Wat is UEBA (user and entity behavior analytics)?

In de kern bestaat UEBA uit twee belangrijke onderdelen: gebruikersgedraganalyse (UBA) en entiteitsgedraganalyse (EBA).

UBA helpt organisaties om potentiële beveiligingsrisico's te zien en te stoppen door inzicht te krijgen in gebruikersgedrag. Dit wordt bereikt door het monitoren en analyseren van patronen in gebruikersactiviteit om zo een basislijnmodel te verkrijgen voor normaal gedrag. Het model bepaalt de waarschijnlijkheid dat een specifieke gebruiker een specifieke activiteit uitvoert op basis van dit gedragsleerpatroon.

Net als UBA kan ook EBA organisaties helpen bij het identificeren van mogelijke cyberbedreigingen, in dit geval aan de netwerkzijde. EBA bewaakt en analyseert activiteiten tussen niet-menselijke entiteiten, zoals servers, toepassingen, databases en het Internet of Things (IoT). Dit helpt bij het identificeren van verdacht gedrag dat kan duiden op een schending, zoals onbevoegde toegang tot gegevens of abnormale patronen van gegevensoverdracht.

Samen vormen UBA en EBA een oplossing waarmee verschillende artefacten worden vergeleken, waaronder geografische locaties, apparaten, omgevingen, tijd, frequentie en peer- of organisatiebreed gedrag.

UEBA verzamelt gebruikers- en entiteitsgegevens van alle verbonden gegevensbronnen binnen het netwerk van de organisatie. Gebruikersgegevens kunnen aanmeldingsactiviteit, locatie en gegevenstoegangspatronen omvatten, terwijl entiteitsgegevens logboeken van netwerkapparaten, servers, eindpunten, toepassingen en andere aanvullende services kunnen omvatten.

UEBA analyseert de verzamelde gegevens en gebruikt deze om basislijnen of profielen van typisch gedrag te definiëren voor elke gebruiker en entiteit. De basislijnen worden vervolgens gebruikt om dynamische gedragsmodellen te maken die continu leren en zich in de loop van de tijd aanpassen op basis van de binnenkomende gegevens.

Met behulp van basislijnen als richtlijn voor normaal gedrag blijft UEBA de activiteit van gebruikers en entiteiten in realtime controleren om een organisatie te helpen bepalen of een asset is aangetast. Het systeem detecteert afwijkende activiteiten die afwijken van normaal basislijngedrag, zoals het initiëren van een abnormaal grote gegevensoverdracht, waardoor een waarschuwing wordt geactiveerd. Hoewel afwijkende activiteiten op zichzelf niet noodzakelijkerwijs schadelijk of zelfs verdacht gedrag aangeven, kunnen ze worden gebruikt voor het verbeteren van detecties, onderzoeken en de opsporing van cyberbedreigingen.

Waarschuwingen die inzicht bieden in gebruikersgedrag, het type anomalie en het potentiële risiconiveau worden verzonden naar een beveiligingscentrum-team (SOC of Security Operations Center). Het SOC-team ontvangt de informatie en bepaalt of het onderzoek moet worden voortgezet op basis van gedrag, context en risicoprioriteit.

Door UEBA te gebruiken in combinatie met een bredere set oplossingen voor cyberbedreigingen, vormen organisaties een uniform beveiligingsplatform en hebben ze over het algemeen een sterkere beveiligingspostuur. UEBA werkt ook met hulpprogramma's voor MDR (Managed Detection and Response) en bewakingsoplossingen voor PAM (Privileged Access Management); SIEM (Security Information and Event Management) en hulpprogramma's voor incidentreactie voor actie en reactie.

Bedreigingszoekers gebruiken bedreigingsinformatie om te bepalen of hun query's verdacht gedrag hebben gedetecteerd. Indien het gedrag verdacht is, wijzen de afwijkingen naar mogelijke paden voor verder onderzoek. Door patronen te analyseren onder zowel gebruikers als entiteiten, kan UEBA sneller een veel breder scala aan cyberaanvallen detecteren, waaronder vroege cyberbedreigingen, insider-cyberbedreigingen, DDoS-aanvallen en brute-force-aanvallen, voordat ze escaleren naar een mogelijk incident of inbreuk.

UEBA-modellen worden aangestuurd door machine learning-algoritmen die continu leren van zich ontwikkelende patronen voor gebruikers- en entiteitsgedrag met behulp van gegevensanalyse. Door je in realtime aan te passen aan beveiligingsbehoeften, kunnen beveiligingsoplossingen effectief blijven in een veranderend beveiligingslandschap met geavanceerde cyberbedreigingen.

