Twee methoden om de traffic op je netwerk te monitoring zijn Endpoint User Behavior Analytics (EUBA) en Indicators of Compromise (IOC). Beide manieren om je netwerkdata te analyseren met ieder z’n voor- en nadelen.
Zowel IOC als EUBA worden gebruikt binnen beveiligingsoperatiecentra (SOC’s) en de functionaliteiten worden vaak opgenomen in beveiligingsoplossingen voor ondernemingen zoals SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response), XDR (Extended Detection and Response) en IAM (Identity and Access Management).
Begrip van EUBA
Endpoint User Behavior Analytics (EUBA) is een proactieve benadering van cybersecurity die zich richt op het monitoren en analyseren van het gedrag van gebruikers en apparaten binnen het netwerk van een organisatie.
Een UEBA-systeem verzamelt gegevens over activiteiten van gebruikers en entiteiten uit systeemlogboeken. Het past geavanceerde analytische methoden toe om de gegevens te analyseren en stelt een basislijn vast van gedragspatronen van gebruikers. UEBA controleert continu het gedrag van entiteiten en vergelijkt dit met het basisgedrag voor dezelfde entiteit of vergelijkbare entiteiten om abnormaal gedrag te detecteren.
Baselining is de sleutel tot een UEBA-systeem, omdat het potentiële bedreigingen kan detecteren. Het UEBA-systeem vergelijkt de vastgestelde baseline met het huidige gedrag van de gebruiker, berekent een risicoscore en bepaalt of afwijkingen acceptabel zijn. Als de risicoscore een bepaalde drempel overschrijdt, waarschuwt het systeem beveiligingsanalisten in realtime.
Wat EUBA krachtig maakt, is het gebruik van Artificial Intelligence (AI) en Machine Learning-algoritmen (ML) om gedragspatronen te identificeren die afwijken van de norm. Deze geavanceerde technologieën stellen EUBA-systemen in staat om zich aan te passen aan veranderende bedreigingslandschappen en sneller nieuwe, onbekende dreigingen te detecteren.
Deze benadering helpt bedrijven om insider-dreigingen, zero-day-aanvallen en andere geavanceerde aanvallen te detecteren die traditionele beveiligingsmaatregelen mogelijk over het hoofd zien.
Begrip van IOC
Een Indicator of Compromise (IOC) is een stukje informatie dat wijst op een mogelijke inbreuk op de beveiliging of cyberaanval. IOC systemen gebruiken het om bedreigingen te identificeren en er effectief op te reageren. Een IoC kan een bestand, IP-adres, domeinnaam, registersleutel of een ander bewijs van kwaadaardige activiteit zijn. IoC’s worden gebruikt om aanvallers op te sporen, hun methoden te begrijpen en toekomstige aanvallen te voorkomen.
IOC’s worden op verschillende manieren gecreëerd, zoals informatie over bedreigingen, het monitoren van beveiligingslogboeken en het analyseren van netwerkverkeer. Zodra een IOC is geïdentificeerd, kan de netwerk beveiliging deze gebruiken om beveiligingsmaatregelen te ontwikkelen die vergelijkbare aanvallen detecteren en voorkomen. Als een IOC bijvoorbeeld een kwaadaardig IP-adres is, kan een SOC dienst het IP-adres blokkeren, waardoor communicatie tussen het systeem van de aanvaller en het netwerk van de organisatie wordt voorkomen.
Vergelijking tussen EUBA en IOC
Detectiebenadering:
EUBA biedt een proactieve benadering door continu gebruikersgedrag te monitoren en te analyseren met behulp van zelflerende algoritmen.
IOC is meer reactief, omdat het vertrouwt op vooraf gedefinieerde indicatoren om bekende bedreigingen te identificeren op basis van historische gegevens.
Dekking:
EUBA biedt uitgebreide dekking door een breed scala van activiteiten en gedragingen op het netwerk te analyseren.
IOC is beperkt tot specifieke indicatoren met vooraf gedefinieerde criteria.
Reactietijd:
EUBA maakt snellere dreigingsdetectie mogelijk omdat het voortdurend gebruikers- en apparaatgedrag monitort.
