Hvad er UEBA (User And Entity Behavior Analytics)?

I sin kerne består UEBA af to nøglekomponenter: UBA (User Behavior Analytics) og EBA (Entity Behavior Analytics).

UBA hjælper organisationer med at se og stoppe potentielle sikkerhedsrisici ved at forstå brugernes adfærd. Dette opnås ved at overvåge og analysere mønstre på tværs af brugeraktivitet for at danne en grundlæggende model for typisk adfærd. Modellen bestemmer sandsynligheden for, at en bestemt bruger udfører en bestemt aktivitet baseret på dette adfærdslæringsmønster.

Ligesom UBA kan EBA også hjælpe organisationer med at identificere potentielle cybertrusler – på netværkssiden. EBA overvåger og analyserer aktivitet mellem ikke-menneskelige enheder, f.eks. servere, programmer, databaser og Tingenes internet (IoT). Dette hjælper med at identificere mistænkelig adfærd, der kan indikere brud, f.eks. uautoriseret dataadgang eller unormale mønstre for dataoverførsel.

Sammen udgør UBA og EBA en løsning, der sammenligner en række forskellige artefakter, herunder geografiske placeringer, enheder, miljøer, tid, hyppighed og peer- eller organisationsadfærd.

UEBA indsamler bruger- og enhedsdata fra alle forbundne datakilder på tværs af organisationens netværk. Brugerdata kan omfatte logonaktivitet, placering og dataadgangsmønstre, mens enhedsdata kan omfatte logge fra netværksenheder, servere, slutpunkter, programmer og andre yderligere tjenester.

UEBA analyserer de indsamlede data og bruger dem til at definere grundlinjer eller typiske adfærdsprofiler for hver bruger og enhed. De oprindelige planer bruges derefter til at oprette dynamiske adfærdsmodeller, der løbende lærer og tilpasser sig over tid baseret på de indgående data.

Ved hjælp af grundlinjer som en vejledning til typisk adfærd overvåger UEBA fortsat bruger- og enhedsaktivitet i realtid for at hjælpe en organisation med at afgøre, om et aktiv er blevet kompromitteret. Systemet registrerer unormale aktiviteter, der afviger fra den typiske grundlæggende funktionsmåde, f.eks. initiering af en unormalt stor dataoverførsel, som udløser en besked. Selvom uregelmæssigheder ikke nødvendigvis indikerer skadelig eller endda mistænkelig adfærd, kan de bruges til at forbedre registreringer, undersøgelser og trusselsjagt.

Beskeder med indsigt i brugeradfærd, typen af uregelmæssigheder og det potentielle risikoniveau sendes til et SOC-team (Security Operations Center). SOC-teamet modtager oplysningerne og afgør, om de skal fremme undersøgelsen baseret på adfærd, kontekst og risikoprioritet.

Ved at bruge UEBA sammen med et bredere sæt cybertrusselsløsninger danner organisationer en samlet sikkerhedsplatform og får generelt en stærkere sikkerhedstilstand. UEBA fungerer også sammen med MDR-værktøjer (Managed Detection and Response) og PAM-løsninger (Privileged Access Management) til overvågning; SIEM (Security Information and Event Management) er en løsning, der hjælper organisationer med at registrere, analysere og reagere på sikkerhedstrusler, før de beskadiger virksomhedens drift.SIEM (Security Information and Event Management) og værktøjer til svar på hændelser til handling og svar.

Trusselsjægere bruger trusselsintelligens til at afgøre, om deres forespørgsler har opdaget mistænkelig adfærd. Når adfærden er mistænkelig, peger uregelmæssighederne mod potentielle stier til yderligere undersøgelse. Ved at analysere mønstre blandt både brugere og enheder kan UEBA registrere et meget bredere udvalg af cyberangreb tidligere, herunder tidlige cybertrusler, insider-cybertrusler, DDoS-angreb og brute force-angreb, før de eskaleres til en potentiel hændelse eller brud.

UEBA-modeller drives af algoritmer til maskinel indlæring, der løbende lærer af udviklingsmønstre for bruger- og objektadfærd ved hjælp af dataanalyse. Ved at tilpasse til sikkerhedsbehov i realtid kan sikkerhedsløsninger forblive effektive i et skiftende sikkerhedslandskab med avancerede cybertrusler.