Beveiligingsanalisten gebruiken afwijkingen om schendingen te bevestigen, de impact ervan te beoordelen en tijdige en uitvoerbare inzichten te bieden in mogelijke beveiligingsincidenten, die SOC-teams weer kunnen gebruiken om incidenten verder te onderzoeken. Dit resulteert op zijn beurt in een snellere, efficiëntere oplossing van incidenten, waardoor de algehele impact van cyberbedreigingen op de gehele organisatie wordt geminimaliseerd.

In het tijdperk van hybride en extern werk hebben de organisaties van vandaag de dag te maken met cyberaanvallen die zich continu ontwikkelen. Als gevolg moeten hun methoden zich ook mee ontwikkelen. Beveiligingsanalisten zoeken naar afwijkingen om nieuwe en bestaande cyberbedreigingen effectiever te detecteren. Hoewel één afwijking niet noodzakelijkerwijs schadelijk gedrag aangeeft, kan de aanwezigheid van meerdere afwijkingen in de kill chain duiden op een groter risico. Beveiligingsanalisten kunnen detectie nog verder verbeteren door waarschuwingen toe te voegen voor geïdentificeerd ongebruikelijk gedrag. Door UEBA te implementeren en het bereik van hun beveiliging uit te breiden tot apparaten buiten de traditionele kantooromgeving, kunnen organisaties aanmeldingsbeveiliging proactief verbeteren, cyberbedreigingen beperken en een tolerantere en veiligere omgeving in het algemeen garanderen.

In gereguleerde branches, zoals financiële services en Gezond­heids­zorg, gelden er standaarden voor gegevensbescherming en privacy waaraan elk bedrijf moet voldoen. Dankzij de continue bewakings- en rapportagemogelijkheden van UEBA kunnen organisaties deze nalevingsvereisten voor regelgeving bijhouden.

Hoewel UEBA organisaties waardevolle inzichten biedt, is er ook een eigen unieke set uitdagingen om rekening mee te houden. Hier zijn enkele veelvoorkomende problemen die moeten worden behandeld bij het implementeren van UEBA:

• Fout-positieven en -negatieven
  Soms kunnen UEBA-systemen normaal gedrag ten onrechte categoriseren als verdacht en een fout-positief genereren. UEBA kan ook daadwerkelijke cyberbedreigingen missen, wat een fout-negatief kan genereren. Voor nauwkeurigere detectie van cyberbedreigingen moeten organisaties waarschuwingen zorgvuldig onderzoeken.
  
  
• Inconsistente naamgeving tussen entiteiten
  Een resourceprovider kan een waarschuwing maken die een entiteit onvoldoende identificeert, zoals een gebruikersnaam zonder de domeinnaamcontext. Als dit gebeurt, kan de gebruikersentiteit niet worden samengevoegd met andere exemplaren van hetzelfde account en wordt deze vervolgens geïdentificeerd als een afzonderlijke entiteit. Om dit risico te minimaliseren, is het essentieel om entiteiten te identificeren met behulp van een gestandaardiseerd formulier en entiteiten te synchroniseren met hun id-provider om één map te maken.
  
  
• Privacyproblemen
  Het versterken van beveiligingsbewerkingen mag niet ten koste gaan van afzonderlijke privacyrechten. Continue bewaking van gebruikers- en entiteitsgedrag roept vragen op met betrekking tot ethiek en privacy. Daarom is het essentieel om op verantwoorde wijze beveiligingshulpprogramma's te gebruiken, met name wanneer het gaat om beveiligingshulpprogramma's die werken met AI.
  
  
• Snel veranderende cyberbedreigingen 
  Hoewel UEBA-systemen zijn ontworpen om zich aan te passen aan het snel veranderende landschap van cyberbedreigingen, kunnen ze nog steeds uitdagingen ondervinden bij het bijhouden van deze snel ontwikkelende cyberbedreigingen. Naarmate de technieken en patronen van cyberaanvallen veranderen, is het van cruciaal belang om UEBA-technologie af te stemmen op de behoeften van de organisatie.

Met verbeteringen in machine learning, AI-integratie en gegevensanalyses die zijn ontwikkeld om de mogelijkheden te verbeteren, ziet de toekomst van UEBA er rooskleurig uit. Hier volgen enkele van de interessantste trends en ontwikkelingen die waarschijnlijk vorm zullen geven aan de evolutie van UEBA:

• Vooruitgang op het gebied van AI voor cyberbeveiliging
  Naarmate AI en machine learning krachtiger en geavanceerder worden, ontwikkelen de voorspellende mogelijkheden van UEBA zicht steeds verder. Verwacht wordt dat algoritmen voor machine learning, die voortdurend leren op basis van binnenkomende gegevens, complexe patronen en afwijkingen beter zullen identificeren, de nauwkeurigheid van de detectie van cyberbedreigingen zullen verbeteren en het aantal fout-positieven zullen terugdringen.
  