De reactietijd van IOC hangt af van de vooraf gedefinieerde indicatoren.
Aanpasbaarheid:
EUBA-systemen kunnen zich aanpassen aan veranderende dreigingen.
IOC vereist regelmatige updates van indicator-databases om effectief te blijven tegen nieuwe dreigingen.
Voor- en nadelen EUBA
Endpoint User Behavior Analytics (EUBA) biedt een proactieve benadering die het gedrag van gebruikers en apparaatinteracties in realtime monitort. Het maakt snelle dreigingsdetectie mogelijk en past zich aan evoluerende dreigingen aan, waardoor het een uitstekende keuze is voor organisaties die vroegtijdige dreigingsdetectie en beperking prioriteren.
EUBA legt de nadruk op gedragspatronen analyseren in plaats van alleen te vertrouwen op bekende handtekeningen. Dit maakt het effectief tegen zero-day-aanvallen en interne bedreigingen die mogelijk geen herkenbare indicatoren vertonen. Een laaste voordeel is dat EUBA systemen over het algemeen minder valse positieven genereren in vergelijking met op IOC gebaseerde oplossingen. Dit komt doordat ze rekening houden met context en gedrag, wat resulteert in nauwkeurigere dreigingswaarschuwingen.
Het implementeren van een EUBA-oplossing kan ingewikkeld zijn en vereist een diepgaand begrip van het netwerk van een organisatie en het gedrag van gebruikers om effectief te zijn. Daarnaast kan het voortdurend monitoren en analyseren van gebruikersgedrag aanzienlijke rekenkracht, wat mogelijk kan leiden tot prestatieproblemen op sommige systemen.
Het gebruik van EUBA en gedetailleerd monitoren van gebruikersgedrag kan wel privacyzorgen onder medewerkers veroorzaken en mogelijk leiden tot weerstand van medewerkers of juridische complicaties.
Voor- en nadelen IOC
Indicators of Compromise (IOC) bieden een reactieve benadering, waarbij wordt vertrouwd op vooraf gedefinieerde indicatoren om bekende dreigingen te identificeren. IOC faciliteert snelle dreigingsdetectie en -respons omdat indicatoren direct beschikbaar zijn, waardoor beveiligingsteams onmiddellijk actie kunnen ondernemen.
IOC-oplossingen zijn vaak eenvoudiger te implementeren en te onderhouden in vergelijking met EUBA-systemen, waardoor ze toegankelijker zijn voor een breder scala aan organisaties. Daarnaast kunnen organisaties hun IOC-databases aanvullen door gebruik te maken van externe threat intelligence-feeds, waardoor inzicht wordt verkregen in opkomende bedreigingen
Op IOC gebaseerde benaderingen zijn echter vaak minder effectief tegen nieuwe of evoluerende bedreigingen, omdat ze vertrouwen op vooraf gedefinieerde indicatoren. Ze kunnen zero-day-aanvallen en geavanceerde bedreigingen over het hoofd zien. IOC-systemen genereren veelal meer valse positieven omdat ze de gedragscontext missen die EUBA biedt, wat mogelijk beveiligingsteams kan overbelasten met waarschuwingen die verder onderzoek vereisen.
Als laatste nadeel wil ik noemen dat IOC mogelijk geen alomvattend beeld biedt van de beveiligingsstatus van een organisatie, omdat het zich voornamelijk richt op specifieke indicatoren in plaats van gebruikersgedrag of apparaatinteracties.
Welke kiezen?
EUBA en IOC zijn twee waardevolle instrumenten in het arsenaal van elke IT-manager, elk met zijn sterke en zwakke punten. Uiteindelijk hangt de keuze tussen EUBA en IOC af van de specifieke cybersecuritybehoeften en -doelen van een organisatie. Een goed afgeronde cybersecuritystrategie kan elementen van zowel EUBA als IOC bevatten om uitgebreide bescherming te bieden tegen een breed scala van dreigingen.
Bedrijven moeten de risicoprofielen, middelen en prioriteiten van hun organisatie beoordelen om de meest geïnformeerde beslissing te nemen met betrekking tot deze cybersecuritybenaderingen.
