Enkele van de belangrijkste cyberdreigingen waarop u in 2023 moet letten, zijn phishing, compromittering van zakelijke e-mails, diefstal van referenties en social engineering. Dat soort aanvallen klinkt tam in vergelijking met de grote ransomware-aanvallen die oliepijpleidingen platleggen en de voedselproductie stilleggen, toch? De waarheid is dat de meeste grote aanvallen zoals ransomware en geruchtmakende datalekken beginnen met een ogenschijnlijk laagdrempelige aanval waardoor een crimineel uw netwerk binnenkomt.
In het huidige moderne bedreigingslandschap hebt u meer nodig dan een slot en een alarm aan de buitenkant van uw netwerk. U hebt ook beveiliging op hoog niveau nodig die de activiteiten binnen uw werkomgeving bewaakt.
Dit is waar SIEM en UEBA in beeld komen. Hoewel het waar is dat cyberaanvallers elke dag meer technologische kennis en geavanceerdere dreigingstactieken krijgen, gaat de cyberbeveiligingstechnologie net zo snel vooruit. Cyberbeveiligingssoftware is ontworpen om moderne aanvallers altijd een stap voor te zijn om te anticiperen op kwaadaardige acties en deze te stoppen voordat er schade ontstaat. SIEM en UEBA zijn enkele van de modernste ontwikkelingen op het gebied van cyberbeveiliging die zijn ontworpen om verdachte acties te detecteren voordat het dure aanvallen worden.
Om te begrijpen hoe UEBA de beveiliging van uw organisatie kan verbeteren en bescherming kan bieden tegen geavanceerde cyberaanvallen, helpt het om te leren hoe SIEM en UEBA werken en welke acties zij ondernemen om uw netwerk te beschermen.
Wat doet SIEM?
SIEM-systemen verzamelen en aggregeren gegevens uit verschillende bronnen om potentiële bedreigingen op te sporen en waarschuwingen af te geven. SIEM-systemen worden vaak gebruikt voor het opsporen van complianceproblemen en maken gebruik van statistische modellen om verdachte gedragspatronen te identificeren die verband houden met cyberaanvallen. SIEM-producten kunnen informatiebeveiligingsteams overweldigen met een grote hoeveelheid waarschuwingen, waarvan vele vals-positief kunnen zijn.
Een SIEM is een goed hulpmiddel voor beveiligingsbeheer, maar is minder geavanceerd als het gaat om het detecteren van en reageren op meer geavanceerde bedreigingen. Dit heeft tot gevolg dat ervaren bedreigingsactoren zich niet bezighouden met eenmalige bedreigingen, maar langetermijnaanvallen uitvoeren die enkele weken of zelfs maanden onopgemerkt kunnen blijven door traditionele tools voor bedreigingsbeheer.
UEBA in het kort
Het uitgangspunt van UEBA is eigenlijk heel eenvoudig. Je kunt gemakkelijk de gebruikersnaam en het wachtwoord van een werknemer stelen, maar het is veel moeilijker om het normale gedrag van die persoon na te bootsen als hij eenmaal binnen het netwerk is.
Stel bijvoorbeeld dat je het wachtwoord en de gebruikersnaam van Jan Jansen steelt. Je zou nog steeds niet in staat zijn om je precies als Jan te gedragen wanneer je in het systeem bent, tenzij met uitgebreid onderzoek en voorbereiding. Wanneer de gebruikersnaam van Jan Jansen is ingelogd in het systeem en zijn gedrag is anders dan dat van typische Jan Jansen zal het UEBA-systeem gaan waarschuwen.
UEBA-tools maken gebruik van geavanceerde analyses en algoritmen voor machine learning om het aantal false-positives te verminderen, zodat beveiligingsteams hun aandacht kunnen richten op kritieke beveiligingsgebeurtenissen. Door een vollediger en nauwkeuriger beeld te geven van het gedrag van gebruikers en entiteiten kunnen UEBA-tools organisaties helpen beveiligingsincidenten effectiever op te sporen en erop te reageren.
SIEM en UEBA
SIEM (Security Information and Event Management) en UEBA (User and Entity Behavior Analytics) zijn twee complementaire technologieën die vaak samen worden gebruikt in een alomvattende cyberbeveiligingsstrategie.
