Kyberturvallisuus on yhä tärkeämpää kaikenkokoisille yrityksille. Nyt on tavallista, että pienetkin yritykset käyttävät lukuisia työkaluja, kuten SIEM: itä, palomuuria ja VPN: itä suojautuakseen tunkeutumiselta.
Hakkerit ovat kuitenkin yhä kehittyneempiä. Niiden menestys riippuu heidän kyvystään suorittaa hyökkäyksiä ilman, että tällaiset työkalut havaitsevat heidät. Ja he usein onnistuvat siinä. Yksi mahdollinen ratkaisu tähän tunnetaan nimellä User and Entity Behavior Analytics.
Joten mikä on UEBA, ja pitäisikö yrityksesi käyttää sitä? Otetaan selvää alla.
Mikä on käyttäjien ja entiteettien käyttäytymisanalyysi?
UEBA on kyberturvallisuusratkaisu, joka käyttää suuria tietojoukkoja verkon toiminnan mallintamiseen. Se analysoi sekä verkon käyttäjiä että itse verkkoa, kuten reitittimiä ja IoT-laitteet. Se etsii sitten epäilyttävää toimintaa ja hälyttää yritykselle aina, kun tällainen toiminta havaitaan.
Se saavuttaa tämän luomalla perustan siitä, miltä normaali toiminta verkossa näyttää. Sen jälkeen se havaitsee epänormaalin toiminnan automaattisesti koneoppimisen avulla.
Se on suosittu, koska monet kyberturvallisuustuotteet on koulutettu ensisijaisesti etsimään haittaohjelmia. Hakkerit voivat kukistaa tällaiset ohjelmistot menemällä verkkoon ja olemalla yksinkertaisesti asentamatta haitallisia tiedostoja.
Sitä vastoin UEBA voi etsiä mitä tahansa epänormaalia. Näin se voi havaita kehittyneempiä hyökkäyksiä, jotka eivät vastaa tunnettuja uhkia.
Kuinka UEBA toimii?
UEBA-ratkaisuissa on yleensä kolme pääkomponenttia: Analytics, integrointi ja esitys. Katsotaanpa niitä lyhyesti:
Analytics
UEBA analysoi kaikkien verkon käyttäjien ja laitteiden käyttäytymisen. Tämä luo perusviivan, joka havainnollistaa, miltä verkko näyttää, kun hyökkäystä ei tapahdu. Tilastollisia malleja käytetään sitten määrittämään, milloin käyttäjä tai laite käyttäytyy tavalla, jolla sen ei pitäisi.
Liittäminen
UEBA-ratkaisut on yleensä suunniteltu integroitaviksi muiden tietoturvaohjelmistojen kanssa. Yrityksesi todennäköisesti seuraa jo verkon käyttäytymistä, ja UEBA-tuotteesi pitäisi pystyä keräämään tietoja tällaisista tuotteista automaattisesti.
Esittely
UEBA ei yleensä ryhdy toimiin uhkia vastaan. Sen sijaan se on suunniteltu esittämään tietonsa IT-henkilöstölle lisätutkimuksia varten. Tämä voi olla yhtä yksinkertaista kuin hälytyksen lähettäminen. Mutta monet UEBA-tuotteet tuottavat myös kaavioita ja muita tilastotietoja, joita henkilökunta voi käyttää lisäanalyysien tekemiseen.
Mitä vastaan UEBA suojaa?
UEBA voi suojata erilaisia uhkia vastaan, joita muut tietoturvatuotteet eivät ehkä pysty. Katsotaanpa mitä ne ovat, eikö niin?
Sisäpiirin uhkat
Tietoturvaohjelmistojen on usein vaikea tehdä havaita sisäpiiriuhat. Vaikka SIEM voi helposti havaita verkon tunkeutumisen, se ei välttämättä havaitse, että joku jo verkossa tekee jotain, mitä hänen ei pitäisi tehdä. Oikein määritetty UEBA ymmärtää, miten käyttäjät normaalisti käyttäytyvät, ja sen pitäisi luoda hälytys, jos käyttäjä alkaa tehdä jotain muuta.
Vaaralliset käyttäjätilit
Jos käyttäjä käyttäytyy epänormaalisti, se ei aina johdu sisäpiirin uhasta. Se voi myös tarkoittaa, että hyökkääjä on varastanut käyttäjän tilin. Yritysten työntekijät joutuvat säännöllisesti tietojenkalastelun kohteeksi vaarantuneet käyttäjätilit ovat siis yleinen ilmiö. UEBA voi havaita koostuvat tilit heti, kun hyökkääjä alkaa tehdä jotain epätavallista.
