Šta je to analitika ponašanja korisnika i entiteta (UEBA)?

UEBA se sastoji od dve ključne komponente: analitike ponašanja korisnika (UBA) i analitike ponašanja entiteta (EBA).

UBA pomaže organizacijama da primete i zaustave potencijalne bezbednosne rizike razumevanjem ponašanja korisnika. To se postiže nadgledanjem i analiziranjem obrazaca aktivnosti korisnika radi formiranja osnovnog modela tipičnog ponašanja. Taj model određuje verovatnoću da će određeni korisnik izvršiti određenu aktivnost na osnovu ovog obrasca učenja ponašanja.

Kao i UBA, EBA takođe može da pomogne organizacijama da identifikuju potencijalne kibernetičke pretnje na mrežnoj strani. EBA nadgleda i analizira aktivnost između entiteta koji nisu ljudski kao što su serveri, aplikacije, baze podataka i internet stvari (IoT). Ovo pomaže u identifikaciji sumnjivih ponašanja koja mogu da ukazuju na proboj, kao što su neovlašćeni pristup podacima ili sumnjivi obrasci prenosa podataka.

UBA i EBA zajedno formiraju rešenje koje poredi različite artefakte, uključujući geografske lokacije, uređaje, okruženja, vreme, učestalost i ponašanje na nivou cele organizacije ili drugih organizacija.

UEBA prikuplja podatke korisnika i entiteta iz svih povezanih izvora podataka na mreži organizacije. Korisnički podaci mogu da obuhvataju obrasce aktivnosti prijavljivanja, lokacije i pristupa podacima, dok podaci entiteta mogu da obuhvataju evidencije sa mrežnih uređaja, servera, krajnjih tačaka, aplikacija i drugih dodatnih usluga.

UEBA analizira prikupljene podatke i koristi ih za definisanje osnovnih, odnosno profila tipičnog ponašanja za svakog korisnika i svaki entitet. Osnove se zatim koriste za kreiranje dinamičkih modela ponašanja koji neprekidno uče i prilagođavaju se tokom vremena na osnovu dolaznih podataka.

Koristeći osnovne linije kao vodič za tipično ponašanje, UEBA nastavlja da nadgleda aktivnost korisnika i entiteta u realnom vremenu kako bi pomogla organizaciji da utvrdi da li je resurs ugrožen. Sistem otkriva neuobičajene aktivnosti koje odstupaju od tipičnog osnovnog ponašanja, kao što je pokretanje nenormalno visokog prenosa podataka koje aktivira upozorenje. Iako neuobičajene aktivnosti same po sebi ne ukazuju na zlonamerno ili čak sumnjivo ponašanje, one mogu da se koriste za poboljšanje otkrivanja, ispitivanja i lova na pretnje.

Upozorenja koja sadrže uvid u ponašanje korisnika, tip anomalije i potencijalni nivo rizika šalju se centru za bezbednosne operacije (SOC). Tim centra za bezbednosne operacije prima informacije i određuje da li treba da nastavi sa ispitivanjem na osnovu ponašanja, konteksta i prioriteta rizika.

Korišćenjem analitike ponašanja korisnika i entiteta (UEBA) zajedno sa širim skupom rešenja za kibernetičke pretnje , organizacije formiraju objedinjenu bezbednosnu platformu i uživaju sveukupno jače stanje bezbednosti. UEBA takođe funkcioniše sa alatima za kontrolisano otkrivanje i odgovor (MDR) i rešenjima za upravljanje privilegovanim pristupom (PAM) za potrebe nadgledanja; te rešenjima za Upravljanje bezbednosnim informacijama i događajima (SIEM) je rešenje koje organizacijama pomaže da otkriju, analiziraju i reaguju na bezbednosne pretnje pre nego što naude poslovnim operacijama.upravljanje bezbednosnim informacijama i događajima (SIEM); i alatkama za reagovanje na incidente za preduzimanje potrebnih radnji i reagovanje.

Lovci na pretnje koriste obaveštavanje o pretnjama da bi utvrdili da li su njihovi upiti otkrili sumnjivo ponašanje. Kada je ponašanje sumnjivo, anomalije upućuju na potencijalne putanje za dalje ispitivanje. Analiziranjem obrazaca između korisnika i entiteta, UEBA može ranije da otkrije mnogo širi opseg kibernetičkih napada, uključujući rane kibernetičke pretnje, insajderske kibernetičke pretnje, DDoS napade i napade grubom silom, pre nego što eskaliraju u potencijalni incident ili proboj.

UEBA modeli koriste algoritme mašinskog učenja koji pomoću analize podataka neprekidno uče iz obrazaca ponašanja korisnika i entiteta koji se stalno menjaju. Prilagođavanjem bezbednosnim potrebama u realnom vremenu bezbednosna rešenja mogu sačuvati efikasnost u bezbednosnom okruženju koje se stalno menja i sadrži složene kibernetičke pretnje.

