Mis on kasutajate ja olemite käitumise analüüs (UEBA)?

UEBA koosneb kahest põhikomponendist: kasutaja käitumise analüüsimine (UBA) ja olemi käitumise analüüsimine (EBA).

UBA aitab tänu kasutaja käitumise mõistmisele organisatsioonidel potentsiaalseid turberiske tuvastada ja peatada. Selleks jälgitakse ja analüüsitakse kasutajate tegevuste mustreid ning luuakse tavapärase käitumise põhimudel. Mudel määrab kindlaks tõenäosuse selle kohta, kas konkreetne kasutaja sooritab kõnealuse käitumismustri põhjal kindla tegevuse.

Sarnaselt UBA-ga saab ka EBA aidata organisatsioonidel võrgu vaatepunktist potentsiaalseid küberohte tuvastada. EBA jälgib ja analüüsib tegevusi mitte-inimeste olemite (nt serverite, rakenduste, andmebaaside ja asjade Interneti (IoT)) vahel. See aitab tuvastada kahtlast käitumist, mis võib viidata turbemurdele (nt volitamata juurdepääs andmetele või ebaloomulikud andmeedastusmustrid).

UBA ja EBA moodustavad koos lahenduse, mis võrdleb erinevaid artefakte, sh geograafilisi asukohti, seadmeid, keskkondi, aega, sagedust ning partnerite või organisatsiooniülest käitumist.

UEBA kogub kogu organisatsiooni võrgu ulatuses kasutajate ja olemite andmeid kõigist ühendatud andmeallikatest. Kasutajaandmed võivad sisaldada sisselogimistegevust, asukohta ja andmetele juurdepääsu mustreid, samas kui olemiandmed võivad sisaldada logisid võrguseadmetest, serveritest, lõpp-punktidest, rakendustest ja muudest lisateenustest.

UEBA analüüsib kogutud andmeid ja kasutab neid iga kasutaja ja olemi põhiomaduste või tüüpiliste käitumisprofiilide määratlemiseks. Seejärel kasutatakse põhiomadusi dünaamiliste käitumismudelite loomiseks, mille abil tegeletakse sissetulevate andmete põhjal pideva õppimise ja kohandumisega.

Lähtealuste kasutamise abil tavalise käitumise juhisena jätkatakse UEBA reaalajas kasutaja- ja olemitegevuse jälgimist, et aidata organisatsioonil kindlaks teha, kas vara on langenud rünnaku alla. Süsteem tuvastab tavapärasest lähtekäitumisest kõrvale kalduvad ebaharilikud tegevused, näiteks ebaharilikult suure mahuga andmeedastuse algatamise, mis käivitab märguande. Kuigi üksikud anomaaliad ei pruugi viidata pahatahtlikule või isegi kahtlasele käitumisele, saab neid kasutada tuvastamise, uurimiste ja ohujahi täiustamiseks.

Märguanded, mis koosnevad kasutaja käitumisest, anomaalia tüübist ja võimalikust riskitasemest, saadetakse turbetoimingute keskuse (SOC) meeskonnale. Turbetoimingute keskuse (SOC) meeskond võtab teabe vastu ja otsustab, kas nad peaksid uurimist käitumise, konteksti ja riski prioriteedi põhjal edasi uurima.

UEBA kasutamine koos laiema küberohtude lahendusega aitab luua organisatsioonidel ühtse turbeplatvormi ja kasutada üldiselt tugevamat turbehoiakut. UEBA töötab ka hallatavate ohutuvastuse ja -kõrvalduse tööriistadega ning eelispääsuhalduse (PAM) lahendustega jälgimise; turbeteabe ja -sündmuste halduse (SIEM); ning intsidentidele reageerimise tööriistadega tegevuse ja reageerimise eesmärgil.

Ohujahtijad kasutavad ohuanalüüsi selleks, et aidata kindlaks teha, kas nende päringute puhul esineb tuvastamata kahtlane käitumine. Kui käitumine on kahtlane, osutavad anomaaliad edasiseks uurimiseks võimalikele teedele. Analüüsides mustreid nii kasutajate kui ka olemite vahel, tuvastab UEBA enne võimaliku intsidendi või turbemurde eskaleerumist palju rohkem küberrünnete (sh varajaste küberrünnete, siseringi küberrünnete, DDoS-rünnete ja jõurünnete) levimist.

UEBA-mudelid põhinevad masinõppe algoritmidel, mis õpivad pidevalt andmeanalüüsi abil muutuvatest kasutaja ja olemi käitumise mustritest. Tänu turbevajadustega reaalajas kohandumisele võivad turbelahendused säilitada tõhususe pidevalt muutuva turbemaastiku vaatepunktist, mis sisaldab keerukaid küberohte.

