събития, както и взаимодействия между субекти.
• Използва модели или базови линии за идентифициране на вътрешни заплахи, компрометирани акаунти и необичайно поведение, което може да доведе до потенциален инцидент.

• Фокусира се върху разбирането и наблюдението на потока на данни в мрежата чрез разглеждане на пакети от данни и идентифициране на модели, които могат да показват потенциална заплаха.
• Събира данни от мрежовия трафик, които могат да включват мрежови логове, протоколи, IP адреси и модели на трафик.
• Използва моделите на трафика, за да идентифицира мрежови заплахи, като DDoS атаки, злонамерен софтуер и кражба и ексфилтрация на данни.
• Работи добре с други инструменти и технологии за мрежова сигурност, както и с UEBA.

Тъй като заплахите за киберсигурността продължават да се развиват с бързи темпове, решенията на UEBA стават по-важни за стратегията за защита на организацията от всякога. Ключът към по-добрата защита на вашето предприятие от бъдещи киберзаплахи е да станете образовани, проактивни и осведомени.

Ако се интересувате от укрепване на киберсигурността на вашата организация с възможностите на UEBA от следващо поколение, ще искате да проучите най-новите възможности. Едно унифицирано решение за операции по сигурността обединява възможностите на SIEM и UEBA, за да помогне на вашата организация да вижда и спира сложни киберзаплахи в реално време, и то от една платформа. Придвижвайте се по-бързо с унифицирана сигурност и видимост във вашите облаци, платформи и услуги за крайни точки. Получете пълна представа за състоянието на сигурността си, като обобщавате данни за сигурността от целия си технологичен пакет – и използвайте изкуствен интелект, за да разкривате потенциални киберзаплахи.