Analitičari bezbednosti koriste anomalije da bi potvrdili curenje, procenili njegov uticaj i pružili pravovremene i korisne uvide u potencijalne bezbednosne incidente, koje SOC timovi mogu da koriste za dalje istraživanje slučajeva. Time se dolazi do bržeg i efikasnijeg rešavanja incidenata, što umanjuje ukupan uticaj kibernetičkih pretnji na celu organizaciju.

U eri hibridnog ili udaljenog rada, današnje organizacije se suočavaju sa kibernetičkim pretnjama koje se stalno menjaju, te zato i njihove metode treba da se menjaju. Da bi efikasnije otkrili nove i postojeće kibernetičke pretnje, analitičari bezbednosti traže anomalije. Iako jedna anomalija ne ukazuje na zlonamerno ponašanje, prisustvo više anomalija u različitim stepenima napada može ukazivati na veći rizik. Analitičari bezbednosti mogu dodatno da poboljšaju otkrivanja dodavanjem upozorenja za identifikovano neobično ponašanje. Usvajanjem analitike ponašanja korisnika i entiteta i proširivanjem opsega bezbednosti radi obuhvatanja uređaja izvan tradicionalne kancelarijske opreme, organizacije mogu proaktivno da poboljšaju bezbednost prijave, ublaže kibernetičke pretnje i obezbede sveukupno otpornije i bezbednije okruženje.

U regulisanim delatnostima kao što su finansijske usluge i zdravstvena zaštita, zaštita podataka i propisi o privatnosti podrazumevaju standarde sa kojima svako preduzeće mora da se usaglasi. Mogućnosti neprekidnog nadgledanja i izveštavanja koje dolaze uz analitiku ponašanja korisnika i entiteta (UEBA) pomažu organizacijama da prate ove zahteve za usaglašenost sa propisima.

Iako UEBA organizacijama pruža neprocenjive uvide, ona ima i sopstvene jedinstvene izazove koje treba razmotriti. Evo nekih uobičajenih problema kojima se treba pozabaviti prilikom primene rešenja UEBA:

• Lažni pozitivni i negativni rezultati
  UEBA sistemi ponekad mogu pogrešno da kategorizuju normalna ponašanja kao sumnjiva i da generišu lažno pozitivan rezultat. UEBA može i da propusti stvarne bezbednosne kibernetičke pretnje, čime se generiše lažno negativan rezultat. Za preciznije otkrivanje kibernetičkih pretnji organizacije moraju pažljivo da istražuju upozorenja.
  
  
• Nedosledno imenovanje u različitim entitetima
  Dobavljač resursa može da kreira upozorenje koje u nedovoljnoj meri identifikuje entitet, kao što je korisničko ime bez konteksta naziva domena. Kada se to dogodi, entitet korisnika ne može da se objedini sa drugim instancama istog naloga, pa se zatim identifikuje kao zaseban entitet. Da biste ovaj rizik sveli na najmanju meru, ključno je da identifikujete entitete pomoću standardizovanog obrasca i da sinhronizujete entitete sa njihovim pružaocem usluge identiteta kako biste kreirali jedinstveni direktorijum.
  
  
• Problemi vezani za privatnost
  Jačanje bezbednosnih operacija ne bi trebalo da bude na štetu pojedinačnog prava na privatnost. Neprekidno nadgledanje ponašanja korisnika i entiteta nameće pitanja vezana za etiku i privatnost, zbog čega je od suštinske važnosti da odgovorno koristite bezbednosne alatke, a naročito bezbednosne alatke koje su poboljšane veštačkom inteligencijom.
  
  
• Ubrzani razvoj kibernetičkih pretnji 
  Mada su UEBA sistemi dizajnirani tako da se prilagode okruženju kibernetičkih pretnji koje se stalno menja, oni i dalje mogu da se suoče sa izazovima u praćenju brzog razvoja kibernetičkih pretnji. Kako se tehnike i obrasci kibernetičkih napada menjaju, ključno je da nastavite sa podešavanjem UEBA tehnologije kako biste izašli u susret potrebama organizacije.

Uz napredak u mašinskom učenju, integraciju veštačke inteligencije i analitiku podataka dizajniranu da poboljša njene mogućnosti, budućnost analitike ponašanja korisnika i entiteta (UEBA) nudi dosta razloga za optimizam. Evo nekih od najupečatljivih trendova i razvoja koji će verovatno uticati na razvoj analitike ponašanja korisnika i entiteta (UEBA):

• Napredak u veštačkoj inteligenciji za kibernetičku bezbednost
  Kako veštačka inteligencija i mašinsko učenje postaju sve moćniji i složeniji, očekuje se da će se prediktivne mogućnosti analitike ponašanja korisnika i entiteta (UEBA) razviti još više. Očekuje se da će algoritmi mašinskog učenja, koji neprekidno uče na osnovu dolaznih podataka, bolje moći da identifikuju složene obrasce i anomalije, poboljšaju tačnost otkrivanja kibernetičkih pretnji i smanje broj lažno pozitivnih rezultata.
  
