Cybersecurity wordt steeds belangrijker voor bedrijven van elke omvang. Het is nu zelfs gebruikelijk dat zelfs kleine bedrijven een schat aan tools gebruiken, zoals SIEM's, firewalls en VPN's om te beschermen tegen inbraak.
Hackers worden echter steeds geavanceerder. Hun succes hangt af van hun vermogen om aanvallen uit te voeren zonder te worden gedetecteerd door dergelijke tools. En daar slagen ze vaak in. Een mogelijke oplossing hiervoor staat bekend als User and Entity Behavior Analytics.
Dus wat is UEBA en zou uw bedrijf het moeten gebruiken? Laten we het hieronder uitzoeken.
Wat is gebruikers- en entiteitsgedraganalyse?
UEBA is een cyberbeveiligingsoplossing die grote datasets gebruikt om netwerkactiviteit te modelleren. Het analyseert zowel de gebruikers van een netwerk als het netwerk zelf, zoals routers en IoT-apparaten. Het zoekt vervolgens naar verdachte activiteiten en waarschuwt een bedrijf wanneer dergelijke activiteit wordt gedetecteerd.
Het bereikt dit door een basislijn te creëren van hoe normale activiteit op een netwerk eruitziet. Vervolgens gebruikt het machine learning om abnormaal gedrag automatisch te detecteren.
Het is populair omdat veel cyberbeveiligingsproducten zijn getraind om primair naar malware te zoeken. Hackers kunnen dergelijke software verslaan door een netwerk binnen te gaan en simpelweg geen schadelijke bestanden te installeren.
In tegenstelling hiermee kan UEBA naar iets abnormaals zoeken. Hierdoor kan het geavanceerdere aanvallen detecteren die niet overeenkomen met bekende bedreigingen.
Hoe werkt UEBA?
UEBA-oplossingen hebben doorgaans drie hoofdcomponenten: analyse, integratie en presentatie. Laten we ze in het kort bekijken:
Analytics
UEBA analyseert het gedrag van alle netwerkgebruikers en apparaten. Hierdoor ontstaat een basislijn die illustreert hoe een netwerk eruitziet wanneer er geen aanval plaatsvindt. Statistische modellen worden vervolgens gebruikt om te bepalen wanneer een gebruiker of apparaat zich gedraagt op een manier die niet zou moeten.
integratie
UEBA-oplossingen zijn doorgaans ontworpen om te integreren met andere beveiligingssoftware. Uw bedrijf volgt waarschijnlijk al netwerkgedrag en uw UEBA-product zou automatisch gegevens van dergelijke producten moeten kunnen verzamelen.
Presentatie
UEBA onderneemt doorgaans geen actie tegen bedreigingen. In plaats daarvan is het ontworpen om zijn gegevens aan het IT-personeel te presenteren voor verder onderzoek. Dit kan zo simpel zijn als het versturen van een waarschuwing. Maar veel UEBA-producten produceren ook grafieken en andere statistische gegevens die het personeel kan gebruiken om aanvullende analyses uit te voeren.
Waar beschermt UEBA tegen?
UEBA kan bescherming bieden tegen verschillende bedreigingen die andere beveiligingsproducten mogelijk niet hebben. Laten we eens kijken wat ze zijn, zullen we?
Insider-bedreigingen
Beveiligingssoftware vindt het vaak moeilijk om bedreigingen van binnenuit detecteren. Hoewel een SIEM een netwerkinbraak gemakkelijk kan detecteren, detecteert hij mogelijk niet dat iemand die zich al in een netwerk bevindt iets doet wat hij niet zou moeten doen. Een correct geconfigureerde UEBA begrijpt hoe gebruikers zich normaal gedragen en zou een waarschuwing moeten genereren als een gebruiker iets anders gaat doen.
Gecompromitteerde gebruikersaccounts
Als een gebruiker zich abnormaal gedraagt, wordt dit niet altijd veroorzaakt door een bedreiging van binnenuit. Het kan ook betekenen dat een aanvaller het account van de gebruiker heeft gestolen. Zakelijke medewerkers zijn regelmatig het doelwit van phishing, en gecompromitteerde gebruikersaccounts komen dan ook veel voor. Een UEBA kan samengestelde accounts detecteren zodra de aanvaller iets ongewoons begint te doen.