Turbeanalüütikud kasutavad turbemurde kinnitamiseks, selle mõju hindamiseks ja võimalike turbeintsidentide kohta õigeaegsete ning tegevuslike ülevaadete andmiseks anomaaliaid, mida turbetoimingute keskuse (SOC) meeskonnad saavad kasutada juhtumite edasi uurimiseks. See võimaldab omakorda kiiremata ja tõhusamat intsidentide lahendamist, mis vähendab küberrünnete üldist mõju kogu organisatsioonile.

Hübriid- või kaugtöö ajastul puutuvad kaasaegsed organisatsioonid kokku pidevalt arenevate küberrünnetega. Seetõttu peavad ka organisatsioonide meetodid arenema. Uute ja olemasolevate küberrünnete tõhusamaks tuvastamiseks otsivad turbeanalüütikud anomaaliaid. Kuigi üks anomaalia ei pruugi viidata pahatahtlikule käitumisele, võib mitme anomaalia esinemine tapuahelas tähendada suuremat riski. Turbeanalüütikud suudavad tuvastamist veelgi rohkem täiustada, kui nad lisavad ebatavalise käitumise kohta märguanded. UEBA kasutuselevõtuga ja turvalisuse ulatuse laiendamisega nii, et see hõlmaks seadmeid väljaspool tavapärast kontoriruumi, saavad ettevõtted ennetavalt täiustada sisselogimise turvalisust, leevendada küberohte ning tagada üldiselt vastupidavama ja turvalisema keskkonna.

Reguleeritud valdkondades (nt finantsteenused ja tervishoid) kehtivad andmekaitse ning privaatsuseeskirjad standarditele, mida iga ettevõte peab järgima. UEBA järjepideva jälgimise ja aruandluse võimalused aitavad organisatsioonidel kõnealuseid regulatiivseid vastavusnõudeid järgida.

Kuigi UEBA pakub organisatsioonidele hindamatuid ülevaateid, hõlmab see ka oma unikaalseid väljakutseid, millega tegeleda. Siin on esitatud mõned levinud probleemid, mida UEBA rakendamisel lahendada.

• Valepositiivsed ja -negatiivsed vasted
  Aeg-ajalt võivad UEBA-süsteemid ekslikult liigitada tavakäitumised kahtlasteks ja luua valepositiivseid tulemusi. Samuti on võimalik, et UEBA jätab tegelikud küberohud tähelepanuta, millele võivad järgneda valenegatiivsed tulemused. Küberohu täpsemaks tuvastamiseks peavad organisatsioonid märguandeid hoolikalt uurima.
  
  
• Olemite ebaühtlane nimetamine
  Võimalik, et ressursipakkuja loob märguande, mille abil ei tuvastata olemit (nt kasutajanime ilma domeeninime kontekstita). Sellisel juhul ei saa kasutaja olemit ühendada sama konto teiste eksemplaridega ja see tuvastatakse seejärel eraldi olemina. Sellise riski leevendamiseks on oluline tuvastada olemid, mis kasutavad standardset vormi, ja sünkroonida olemid oma identiteedipakkujaga, et luua üks kataloog.
  
  
• Privaatsusalased probleemid
  Turbetoimingute kindlustamine ei tohiks toimuda individuaalsete privaatsusõiguste arvelt. Kasutajate ja olemite käitumise pidev jälgimine tekitab küsimusi eetika ja privaatsuse alal, mistõttu on oluline kasutada turbetööriistu, eriti tehisintellektiga täiustatud turbetööriistu vastutustundlikult.
  
  
• Kiiresti arenevad küberohud 
  Kuigi UEBA-süsteemid on loodud muutuvate küberohumaastikega kohanema, võib siiski olla raske kiiresti arenevate küberohtudega kursis püsida. Küberründe tehnikate ja mustrite muutumisel on oluline jätkata UEBA-tehnoloogia häälestamist vastavalt organisatsiooni vajadustele.

Kuna masinõppe, tehisintellekti integreerimise ja andmeanalüüside võimalused täiustavad UEBA funktsioone, on sellel särav tulevik. Siin on esitatud mõned kõige tähelepanuväärsemad trendid ja arengud, mis tõenäoliselt UEBA arengut kujundavad.

• Arengud tehisintellektipõhise küberturbealal
  Kuna tehisintellekt ja masinõpe muutuvad aina võimsamaks ja keerukamaks, siis eeldatakse, et UEBA prognoositavad võimalused arenevad aina kaugemale Masinõppe algoritmid, mis õpivad pidevalt sissetulevate andmete põhjal, peaksid keerukaid mustreid ja anomaaliaid paremini tuvastama, parandama küberohu tuvastamise täpsust ja vähendama valepositiivseid tulemeid.
  