  
• Integracija sa rešenjima Prošireno otkrivanje i reagovanje (XDR) i Otkrivanje i odgovor na krajnjim tačkama (EDR) 
  Očekuje se da će se UEBA još bolje integrisati sa EDR i XDR rešenjima. EDR rešenja proširuju opseg bezbednosti da bi obezbedila vidljivost na više platformi na različitim krajnjim tačkama. XDR rešenja dodatno proširuju ovaj opseg pružanjem bezbednosti u širem opsegu proizvoda, uključujući mreže, servere, aplikacije zasnovane na oblaku, kao i krajnje tačke. Uključivanje analitike ponašanja korisnika i entiteta (UEBA) u XDR i EDR rešenja poboljšava informacije o pretnjama koje pružaju ova rešenja, tako da organizacije mogu efikasnije da otkriju i odgovore na kibernetičke pretnje u okruženju na više oblaka i više platformi.
  
  
• Automatizacija odgovora na incidente 
  Kada se kombinuju sa UEBA uvidima, automatizovani odgovori na incidente će postati brži, napredniji i efikasniji, što smanjuje sveukupni uticaj bezbednosnih incidenata.
  
  
• Proaktivnije bezbednosne mogućnosti 
  Analitika ponašanja korisnika i entiteta (UEBA) će biti dodatno ugrađivana u otkrivanje identiteta i krajnjih tačaka, kao i u rešenja za zaštitu. Usled sve složenijih kibernetičkih napada, UEBA će se razvijati zajedno sa komplementarnim bezbednosnim rešenjima kako bi obezbedila još naprednije otkrivanje pretnji, kao i brzo reagovanje na incidente. Na primer, rešenje Prošireno otkrivanje i reagovanje kojima se upravlja (MXDR) objedinjuje usluge nadgledanja, lova na pretnje i opoziva rešenja Otkrivanje i reagovanje kojima se upravlja (MDR) sa proširenom bezbednosnom zaštitom rešenja XDR radi pružanja brze, efikasne i proaktivne kibernetičke pokrivenosti izvan krajnje tačke. Ove nove mogućnosti rešenja UBEA će timovima Centra za bezbednosne operacije pružiti mogućnost da proaktivno pretražuju kibernetičke pretnje u širem broju IT okruženja, što će osnažiti organizacije da ostanu u toku sa novim kibernetičkim pretnjama.

Analiza mrežnog saobraćaja (NTA) je pristup kibernetičkoj bezbednosti koji u praksi deli mnoge sličnosti sa rešenjem UEBA, ali se razlikuje u pogledu fokusa, primene i obima. Prilikom formiranja sveobuhvatnog rešenja za kibernetičku bezbednost, ova dva pristupa dobro funkcionišu zajedno:

• Fokusira se na razumevanje i nadgledanje ponašanja korisnika i entiteta u okviru mreže putem mašinskog učenja i veštačke inteligencije.
• Prikuplja podatke od korisnika i entiteta, koji mogu da obuhvataju aktivnost prijavljivanja, evidencije pristupa i podatke o događajima, kao i interakcije između entiteta.
• Koristi modele ili osnove za identifikovanje insajderskih pretnji, ugroženih naloga i neobičnih ponašanja koja mogu dovesti do potencijalnog incidenta.

• Fokusira se na razumevanje i nadgledanje protoka podataka unutar mreže ispitivanjem paketa podataka i identifikovanjem obrazaca koji mogu da ukazuju na potencijalnu pretnju.
• Prikuplja podatke iz mrežnog saobraćaja, koji mogu obuhvatati evidencije mreže, protokole, IP adrese i obrasce saobraćaja.
• Koristi obrasce saobraćaja za identifikovanje pretnji na mreži kao što su DDoS napadi, malver i krađa i eksfiltracija podataka.
• Dobro funkcioniše sa drugim alatkama i tehnologijama za bezbednost mreže, kao i analitikom ponašanja korisnika i entiteta (UEBA).

Kako pretnje po kibernetičku bezbednost nastavljaju da se razvijaju brzim tempom, UEBA rešenja su važnija za strategiju odbrane organizacije nego ikada ranije. Ključ za bolju zaštitu vašeg preduzeća od budućih kibernetičkih pretnji jeste da ostanete obrazovani, proaktivni i svesni.

Ako ste zainteresovani da ojačate stanje kibernetičke bezbednosti svoje organizacije uz UEBA mogućnosti sledeće generacije, trebalo bi da istražite najnovije opcije. Objedinjeno rešenje za bezbednosne operacije objedinjuje mogućnosti rešenja SIEM i UEBA kako bi vaša organizacija u realnom vremenu mogla da primeti i zaustavi sofisticirane kibernetičke pretnje, sve to sa jedne platforme. Krećite se brže uz objedinjenu bezbednost i vidljivost u oblacima, platformama i uslugama krajnjih tačaka. Iskoristite kompletan pregled stanja bezbednosti tako što ćete prikupiti bezbednosne podatke iz celog tehničkog steka i koristite veštačku inteligenciju da biste otkrili potencijalne kibernetičke pretnje.