Cybersäkerhet blir allt viktigare för företag av alla storlekar. Det är nu vanligt att även små företag använder en mängd verktyg som SIEM, brandväggar och VPN för att skydda mot intrång.
Hackare blir dock allt mer sofistikerade. Deras framgång beror på deras förmåga att utföra attacker utan att upptäckas av sådana verktyg. Och de lyckas ofta med det. En potentiell lösning på detta är känd som User and Entity Behavior Analytics.
Så vad är UEBA, och bör ditt företag använda det? Låt oss ta reda på det nedan.
Vad är användar- och enhetsbeteendeanalys?
UEBA är en cybersäkerhetslösning som använder stora datamängder för att modellera nätverksaktivitet. Den analyserar både användarna av ett nätverk och själva nätverket, såsom routrar och IoT-enheter. Den letar sedan efter misstänkt aktivitet och varnar ett företag närhelst sådan aktivitet upptäcks.
Den uppnår detta genom att skapa en baslinje för hur normal aktivitet på ett nätverk ser ut. Den använder sedan maskininlärning för att upptäcka onormalt beteende automatiskt.
Det är populärt eftersom många cybersäkerhetsprodukter är utbildade för att i första hand leta efter skadlig programvara. Hackare kan besegra sådan programvara genom att gå in i ett nätverk och helt enkelt inte installera några skadliga filer.
I motsats till detta kan UEBA leta efter allt onormalt. Detta gör att den kan upptäcka mer sofistikerade attacker som inte matchar kända hot.
Hur fungerar UEBA?
UEBA-lösningar har vanligtvis tre primära komponenter: Analytics, Integration och Presentation. Låt oss titta på dem i korthet:
Analytics
UEBA analyserar beteendet hos alla nätverksanvändare och enheter. Om du gör det skapas en baslinje som illustrerar hur ett nätverk ser ut när en attack inte inträffar. Statistiska modeller används sedan för att avgöra när en användare eller enhet beter sig på ett sätt som den inte borde.
Integration
UEBA-lösningar är vanligtvis utformade för att integreras med annan säkerhetsprogramvara. Ditt företag spårar förmodligen redan nätverksbeteende, och din UEBA-produkt bör kunna samla in data från sådana produkter automatiskt.
Presentation
UEBA vidtar vanligtvis inte åtgärder mot hot. Istället är den utformad för att presentera sina data för IT-personalen för vidare utredning. Detta kan vara så enkelt som att skicka en varning. Men många UEBA-produkter producerar också grafer och annan statistisk data som personalen kan använda för att utföra ytterligare analyser.
Vad skyddar UEBA mot?
UEBA kan skydda mot olika hot som andra säkerhetsprodukter kanske inte. Låt oss se vad de är, eller hur?
Insiderhot
Säkerhetsprogram har ofta svårt att upptäcka insiderhot. Även om en SIEM lätt kan upptäcka ett nätverksintrång, kanske den inte upptäcker att någon som redan är inne i ett nätverk gör något de inte ska göra. En korrekt konfigurerad UEBA kommer att förstå hur användare normalt beter sig och bör generera en varning om en användare börjar göra något annat.
Intrång i användarkonton
Om en användare beter sig onormalt orsakas det inte alltid av ett insiderhot. Det kan också innebära att en angripare har stulit användarens konto. Företagsanställda utsätts regelbundet för nätfiske och äventyrade användarkonton är därför en vanlig företeelse. En UEBA kan upptäcka ingående konton så snart angriparen börjar göra något utöver det vanliga.
Privilegium upptrappning
Behörighetsupptrappning inträffar när en användare beviljas ytterligare privilegier för att komma åt andra delar av ett nätverk. Detta är något som en hackare skulle ha nytta av. En UEBA kan ställas in för att upptäcka när en användares privilegier utökas och skicka ut en varning för utredning.
Brute Force Attacker
Brute force attacker involvera upprepade försök att komma åt användarkonton och nätverk. Eftersom detta uppenbarligen inte är inom normalt beteende, kan det lätt upptäckas av en UEBA. I det här scenariot kan en UEBA generera en varning, eller så kan den ställas in för att sparka iväg angriparen automatiskt.
Begränsad informationsåtkomst
En UEBA kan övervaka vem som får tillgång till konfidentiell information. Det kan därför förhindra dataintrång genom att generera en varning när en användare kommer åt något som inte krävs för deras arbete.
UEBA vs. SIEM
Verktygen för säkerhetsinformation och händelsehantering liknar UEBA men inte riktigt desamma. SIEM-verktyg analyserar också ett nätverk och genererar varningar närhelst misstänkt aktivitet upptäcks.
Skillnaden är att SIEM bara genererar en varning när en angripare gör något som är känt för att vara skadligt. Så om en angripare är försiktig kan de fortfarande komma in i ett nätverk och undvika upptäckt.
UEBA är utformad för att upptäcka attacker, inte på grund av skadligt beteende utan på grund av beteende som ligger utanför normen. Detta gör att den kan upptäcka attacker som inte matchar några kända hot.
Många SIEM-verktyg innehåller nu UEBA av denna anledning, men majoriteten gör det inte.
Bör alla företag använda UEBA?
Alla företag bör överväga att använda en UEBA-lösning, men precis som många nya cybersäkerhetslösningar är det viktigt att väga för- och nackdelar innan de implementeras.
UEBA kan upptäcka hot som SIEM inte skulle göra. Det är också kapabelt att ta upp hot som säkerhetspersonal kan missa. Detta extra skydd är ofta värt att investera i, med tanke på förlusterna som uppstår efter en framgångsrik cyberattack.
UEBA-lösningar ger också automatiskt skydd. Detta kan göra det möjligt för ett företag att ha en mindre cybersäkerhetsavdelning och följaktligen ge betydande lönebesparingar.
Nackdelen med UEBA är att det är dyrt att implementera. Det kan ligga utanför budgeten för många småföretag samtidigt som det inte är absolut nödvändigt. Att implementera en UEBA-lösning kommer också att kräva att personalen utbildas för att använda den, vilket medför ytterligare kostnader.
UEBA är inte heller en lämplig ersättning för andra cybersäkerhetsprodukter. Även om en SIEM-produkt kan inkludera UEBA, är UEBA inte en ersättning för SIEM eller andra säkerhetsprodukter som ett företag redan har.
UEBA erbjuder överlägset skydd
UEBA-produkter erbjuder en betydande förbättring jämfört med vanliga SIEM-produkter och kan identifiera hot som annars skulle förbli oupptäckta. Medan SIEM ofta kämpar med insiderhot kan UEBA automatiskt upptäcka ovanlig nätverksaktivitet av auktoriserade användare.
Huruvida UEBA är rätt för ditt företag eller inte beror på din cybersäkerhetsbudget. Medan UEBA är överlägset, är den höga installationskostnaden, och det faktum att den inte ersätter andra produkter, en uppenbar nackdel.