Netzadministrator

Was ist UEBA (User and Entity Behavior Analytics)?

Was ist UEBA?



Es gibt viele Möglichkeiten, ein Netzwerk sicher zu halten. Die besten Methoden sind in der Regel Softwarelösungen, die Schadcode bekämpfen oder unberechtigte Zugriffsversuche von außen im Auge behalten. Jedoch,Ein Aspekt, der oft auf die leichte Schulter genommen oder sogar ignoriert wird, sind Angriffe voninnerhalbdas Netzwerk – durch Benutzer hinter der Firewall.

Solche Angriffe können mit UEBA-Tools eingedämmt werden.



Was ist UEBA?

Benutzer- und Entitätsverhaltensanalyse (UEBA)ist ein Cybersicherheitsprozess, derbeinhaltet:

  • Wir überwachen die Daten der normalen Nutzung und des normalen Verhaltensvon Benutzern und Entitäten.
  • Eine Grundlinie festlegenunter Verwendung dieser Daten.
  • Verfolgen Sie ihre aktuellen Aktivitäten in Echtzeit, um etwaige Abweichungen zu erkennenvon der Grundlinie.

Diese Abweichungen werden dann analysiert, um Hinweise auf böswillige Aktivitäten eines Benutzers oder einer Entität zu finden.



UEBA nutzt Netzwerkveranstaltungen– in der Regel große Datensätze, die als Protokolle und Prüfpfade gespeichert werden – um das typische und atypische Verhalten von Benutzern und Geräten im Netzwerk zu modellieren.

Der Prozess verwendetmaschinelles Lernen,Algorithmen,Statistiken, UndAnalyse von Bedrohungssignaturenauf vergangenen Daten. Anschließend wird es mit den aktuellen Alltagsaktivitäten der Nutzer verglichen, die dann als „normal“ oder potenziell real eingestuft werden.Bedrohungen„.

Nehmen wir als Beispiel an, dass ein Benutzer normalerweise täglich 15 MB Daten herunterlädt. Würden sie plötzlich mit dem Herunterladen von Gigabytes an Daten beginnen, würde dies außerhalb der Norm liegen und als Abweichung eingestuft werden, die Aufmerksamkeit erfordert.

Zu den Aktivitäten, die mit dieser Methode erkannt werden könnten, gehören:kompromittierte Anmeldedaten,seitliche Bewegungenund andere böswillige Aktivitäten.

Ein entscheidender Punkt, den es hier zu verstehen gilt, wäre FolgendesUEBA verfolgt keine Sicherheitsereignisse und überwacht keine Geräte. Stattdessen,Es konzentriert sich auf das NetzwerkAktivitätenvon Benutzern und Geräten, während sie ihren Geschäften nachgehen. Daher kann man das sagenHierbei handelt es sich um ein Tool, das Insider – in der Regel Mitarbeiter – im Auge behält, deren Zugangsdaten gestohlen wurden oder die sich vorsätzlich untreu gemacht haben.Darüber hinaus dient es dazu, Kontoinhaber zu sperren, die bereits Zugang habendas Netzwerk und die damit verbundenen Vermögenswerte durch gezielte Angriffe oder Betrugsversuche gefährden.Schließlich werden auch Anwendungen, Geräte und Server verfolgtum sicherzustellen, dass diese böswilligen Benutzer sie nicht ausnutzen.

Unterschied zwischen UBA und UEBA

Vor der UEBA hatten wir dasUBA – Analyse des Nutzerverhaltens. Dieser Prozess konzentrierte sich nur auf den menschlichen Aspekt; Es verfolgte die Benutzer und sonst nichts.

Jetzt,UEBA erweitert UBA um Entitätenwie Router, Endpunkte und Server. Dadurch entstand ein robusteres SicherheitstoolErkennen Sie komplexe Angriffe durch Korrelation von Benutzer-, Geräte- und IP-Adresseingaben.

Diese Erweiterung wurde notwendig, als man erkannte, dass die Entitäten im Falle einer Bedrohung auch als Informationsquellen genutzt werden könnten und Administratoren dabei helfen könnten, die Quellen von Bedrohungen genau zu lokalisieren.

Dies ist heute noch wichtiger, da wir den Aufstieg aller Arten von vernetzten Geräten erleben, die das ausmachen, was wir heute „Das Internet der Dinge' oderIoT. Mit zunehmender Anzahl dieser Geräte steigt auch die Anzahl potenzieller Angriffspunkte.

Wie funktioniert UEBA?

Der UEBA-Prozess beinhaltet die Verknüpfung von Netzwerkaktivitäten mit bestimmten Benutzernanstelle von Hardware oder deren IP-Adressen.