Privilege escalatie
Escalatie van bevoegdheden vindt plaats wanneer een gebruiker extra bevoegdheden krijgt om toegang te krijgen tot andere delen van een netwerk. Dit is iets waar een hacker baat bij zou hebben. Een UEBA kan worden ingesteld om te detecteren wanneer de rechten van een gebruiker worden verhoogd en om een waarschuwing te sturen voor onderzoek.
Brute Force-aanvallen
Brute kracht aanvallen omvatten herhaalde pogingen om toegang te krijgen tot gebruikersaccounts en netwerken. Omdat dit duidelijk niet binnen normaal gedrag valt, kan het gemakkelijk worden gedetecteerd door een UEBA. In dit scenario kan een UEBA een waarschuwing genereren of kan deze worden ingesteld om de aanvaller automatisch af te zetten.
Beperkte toegang tot informatie
Een UEBA kan controleren wie toegang heeft tot vertrouwelijke informatie. Het kan daarom datalekken voorkomen door een waarschuwing te genereren wanneer een gebruiker iets opent dat niet nodig is voor zijn werk.
UEBA vs. SIEM
Tools voor beveiligingsinformatie en gebeurtenisbeheer zijn vergelijkbaar met UEBA, maar niet helemaal hetzelfde. SIEM-tools analyseren ook een netwerk en genereren waarschuwingen wanneer verdachte activiteit wordt gedetecteerd.
Het verschil is dat SIEM alleen een waarschuwing genereert wanneer een aanvaller iets doet waarvan bekend is dat het kwaadaardig is. Dus als een aanvaller voorzichtig is, kunnen ze nog steeds een netwerk binnendringen en detectie vermijden.
UEBA is ontworpen om aanvallen te detecteren, niet vanwege kwaadaardig gedrag, maar vanwege gedrag dat buiten de norm valt. Hierdoor kan het aanvallen detecteren die niet overeenkomen met bekende bedreigingen.
Veel SIEM-tools bevatten om deze reden nu UEBA, maar de meeste niet.
Moeten alle bedrijven UEBA gebruiken?
Alle bedrijven zouden moeten overwegen om een UEBA-oplossing te gebruiken, maar zoals bij veel nieuwe cyberbeveiligingsoplossingen is het essentieel om de voor- en nadelen af te wegen voordat ze worden geïmplementeerd.
UEBA is in staat om bedreigingen te detecteren die SIEM niet zou detecteren. Het is ook in staat om bedreigingen op te vangen die beveiligingspersoneel mogelijk over het hoofd ziet. Deze extra bescherming is vaak de moeite waard om in te investeren, gezien de verliezen die worden geleden na een succesvolle cyberaanval.
UEBA-oplossingen bieden ook geautomatiseerde bescherming. Hierdoor kan een bedrijf een kleinere cyberbeveiligingsafdeling hebben en bijgevolg aanzienlijke loonbesparingen opleveren.
Het nadeel van UEBA is dat het duur is om te implementeren. Het kan buiten het budget van veel kleine bedrijven vallen, terwijl het niet strikt noodzakelijk is. Het implementeren van een UEBA-oplossing vereist ook dat het personeel wordt opgeleid om het te gebruiken, wat extra kosten met zich meebrengt.
UEBA is ook geen geschikte vervanging voor andere cyberbeveiligingsproducten. Hoewel een SIEM-product UEBA kan bevatten, is UEBA geen vervanging voor SIEM of andere beveiligingsproducten die een bedrijf al heeft.
UEBA biedt superieure bescherming
UEBA-producten bieden een aanzienlijke verbetering ten opzichte van standaard SIEM-producten en zijn in staat om bedreigingen te identificeren die anders onopgemerkt zouden blijven. Hoewel SIEM vaak worstelt met bedreigingen van binnenuit, kan UEBA automatisch ongebruikelijke netwerkactiviteit detecteren door geautoriseerde gebruikers.
Of UEBA geschikt is voor uw bedrijf, hangt af van uw cyberbeveiligingsbudget. Hoewel UEBA superieur is, zijn de hoge installatiekosten en het feit dat het andere producten niet vervangt, een duidelijk nadeel.