Etuoikeuksien eskalointi
Oikeuksien eskaloituminen tapahtuu, kun käyttäjälle myönnetään lisäoikeuksia päästäkseen verkon muihin osiin. Tämä on jotain, josta hakkeri hyötyisi. UEBA voidaan asettaa havaitsemaan aina, kun käyttäjän oikeuksia lisätään, ja lähettämään hälytyksen tutkittavaksi.
Brute Force -hyökkäykset
Raaka voimahyökkäykset sisältää toistuvia yrityksiä päästä käyttäjätileihin ja verkkoihin. Koska tämä ei selvästikään kuulu normaaliin toimintaan, UEBA voi helposti havaita sen. Tässä skenaariossa UEBA voi luoda hälytyksen tai se voidaan määrittää potkimaan hyökkääjä automaattisesti.
Rajoitettu pääsy tietoihin
UEBA voi valvoa, kuka käyttää luottamuksellisia tietoja. Sen vuoksi se voi estää tietomurtoja luomalla hälytyksen aina, kun käyttäjä pääsee käsiksi johonkin, jota hänen työnsä ei vaadita.
UEBA vs. SIEM
Tietoturvatietojen ja tapahtumien hallintatyökalut ovat samanlaisia kuin UEBA, mutta eivät aivan samat. SIEM-työkalut analysoivat myös verkkoa ja luovat hälytyksiä aina, kun epäilyttävää toimintaa havaitaan.
Erona on, että SIEM luo hälytyksen vain, kun hyökkääjä tekee jotain, jonka tiedetään olevan haitallista. Joten jos hyökkääjä on varovainen, hän voi silti päästä verkkoon ja välttää havaitsemisen.
UEBA on suunniteltu havaitsemaan hyökkäykset, jotka eivät johdu haitallisesta käytöksestä vaan normaalista poikkeavasta käytöksestä. Tämän avulla se havaitsee hyökkäykset, jotka eivät vastaa mitään tunnettuja uhkia.
Monet SIEM-työkalut sisältävät nyt UEBA: n tästä syystä, mutta suurin osa ei.
Pitäisikö kaikkien yritysten käyttää UEBAa?
Kaikkien yritysten tulisi harkita UEBA-ratkaisun käyttöä, mutta kuten monet uudet kyberturvallisuusratkaisut, on tärkeää punnita edut ja haitat ennen sen käyttöönottoa.
UEBA pystyy havaitsemaan uhkia, joita SIEM ei havaitse. Se pystyy myös poimimaan uhkia, jotka turvallisuushenkilöstö saattaa jättää huomiotta. Tähän lisäsuojaan kannattaa usein panostaa, kun otetaan huomioon onnistuneen kyberhyökkäyksen jälkeiset menetykset.
UEBA-ratkaisut tarjoavat myös automaattisen suojauksen. Tämä voi mahdollistaa sen, että yrityksellä on pienempi kyberturvallisuusosasto ja siten merkittäviä palkkasäästöjä.
UEBA: n haittapuoli on, että se on kallis toteuttaa. Se voi olla monien pienyritysten budjetin ulkopuolella, vaikka se ei ole ehdottoman välttämätöntä. UEBA-ratkaisun käyttöönotto edellyttää myös henkilöstön kouluttamista sen käyttöön, mikä lisää lisäkustannuksia.
UEBA ei myöskään ole sopiva korvike muille kyberturvallisuustuotteille. Vaikka SIEM-tuote voi sisältää UEBA: n, UEBA ei korvaa SIEM: ää tai muita yrityksellä jo olevia tietoturvatuotteita.
UEBA tarjoaa erinomaisen suojan
UEBA-tuotteet tarjoavat merkittäviä parannuksia tavallisiin SIEM-tuotteisiin verrattuna, ja ne pystyvät tunnistamaan uhkia, jotka muuten jäisivät huomaamatta. Vaikka SIEM kamppailee usein sisäpiiriuhkien kanssa, UEBA voi automaattisesti havaita valtuutettujen käyttäjien epätavallisen verkkotoiminnan.
Se, sopiiko UEBA yrityksellesi vai ei, riippuu kyberturvallisuusbudjetistasi. Vaikka UEBA on ylivoimainen, korkeat asennuskustannukset ja se, että se ei korvaa muita tuotteita, ovat ilmeinen haittapuoli.