  
• integreerimine laiendatud tuvastamise ja reageerimise (XDR) ning lõpp-punkti tuvastamise ja reageerimisega (EDR) 
  Eeldatavalt integreeritakse UEBA veelgi tihedamalt EDR-i ja XDR-i lahendustega. EDR-i lahendused laiendavad turbe ulatust, et pakkuda platvormiülest nähtavust lõpp-punktides. XDR-lahendused laiendavad seda ulatust veelgi, pakkudes turvet paljude toodete (sh võrkude, serverite, pilvepõhiste rakenduste ja lõpp-punktide) jaoks. UEBA kaasamine XDR-i ja EDR-i täiustab kõnealuste lahenduste tagatud ohuanalüüsi, et organisatsioonid saaksid mitmekihilises mitmekihilises mitme platvormi keskkonnas küberohte tõhusamalt tuvastada ning neile reageerida.
  
  
• Intsidentidele reageerimise automatiseerimine 
  Koos UEBA ülevaadetega muutub automaatne intsidentidele reageerimine kiiremaks, keerukamaks ja tõhusamaks, vähendades turbeintsidentide üldist mõju.
  
  
• Proaktiivsemad turbefunktsioonid 
  UEBA manustatakse veelgi rohkem nii identiteedi- kui ka lõpp-punktide tuvastamise ning kaitselahenduste hulka. Üha keerukamate küberrünnete tõttu areneb UEBA koos täiendavate turbelahendustega, et pakkuda veelgi keerukamaid ohutuvastusi ja kiiret intsidentidele reageerimist. Hallatav laiendatud ohutuvastus ja -kõrvaldus (MXDR) näiteks koondab hallatava ohutuvastuse ning -kõrvalduse (MDR) poolt juhitud seire-, ohujahi- ja kahjutustamisteenused XDR-i laiendatud turbekaitsega, et pakkuda kiiret, tulemuslikku ning ennetavat küberohu katvust väljaspool lõpp-punkti. Kõnealused uued UEBA võimalused annavad turbetoimingute keskuse (SOC) meeskondadele võimaluse ennetavalt küberohte paljudest IT-keskkondadest otsida, mis tagab organisatsioonidele võimaluse tulevastest küberohtudes ees püsida.

Võrguliikluse analüüs (NTA) on küberturbe lähenemisviis, millel on UEBA-ga palju sarnasusi, kuid mis erineb fookuse, kasutamise ja mastaabi poolest. Mitmekülgse küberturbe lahenduse loomisel toimivad kaks nimetatud lähenemisviisi hästi üheskoos.

• Keskendub masinõppe ja tehisintellekti abil võrgus olevate kasutajate ning olemite käitumise mõistmisele ja jälgimisele.
• Kogub andmeid kasutajate ja olemite allikatest, mis võivad sisaldada sisselogimise tegevusi, juurdepääsulogisid ning sündmuste andmeid ja olemite vahelist suhtlust.
• Kasutab mudeleid või lähtejooni siseohtude, ohustatud kontode ja ebatavalise käitumise tuvastamiseks, mis võivad põhjustada potentsiaalse intsidendi.

• Keskendub võrgus voo mõistmisele ja jälgimisele, uurides andmepakette ning tuvastades mustreid, mis võivad viidata võimalikule ohule.
• Kogub andmeid võrguliiklusest, mis võivad sisaldada võrgulogisid, protokolle, IP-aadresse ja liiklusmustreid.
• Kasutab liiklusmustreid võrgupõhiste ohtude (nt DDoS-rünnakute, ründevara ning andmevarguse ja andmete väljasmugeldamise) tuvastamiseks.
• Töötab hästi muude võrguturbe tööriistade ja tehnoloogiate ning UEBA-ga.

Küberturbe ohtude kiires tempos arenemisel muutuvad UEBA lahendused organisatsiooni kaitsestrateegia jaoks olulisemaks kui kunagi varem. Teie ettevõtte paremaks kaitsmiseks tulevaste küberrünnete eest on kõige olulisem püsida asjadega kursis ning tegutseda ennetavalt ja teadlikult..

Kui olete huvitatud enda organisatsiooni küberturbe kindlustamisest uue põlvkonna UEBA võimalustega, peaksite tutvuma uusimate võimalustega. Ühtse turbetoimingute lahenduse abil koondatakse kokku SIEM-i ja UEBA võimalused, mis aitavad teie organisatsioonil keerukaid küberohte reaalajas näha ja peatada ning seda kõike ühelt platvormilt. Tegutsege kiiremini tänu ühtsele turbele ja nähtavusele kõigi teie pilvkeskkondade, platvormide ja lõpp-punkti teenuste ulatuses. Hankige enda turbeseisundi täielik ülevaade ning koondage kokku turbeandmed tervest tehnilisest virnast, kasutades tehisintellekti potentsiaalsete küberrünnete tuvastamiseks.