Die Datenquelle sind in der Regel allgemeine Datenrepositorys – wie Protokolle und Audit-Trails –, die in gespeichert werden Data Lakes oder Data Warehouses . Die Quelldaten können auch aus dem Security Information and Event Management stammen ( SIEM ) Werkzeuge.

Notiz: UEBA integriert Informationen in Protokollen, Paketerfassungen und ähnlichen organisationsübergreifenden Datensätzen, die normalerweise von SIEM-Tools erfasst werden. Aus diesem Grund werden UEBA und SIEM häufig gemeinsam implementiert.

Dieser einzigartige Ansatz zur Überwachung des Verhaltens von Menschen und Unternehmen zeichnet ein klares Bild aller ungewöhnlichen Aktivitäten, die von herkömmlichen Perimeter-Überwachungstools möglicherweise nicht einmal bemerkt, geschweige denn gekennzeichnet werden. Darüber hinaus können selbst kleinste Abweichungen so konfiguriert werden, dass Bedrohungswarnungen ausgelöst werden, sodass Administratoren beurteilen können, ob es sich tatsächlich um einen frühen Hinweis auf eine Bedrohung handelt.

Daten, die für die Analyse verwendet werden, enthalten Informationen wie:

  • Wo sich ein Benutzer anmeldet
  • Die Dateien, Anwendungen und Server, die sie regelmäßig verwenden
  • Die ihnen zugewiesenen Rollen und Privilegien
  • Ort, Häufigkeit und Zeitpunkt des Zugriffs
  • Die für den Zugriff verwendeten Konnektivitäts- oder IoT-Geräte

UEBA verwendet diese Eingaben, um nicht auf Malware basierende Angriffe zu identifizieren, Bedrohungsstufen zu bewerten, Risikobewertungen zu erstellen und zu entscheiden, ob Administratoren darauf aufmerksam gemacht werden sollen oder nicht. Das Tool kann ihnen sogar dabei helfen, die richtige Antwort zu finden.

Anhand dieser Daten kann die UEBA einen Täter schnappen, der sich beispielsweise Zugriff auf das Konto eines Benutzers verschafft hat, weil er die Aktivitäten seiner Opfer nicht genau nachahmen kann.

Welchen Umfang hat die UEBA? Oder was kann es schützen?

Außer, abgesondert, ausgenommenAngriffe aus dem Netzwerk einer Organisation,UEBA kann auch Cloud-Assets überwachen, die dynamisch bereitgestellt werden oder auf die remote zugegriffen wird– etwas, das mit herkömmlichen Sicherheitstools nur schwer möglich wäre, vor allem wenn sie vor Ort im lokalen Netzwerk implementiert wurden.

Auf welche Attribute prüft die UEBA?

Ein gutes UEBA-Tool wird es tunmehrere Attribute überwachenum verdächtige Aktivitäten schnell und genau zu erkennen und zu warnen.Darüber hinaus ermöglicht die Kombination von Funktionen eine umfassendere Basislinie, die mehrere menschliche Merkmale abdeckt.was es schwieriger machen wird, etwas zu täuschen.

Zu den wesentlichen zu überwachenden Attributen gehören:

  • KommunikationDazu gehört die Verfolgung von E-Mail-, Chat- und VoIP-Daten, um die Personen zu verfolgen, mit denen Benutzer interagieren.
  • System– Ihre digitalen Fußabdrücke und ihr Verhalten bei einer Verbindung stellen eine wertvolle Informationsquelle dar, die aus Endpunkten, Browsern, freigegebenen Dateien und Anmeldegewohnheiten extrahiert werden kann. Diese Daten können auch aus SIEMs entfernt werden.
  • Personalwesen– Die Motivation hinter jeder verdächtigen Aktivität und warum es sich möglicherweise um einen böswilligen Versuch handelt, lässt sich aus Leistungsbeurteilungen von HR-Mitarbeitern und Active Directory (AD) extrahieren.
  • Körperlich Standortdaten– Die Verfolgung physischer Bewegungen auf dem Gelände kann wertvolle Informationen liefern; Dies kann durch die Überwachung von Ausweisdaten, Anmeldeorten und Reiseverläufen extrahiert werden.

Wie wir sehen, kann die Zusammenführung aller dieser Datensätze ein klares Bild über einen Benutzer, seine Aktivitäten und – falls zutreffend – seine böswilligen Absichten zeichnen.

Wie wird eine Baseline aufgebaut?