  
• Integratie met uitgebreide detectie en reactie (XDR) en eindpuntdetectie en -respons (EDR) 
  UEBA zal naar verwachting nog nauwer integreren met EDR- en XDR-oplossingen. EDR-oplossingen breiden het toepassingsgebied van beveiliging uit om platformoverschrijdende zichtbaarheid te bieden voor eindpunten. XDR-oplossingen breiden dit bereik nog verder uit door beveiliging te bieden voor een breder scala aan producten, waaronder netwerken, servers, cloudtoepassingen en eindpunten. Door UEBA op te nemen in XDR en EDR, verbeter je de bedreigingsinformatie die door deze oplossingen wordt geboden, zodat organisaties effectiever cyberbedreigingen kunnen detecteren en hierop kunnen reageren in een omgeving met meerdere clouds en meerdere platforms.
  
  
• Automatisering van incidentreactie 
  In combinatie met UEBA-inzichten worden automatische reacties op incidenten sneller, geavanceerder en efficiënter, waardoor de impact van beveiligingsincidenten in het algemeen wordt verminderd.
  
  
• Proactievere beveiligingsmogelijkheden 
  UEBA wordt verder ingesloten in identiteits- en eindpuntdetectie, evenals beveiligingsoplossingen. In het kader van steeds geavanceerdere cyberaanvallen zal UEBA zich blijven ontwikkelen naast aanvullende beveiligingsoplossingen om nog geavanceerdere detectie van bedreigingen en snelle reacties op incidenten te bieden. Beheerde uitgebreide detectie en respons (MXDR) combineert bijvoorbeeld de beheerde bewakings-, opsporings- en herstelservices van beheerde detectie en reactie (MDR) met de uitgebreide beveiliging van XDR om snelle, effectieve en proactieve bescherming tegen cyberbedreigingen te bieden die voorbij het eindpunt gaat. Deze nieuwe UEBA-mogelijkheden bieden SOC-teams de mogelijkheid om proactief te zoeken naar cyberdreigingen in een breder scala aan IT-omgevingen, waardoor organisaties opkomende cyberdreigingen voor kunnen blijven.

Netwerkverkeersanalyse (NTA) is een cyberbeveiligingsaanpak die in de praktijk veel overeenkomsten vertoont met UEBA, maar verschilt wat betreft focus, toepassing en schaal. Bij het vormen van een uitgebreide cyberbeveiligingsoplossing werken de twee benaderingen goed samen:

• Richt zich op het begrijpen en bewaken van het gedrag van gebruikers en entiteiten binnen een netwerk via machine learning en AI.
• Verzamelt gegevens van gebruikers- en entiteitsbronnen, waaronder aanmeldingsactiviteiten, toegangslogboeken en gebeurtenisgegevens, evenals interacties tussen entiteiten.
• Maakt gebruik van modellen of basislijnen om insider-bedreigingen, gecompromitteerde accounts en ongebruikelijk gedrag te identificeren dat kan leiden tot een potentieel incident.

• Richt zich op het begrijpen en bewaken van de gegevensstroom binnen een netwerk door gegevenspakketten te onderzoeken en patronen te identificeren die kunnen duiden op een mogelijke bedreiging.
• Verzamelt gegevens uit netwerkverkeer, waaronder netwerklogboeken, protocollen, IP-adressen en verkeerspatronen.
• Gebruikt verkeerspatronen om netwerkbedreigingen te identificeren, zoals DDoS-aanvallen, malware en gegevensdiefstal en exfiltratie.
• Werkt goed samen met andere hulpprogramma's en technologieën voor netwerkbeveiliging, evenals UEBA.

Naarmate cyberbeveiligingsbedreigingen zich op rap tempo blijven ontwikkelen, worden UEBA-oplossingen belangrijker dan ooit tevoren voor de verdedigingsstrategie van een organisatie. De sleutel tot een betere bescherming van je onderneming tegen toekomstige cyberaanvallen is om op de hoogte, proactief en bewust te blijven.

Als je de cyberbeveiligingspositie van je organisatie wilt versterken met UEBA-mogelijkheden van de nieuwste generatie, kunt je de nieuwste opties verkennen. Een geïntegreerde oplossing voor beveiligingsbewerkingen combineert de mogelijkheden van SIEM en UEBA om je organisatie te helpen geavanceerde cyberbedreigingen in realtime te zien en te stoppen, allemaal vanaf één platform. Wees sneller met uniforme beveiliging en overzicht over je clouds, platforms en eindpuntservices. Krijg een volledig overzicht van je beveiligingspostuur door beveiligingsgegevens van je hele technische stack samen te voegen, en gebruik AI om mogelijke cyberbedreigingen te ontdekken.