Sikkerhedsanalytikere bruger uregelmæssigheder til at hjælpe med at bekræfte et sikkerhedsbrud, vurdere dets indvirkning og give rettidig og handlingsrettet indsigt i potentielle sikkerhedshændelser, som SOC-teams kan bruge til yderligere at undersøge sager. Dette resulterer til gengæld i hurtigere og mere effektiv hændelsesløsning, hvilket minimerer den overordnede indvirkning af cybertrusler på en hel organisation.

I en tid med hybrid- eller fjernarbejde står nutidens organisationer over for cybertrusler, der hele tiden udvikler sig – hvilket er grunden til, at deres metoder også skal udvikle sig. Sikkerhedsanalytikere søger efter uregelmæssigheder for at registrere nye og eksisterende cybertrusler mere effektivt. Selvom en enkelt uregelmæssighed ikke nødvendigvis indikerer ondsindet adfærd, kan tilstedeværelsen af flere uregelmæssigheder på tværs af kæden Kill indikere større risiko. Sikkerhedsanalytikere kan forbedre registreringer endnu mere ved at tilføje beskeder om identificeret usædvanlig adfærd. Ved at indføre UEBA og udvide omfanget af deres sikkerhed til at omfatte enheder uden for den traditionelle kontorindstilling kan organisationer proaktivt forbedre logonsikkerhed, afhjælpe cybertrusler og sikre et mere robust og sikkert miljø generelt.

I regulerede brancher, f.eks. den finansielle sektor og Sundheds­sektoren, følger databeskyttelses- og beskyttelse af personlige oplysninger med standarder, som alle virksomheder skal overholde. UEBA's løbende overvågnings- og rapporteringsfunktioner hjælper organisationer med at holde styr på disse lovmæssige krav til overholdelse.

UEBA giver organisationer uvurderlig indsigt, men den leveres også med sit eget unikke sæt udfordringer, der skal overvejes. Her er nogle almindelige problemer, der skal håndteres, når du implementerer UEBA:

• Falske positiver og negativer
  Ved lejlighed kan UEBA-systemer fejlagtigt kategorisere normal adfærd som mistænkelig og generere en falsk positiv. UEBA kan også gå glip af faktiske cybertrusler i forbindelse med sikkerhed, hvilket kan generere en falsk negativ. Organisationer skal undersøge advarsler med forsigtighed for at opnå mere nøjagtig registrering af cybertrusler.
  
  
• Inkonsekvent navngivning på tværs af enheder
  En ressourceudbyder kan oprette en besked, der ikke identificerer en enhed tilstrækkeligt, f.eks. et brugernavn uden konteksten for domænenavnet. Når dette sker, kan brugerenheden ikke flettes med andre forekomster af den samme konto og identificeres derefter som en separat enhed. For at minimere denne risiko er det vigtigt at identificere enheder ved hjælp af en standardiseret formular og at synkronisere enheder med deres identitetsudbyder for at oprette en enkelt mappe.
  
  
• Spørgsmål om beskyttelse af personlige oplysninger
  Det må ikke gå ud over de enkelte rettigheder til beskyttelse af personlige oplysninger ved forøgelse af sikkerheden. Løbende overvågning af bruger- og enhedsadfærd giver anledning til spørgsmål, der er relateret til etik og beskyttelse af personlige oplysninger, hvilket er grunden til, at det er vigtigt at bruge sikkerhedsværktøjer – især AI-forbedrede sikkerhedsværktøjer – på en ansvarlig måde.
  
  
• Cybertrusler i hastig udvikling 
  UEBA-systemer er designet til at tilpasse sig skiftende cybertrusler, men de kan stadig opleve udfordringer i forhold til at holde trit med cybertrusler i hastig udvikling. I takt med at cyberangrebsteknikker og mønstre ændrer sig, er det afgørende at fortsætte med at finjustere UEBA-teknologien for at imødekomme organisationens behov.

Med fremskridt inden for maskinel indlæring, AI-integration og dataanalyser, der er blevet belyst for at forbedre funktionaliteten, ser fremtiden for UEBA lovende ud. Her er nogle af de mest overbevisende tendenser og udviklinger, der sandsynligvis vil forme udviklingen af UEBA:

• Fremskridt inden for kunstig intelligens til cybersikkerhed
  Efterhånden som kunstig intelligens og maskinel indlæring fortsætter med at vokse mere effektivt og sofistikeret, forventes UEBA's forudsigende funktioner at udvikle sig endnu mere. Algoritmer til maskinel indlæring, som løbende lærer baseret på indgående data, forventes bedre at identificere komplekse mønstre og uregelmæssigheder, forbedre nøjagtigheden af registrering af cybertrusler og reducere falske positiver.
  