Eine Frage, die hier gestellt werden muss, ist, wie man die Grundlinie erstellt, die dabei hilft, den Überblick über einen Benutzer zu behalten. Nun, es sind ein paar Schritte zu durchlaufen:

  • Anwendungsfälle definieren– Es sollte von Anfang an klar sein, was getrackt wird. Beispiele wären das Erkennen böswilliger Benutzer, kompromittierter Konten, bekannter Sicherheitsbedrohungen oder einer Kombination aus allem.
  • Datenquellen definieren– Hier wird die Herkunft der Daten bestimmt, um die Verhaltensprofile jedes Benutzers zu erstellen. Beispiele für Quellen sind Protokolle, E-Mails, Social-Media-Plattformen, HR-Überprüfungsberichte, Netzwerkdatenpaketströme und SIEMs.
  • Definieren der zu überwachenden Verhaltensweisen– Eine UEBA-Lösung sollte möglichst viele Attribute abdecken. An dieser Stelle werden die Einzelheiten beschrieben. Dies können Bürozeiten, Schreibgeschwindigkeiten, Unternehmensanwendungen und aufgerufene Daten, besuchte Websites, Mausdynamik und Nicht-IT-Daten wie HR-Eingaben über die Arbeitszufriedenheit der Mitarbeiter sein.
  • Definieren der Baseline-Einrichtungszeit– Obwohl sich Mitarbeiter normalerweise Tag für Tag gleich verhalten, können externe Faktoren wie Lohn- und Gehaltsabrechnungstage, Haushaltsabschlusswochen oder die Grippesaison zu Gewohnheitsänderungen im Arbeitsalltag führen. Diese Faktoren sollten bei der Planung des Basisplans berücksichtigt und vermieden werden. Die Datenerfassung kann zwischen einer Woche und 90 Tagen dauern, in denen die UEBA etwas über die Benutzer „erfährt“ und eine Basislinie erstellt. Administratoren sollten außerdem genügend Zeit haben, um sicherzustellen, dass die Baselines tatsächlich sinnvoll sind.
  • Festlegung von Richtlinien und Bereitstellung von Schulungen– Sobald die UEBA-Lösung einsatzbereit ist, sollten Sicherheitsrichtlinien implementiert und die Benutzer darüber informiert werden. Bei Bedarf sollten Schulungen durchgeführt werden, um sicherzustellen, dass jeder weiß, was und wie er auf die Informationen zugreifen kann, zu deren Einsicht er nur berechtigt ist. Schließlich sollten alle miteinbezogen werden – Personalabteilung, Rechtsabteilung, Administratoren, Sicherheitsteams und die Benutzer selbst.
  • Eine Probezeit– Jedes System sollte eine Testphase durchlaufen, bevor es in die Produktion eingeführt wird. Gleiches gilt für UEBA. Während der Testphase können Fehler und Unstimmigkeiten beobachtet und behoben werden.
  • Go-Live und Überwachung– Sobald die UEBA live ist, ist eine genaue Überwachung erforderlich, um sicherzustellen, dass alle Systeme wie erwartet funktionieren. In den ersten Monaten können Anpassungen und Korrekturen erforderlich sein. Insgesamt sollte die Grundlinie angepasst werden, um allen neuen Attributen Rechnung zu tragen, die in die Organisation eingeführt werden, wie z. B. neue Zeitpläne, Sicherheitssystem-Upgrades und Mitarbeitertransfers.

Drei Säulen der UEBA

Basierend auf den Informationen, die wir bisher gesehen haben, können wir nun die drei Säulen der UEBA definieren. Diese Säulen legen festwas eine UEBA macht,wie es das macht, Unddas Ergebnis.

Daher werden UEBA-Lösungen laut Gartner in drei Dimensionen definiert:

  • Anwendungsfälle– UEBA-Lösungen überwachen, erkennen und melden böswillige Aktivitäten von Benutzern und Einheiten in einem Unternehmensnetzwerk. Sie sollten beispielsweise auch bei der Analyse von Trusted-Host-Monitoring, Betrugserkennung und Mitarbeiterüberwachung relevant bleiben.
  • Datenquellen– Eine UEBA-Lösung sollte nicht direkt im Netzwerk oder gar in der IT-Umgebung bereitgestellt werden, damit sie Daten sammeln kann. Stattdessen sollten die Daten aus Datenrepositorys wie Data Lakes, Data Warehouses oder über ein SIEM extrahiert werden.
  • Analytik– UEBA-Lösungen sollten Anomalien mithilfe verschiedener Analyseansätze erkennen, darunter maschinelles Lernen, Regeln, statistische Modelle, Bedrohungssignaturen und mehr.

Was sind die Vorteile von UEBA?