SIEM-systemen verzamelen en analyseren beveiligingsgegevens uit het hele netwerk van een organisatie, waaronder logbestanden van servers, firewalls en andere beveiligingsapparatuur. Deze gegevens worden vervolgens gecorreleerd en geanalyseerd om potentiële beveiligingsrisico’s te identificeren en waarschuwingen te genereren voor beveiligingsteams.
UEBA-systemen daarentegen richten zich specifiek op het gedrag van gebruikers en entiteiten in het netwerk van een organisatie. Zij maken gebruik van geavanceerde analyses en algoritmen voor machinaal leren om anomalieën en potentiële beveiligingsrisico’s vast te stellen op basis van gedragspatronen van gebruikers en entiteiten.
Een SIEM-systeem kan bijvoorbeeld een waarschuwing genereren op basis van een potentieel beveiligingsincident dat in het netwerk is ontdekt, en UEBA-systemen kunnen extra context bieden door gedragspatronen van gebruikers te analyseren die tot dat incident hebben geleid, waardoor beveiligingsteams de aard en omvang van de aanval beter kunnen begrijpen.
Convergentie logisch?
UEBA-oplossingen (User and Entity Behavior Analytics) convergeren steeds meer met SIEM-oplossingen (Security Information and Event Management), omdat organisaties hun algehele cyberbeveiligingspositie willen verbeteren door de sterke punten van beide technologieën te combineren. Dit is naar mijn mening een logische stap.
Door SIEM- en UEBA-technologieën te combineren, kunnen organisaties een completer en nauwkeuriger beeld krijgen van hun algehele beveiliging. SIEM-systemen bieden een breed overzicht van beveiligingsgebeurtenissen in het hele netwerk, terwijl UEBA-systemen zich specifiek richten op het gedrag van gebruikers en entiteiten.
De convergentie van UEBA- en SIEM-technologieën omvat de integratie van UEBA-analyses en inzichten in SIEM-platforms, waardoor beveiligingsteams een uitgebreider en nauwkeuriger beeld krijgen van potentiële veiligheidsbedreigingen. Dankzij deze integratie kunnen organisaties het gedrag van gebruikers en entiteiten correleren en analyseren naast andere beveiligingsevents en -gegevens die door het SIEM-systeem worden verzameld.
UEBA-oplossingen bieden gedetailleerde inzichten in gedragspatronen van gebruikers en entiteiten die kunnen wijzen op potentiële beveiligingsrisico’s, terwijl SIEM-systemen een breed overzicht bieden van beveiligingsgebeurtenissen in het hele netwerk van een organisatie. Door de twee te combineren kunnen beveiligingsteams potentiële beveiligingsincidenten beter identificeren en erop reageren.
De convergentie van UEBA- en SIEM-technologieën leidt ook tot de ontwikkeling van nieuwe oplossingen die geavanceerde mogelijkheden bieden voor het opsporen van en reageren op bedreigingen. Deze oplossingen maken gebruik van machine learning en op AI gebaseerde algoritmen om afwijkend gedrag in het netwerk van een organisatie te identificeren, waardoor beveiligingsteams bedreigingen sneller en effectiever kunnen opsporen en aanpakken.
Ik heb al SIEM – moet ik UEBA aanschaffen?
Helaas is op deze vraag geen eenvoudig antwoord. Alles hangt af van wat u wilt bereiken op het gebied van informatie- en gegevensbeveiliging. Als u een specifieke vereiste hebt om alleen gegevens over beveiligingsgebeurtenissen te analyseren die door uw apparaten, netwerk, systemen en toepassingen worden gegenereerd, dan is SIEM waarschijnlijk voldoende.
Als u een dieper inzicht wilt krijgen in de manier waarop uw gebruikers omgaan met uw kritieke gegevens om snel bedreigingen van binnenuit op te sporen en erop te reageren, dan vormen UEBA-oplossingen een uitstekende aanvulling op uw SIEM-oplossing.
Meer weten of SIEM en UEBA integratie voor u de juiste weg is? Neem contact op en laat u persoonlijk informeren door één van onze security specialisten.
