Cybersikkerhed bliver stadig vigtigere for virksomheder af alle størrelser. Det er nu almindeligt for selv små virksomheder at bruge et væld af værktøjer såsom SIEM'er, firewalls og VPN'er til at beskytte mod indtrængen.
Hackere bliver dog mere og mere sofistikerede. Deres succes afhænger af deres evne til at udføre angreb uden at blive opdaget af sådanne værktøjer. Og det lykkes de ofte med. En potentiel løsning på dette er kendt som User and Entity Behavior Analytics.
Så hvad er UEBA, og skal din virksomhed bruge det? Lad os finde ud af det nedenfor.
Hvad er bruger- og enhedsadfærdsanalyse?
UEBA er en cybersikkerhedsløsning, der bruger store datasæt til at modellere netværksaktivitet. Den analyserer både brugerne af et netværk og selve netværket, såsom routere og IoT-enheder. Den leder derefter efter mistænkelig aktivitet og advarer en virksomhed, når en sådan aktivitet opdages.
Det opnår den ved at skabe en baseline for, hvordan normal aktivitet på et netværk ser ud. Den bruger derefter maskinlæring til automatisk at registrere unormal adfærd.
Det er populært, fordi mange cybersikkerhedsprodukter er trænet til primært at lede efter malware. Hackere kan besejre sådan software ved at gå ind i et netværk og simpelthen ikke installere skadelige filer.
I modsætning til dette kan UEBA lede efter alt unormalt. Dette giver den mulighed for at opdage mere sofistikerede angreb, der ikke matcher kendte trusler.
Hvordan fungerer UEBA?
UEBA-løsninger har typisk tre primære komponenter: Analytics, Integration og Præsentation. Lad os se på dem kort:
Analytics
UEBA analyserer adfærden hos alle netværksbrugere og -enheder. Hvis du gør det, opretter du en baseline, der illustrerer, hvordan et netværk ser ud, når et angreb ikke finder sted. Statistiske modeller bruges derefter til at bestemme, hvornår en bruger eller enhed opfører sig på en måde, som den ikke burde.
Integration
UEBA-løsninger er typisk designet til at integreres med anden sikkerhedssoftware. Din virksomhed sporer sandsynligvis allerede netværksadfærd, og dit UEBA-produkt burde være i stand til automatisk at indsamle data fra sådanne produkter.
Præsentation
UEBA griber normalt ikke ind over for trusler. I stedet er det designet til at præsentere sine data for it-personalet til yderligere undersøgelse. Dette kan være så simpelt som at sende en advarsel. Men mange UEBA-produkter producerer også grafer og andre statistiske data, som personalet kan bruge til at udføre yderligere analyser.
Hvad beskytter UEBA imod?
UEBA kan beskytte mod forskellige trusler, som andre sikkerhedsprodukter måske ikke. Lad os se, hvad de er, skal vi?
Insider-trusler
Sikkerhedssoftware har ofte svært ved at opdage insidertrusler. Selvom en SIEM nemt kan registrere et netværksindtrængen, kan den muligvis ikke registrere, at nogen, der allerede er inde i et netværk, gør noget, de ikke skal. En korrekt konfigureret UEBA vil forstå, hvordan brugere normalt opfører sig og bør generere en advarsel, hvis en bruger begynder at gøre noget andet.
Kompromitterede brugerkonti
Hvis en bruger opfører sig unormalt, er det ikke altid forårsaget af en insidertrussel. Det kan også betyde, at en angriber har stjålet brugerens konto. Erhvervsmedarbejdere er regelmæssigt målrettet af phishing, og kompromitterede brugerkonti er derfor en almindelig begivenhed. En UEBA kan opdage sammensatte konti, så snart angriberen begynder at gøre noget ud over det sædvanlige.
Privilegium Eskalering
Privilegeeskalering sker, når en bruger tildeles yderligere rettigheder til at få adgang til andre dele af et netværk. Dette er noget, som en hacker ville have gavn af. En UEBA kan indstilles til at registrere, når en brugers privilegier øges, og sende en advarsel til undersøgelse.
Brute Force angreb
Brude kraftangreb involvere gentagne forsøg på at få adgang til brugerkonti og netværk. Fordi dette åbenbart ikke er inden for normal adfærd, kan det nemt opdages af en UEBA. I dette scenarie kan en UEBA generere en advarsel, eller den kan sættes op til automatisk at sparke angriberen i gang.
Begrænset informationsadgang
En UEBA kan overvåge, hvem der får adgang til fortrolige oplysninger. Det kan derfor forhindre databrud ved at generere en advarsel, når en bruger får adgang til noget, der ikke er nødvendigt for deres arbejde.
UEBA vs. SIEM
Værktøjer til sikkerhedsinformation og hændelsesstyring ligner UEBA, men ikke helt det samme. SIEM-værktøjer analyserer også et netværk og genererer advarsler, hver gang der opdages mistænkelig aktivitet.
Forskellen er, at SIEM kun genererer en advarsel, når en angriber gør noget, der er kendt for at være ondsindet. Så hvis en angriber er forsigtig, kan de stadig komme ind på et netværk og undgå opdagelse.
UEBA er designet til at opdage angreb, ikke på grund af ondsindet adfærd, men på grund af adfærd, der er uden for normen. Dette giver den mulighed for at opdage angreb, der ikke matcher nogen kendte trusler.
Mange SIEM-værktøjer inkorporerer nu UEBA af denne grund, men de fleste gør det ikke.
Skal alle virksomheder bruge UEBA?
Alle virksomheder bør overveje at bruge en UEBA-løsning, men ligesom mange nye cybersikkerhedsløsninger er det vigtigt at afveje fordele og ulemper, før de implementeres.
UEBA er i stand til at opdage trusler, som SIEM ikke ville. Det er også i stand til at opfange trusler, som sikkerhedspersonalet kan gå glip af. Denne ekstra beskyttelse er ofte værd at investere i, i betragtning af tabene efter et vellykket cyberangreb.
UEBA-løsninger giver også automatiseret beskyttelse. Dette kan give en virksomhed mulighed for at have en mindre cybersikkerhedsafdeling og som følge heraf give betydelige lønbesparelser.
Ulempen ved UEBA er, at det er dyrt at implementere. Det kan være uden for budgettet for mange små virksomheder, mens det ikke er strengt nødvendigt. Implementering af en UEBA-løsning vil også kræve, at personalet er uddannet til at bruge den, hvilket medfører ekstra omkostninger.
UEBA er heller ikke en passende erstatning for andre cybersikkerhedsprodukter. Mens et SIEM-produkt kan omfatte UEBA, er UEBA ikke en erstatning for SIEM eller andre sikkerhedsprodukter, som en virksomhed allerede har.
UEBA tilbyder overlegen beskyttelse
UEBA-produkter tilbyder en væsentlig forbedring i forhold til standard SIEM-produkter og er i stand til at identificere trusler, der ellers ville forblive uopdaget. Mens SIEM ofte kæmper med insidertrusler, kan UEBA automatisk opdage usædvanlig netværksaktivitet fra autoriserede brugere.
Hvorvidt UEBA er det rigtige for din virksomhed eller ej, afhænger af dit cybersikkerhedsbudget. Selvom UEBA er overlegen, er de høje installationsomkostninger og det faktum, at det ikke erstatter andre produkter, en åbenlys ulempe.