Nachdem wir nun definiert und gesehen haben, was eine UEBA-Lösung leisten kann, werfen wir einen Blick auf die Vorteile, die sie mit sich bringt:

  • Es handelt sich in erster Linie um ein Tool, das dabei helfen kann, viele Insider-Cyberangriffe zu stoppenwie kompromittierte Konten, Brute-Force-Angriffe, unbefugte Erstellung neuer Konten und Datenschutzverletzungen.
  • Es deckt einen Bereich ab, den die meisten Organisationen normalerweise ignorierenkönnen von herkömmlichen Tools wie Antiviren- oder Antimalware-Lösungen nicht verfolgt werden – die Insider-Bedrohung.
  • Durch den Einsatz von UEBA verringert sich die Zahl der Sicherheitsanalystendie ein Unternehmensnetzwerk schützen müssen; Diese Lösungen sind automatisch, arbeiten rund um die Uhr und versenden Warnungen in Echtzeit.
  • Eine UEBA-Lösung kann das Budget und den Overhead reduzierenerforderlich für die Aufrechterhaltung der Cybersicherheit eines Unternehmens.
  • Menschliche Fehler, die dadurch entstehen, dass Administratoren große Mengen an Aktivitätsdaten manuell durchsuchen müssen, können vermieden werden; Bedrohungsanalysen und -minderungen können in wenigen Minuten, in Echtzeit und präzise durchgeführt werden.
  • UEBA ist ein einzigartiger Sicherheitsansatz, da er die Übernahme mehrerer Systeme und Datenquellen umfasstund sich nicht an vordefinierte Korrelationsregeln oder Angriffsmuster halten;Die KI lernt ständig.

Gibt es Nachteile bei der Verwendung von UEBA?

Es wäre unfair zu sagen, dass die Einführung von UEBA keine Nachteile mit sich bringt. Und hier sind sie:

  • UEBA generiert komplexere Datenals die durchschnittliche, traditionelle Sicherheitslösung. Daher,es erfordert einen ausgebildeten Fachmannum das System zu implementieren, auszuführen und zu überwachen. Die Analyse erfordert auch ein geschultes Auge, um voreilige Schlussfolgerungen aufgrund falsch positiver Ergebnisse zu vermeiden.
  • Obwohl es sich um ein Sicherheitssystem handelt,Es reicht nicht aus, ein System allein zu schützen. Erinnern,Es verfolgt nur das Verhalten von Menschen und Entitätenund nichts weiter. Manche Organisationen mögen dies als Manko ansehen, insbesondere wenn sie den Bedarf an zusätzlicher Sicherheitssoftware in Betracht ziehen – aber das ist nicht der Fall. Es ist einfach nicht dazu gedacht, Angriffe zu stoppen, sondern lediglich böswillige interne Benutzer zu warnen.

Best Practices für die UEBA-Implementierung

Hier sind einige Punkte, die Sie berücksichtigen sollten, wenn Sie eine erfolgreiche UEBA-Implementierung anstreben:

  • Berücksichtigen Sie immer Bedrohungen sowohl innerhalb als auch außerhalb des Netzwerks– Alle Richtlinien, Regeln und Baselines sollten Benutzer berücksichtigen, die sich überall befinden.
  • Alle Konten sollten berücksichtigt werden– Denken Sie daran, dass Hacker ihre Berechtigungen jederzeit erweitern können, um ihre Zugriffsmöglichkeiten zu erweitern.
  • Die UEBA sollte an die entsprechenden Mitglieder des Sicherheitsteams gesendet werden– nicht etwa an die Nutzer selbst oder andere unbefugte Personen.
  • Wie wir oben gesehen haben, ist der Geltungsbereich der UEBA begrenzt– Administratoren sollten ihren Fokus nicht von den anderen herkömmlichen Sicherheitstools abwenden.
  • Schulen Sie alle Benutzerum Fehlalarme oder unbeabsichtigte Auslösewarnungen zu minimieren.
  • Auch,Sicherheitspersonal schulenAnalysen richtig zu lesen, um voreilige Schlussfolgerungen zu vermeiden.

UEBA ist eine Notwendigkeit

Zusammenfassend müssen wir sagen, dass die Einführung einer UEBA-Lösung in der heutigen Welt des Diebstahls von geistigem Eigentum, Technologielecks, Hacks und Datenschutzverletzungen – alles von innen heraus – eine Notwendigkeit ist. Es wurde immer gesagt, dass Benutzer die waren das schwächste Glied im Bereich Cybersicherheit. Durch die Kombination dieser Informationen mit Mitarbeitern, die böswillige Absichten hegen, lässt sich leicht erkennen, warum wir solche Lösungen benötigen.

Daher ist es sinnvoll, Unternehmensdaten mithilfe von UEBA-Lösungen zu schützen. Was tunDudenken? Lass uns wissen; Hinterlassen Sie uns einen Kommentar.

^