  
• Integration med udvidet registrering og svar (XDR) og EDR 
  UEBA forventes at integrere endnu tættere med EDR- og XDR-løsninger. EDR-løsninger udvider sikkerhedsområdet for at give synlighed på tværs af platforme på tværs af slutpunkter. XDR-løsninger udvider dette område yderligere ved at tilbyde sikkerhed på tværs af et bredere udvalg af produkter, herunder netværk, servere, cloudbaserede programmer samt slutpunkter. Inkorporering af UEBA i XDR og EDR forbedrer den trusselsintelligens, der leveres af disse løsninger, så organisationer på en mere effektiv måde kan registrere og reagere på cybertrusler på tværs af et multicloudmiljø med flereplatformsmiljøer.
  
  
• Automatisering af svar på hændelser 
  Når de kombineres med UEBA-indsigter, bliver automatiserede hændelsessvar hurtigere, mere avancerede og mere effektive, hvilket generelt reducerer indvirkningen af sikkerhedshændelser.
  
  
• Flere proaktive sikkerhedsfunktioner 
  UEBA integreres yderligere i identitets- og slutpunktsregistrering samt beskyttelsesløsninger. I forbindelse med stadigt mere avancerede cyberangreb vil UEBA udvikle sig sammen med supplerende sikkerhedsløsninger for at levere endnu mere avanceret trusselsregistrering samt hurtige svar på hændelser. Administreret udvidet registrering og svar (MXDR) samler f.eks. administreret overvågning, jagt og afhjælpning af administreret registrering og svar (MDR) med den udvidede sikkerhedsbeskyttelse af XDR for at give hurtig, effektiv og proaktiv cybertrusler dækning ud over slutpunktet. Disse nye UEBA-funktioner giver SOC-teams mulighed for proaktivt at søge efter cybertrusler på tværs af et bredere udvalg af it-miljøer, så organisationer kan være på forkant med kommende cybertrusler.

Netværkstrafikanalyse (NTA) er en tilgang til cybersikkerhed, der deler mange ligheder med UEBA i praksis, men adskiller sig med hensyn til fokus, program og skalering. Når der skabes en omfattende cybersikkerhedsløsning, fungerer de to tilgange godt sammen:

• Fokuserer på at forstå og overvåge brugernes og enhedernes adfærd i et netværk via maskinel indlæring og kunstig intelligens.
• Indsamler data fra bruger- og enhedskilder, som kan omfatte logonaktivitet, adgangslogge og hændelsesdata samt interaktioner mellem enheder.
• Bruger modeller eller grundlinjer til at identificere insidertrusler, kompromitterede konti og usædvanlig adfærd, der kan føre til en potentiel hændelse.

• Fokuserer på at forstå og overvåge flow af data i et netværk ved at undersøge datapakker og identificere mønstre, der kan indikere en potentiel trussel.
• Indsamler data fra netværkstrafik, som kan omfatte netværkslogge, protokoller, IP-adresser og trafikmønstre.
• Bruger trafikmønstre til at identificere netværksbaserede trusler, f.eks. DDoS-angreb, malware og datatyveri og udtrækning.
• Fungerer fint sammen med andre værktøjer og teknologier til netværkssikkerhed samt UEBA.

I takt med at cybersikkerhedstrusler fortsætter med at udvikle sig i et hurtigt tempo, bliver UEBA-løsninger mere afgørende for en organisations forsvarsstrategi end nogensinde før. Nøglen til bedre at beskytte din virksomhed mod fremtidige cybertrusler er at forblive uddannet, proaktiv og orienteret.

Hvis du er interesseret i at forstærke din organisations cybersikkerhed med næste generations UEBA-funktioner, kan du udforske de nyeste muligheder. En samlede sikkerhedsløsning samler funktionerne i SIEM og UEBA for at hjælpe din organisation med at se og stoppe avancerede cybertrusler i realtid – alt sammen fra én platform. Flyt hurtigere med samlet sikkerhed og synlighed på tværs af dine cloudmiljøer, platforme og slutpunktstjenester. Få et komplet overblik over din sikkerhedstilstand ved at aggregere sikkerhedsdata fra hele din tekniske stak – og bruge kunstig intelligens til at afdække potentielle cybertrusler.