UEBA (User and Entity Behavior Analytics) is een relatief nieuw concept op het gebied van cyberbeveiliging, waarbij de term voor het eerst opdook rond 2015. De onderliggende technologieën en technieken van UEBA, zoals machine learning en gedragsanalyse, worden echter al enkele jaren in verschillende vormen gebruikt.
De ontwikkeling van UEBA is grotendeels ingegeven door de noodzaak om geavanceerde cyberbedreigingen, zoals bedreigingen van binnenuit, gerichte aanvallen en geavanceerde aanhoudende bedreigingen (APT’s), die traditionele beveiligingsmaatregelen zoals firewalls en antivirussoftware mogelijk niet volledig kunnen aanpakken, beter te detecteren en erop te reageren. UEBA biedt een meer proactieve en gegevensgestuurde benadering van beveiliging, waardoor organisaties afwijkend gedrag en potentiële bedreigingen in realtime kunnen opsporen.
Uitdagingen met de huidige UEBA
Enkele huidige uitdagingen op het gebied van bruikbaarheid en nauwkeurigheid van de huidige UEBA belichten:
Of het nu gaat om feit-, correlatie- of gedragsregels, elke regel is individueel ontworpen en geconfigureerd. Elke regel heeft zijn eigen reeks zorgvuldig opgestelde voorwaarden. Dit betekent dat voor elke genuanceerde variatie op een basisregel een nieuwe regel moet worden gemaakt. Ik zal binnenkort voorbeelden tonen. Dit resulteert in complexe regelconfiguratie, ongecontroleerde regelgroei en een steeds groeiende, moeilijk te onderhouden bibliotheek.
Regels – vooral die met betrekking tot gedragsmodellering – hebben veel parameters om af te stellen. Voorbeelden zijn de zo belangrijke risicoscore die een analist handmatig moet toekennen wanneer een regel geactiveerd wordt, en de convergentiecriteria die bepalen wanneer de gedragsprofielen als volwassen worden beschouwd. Het afstemmen van deze regels vereist deskundigheid. Wanneer ze niet correct zijn afgestemd, zijn fout-positieven onvermijdelijk het gevolg.
Toegewezen regel risicoscores worden meestal lineair opgeteld om een score op sessieniveau te maken voor prioritering en presentatie. Over een vaste set logboekbronnen is het niet verrassend om te zien dat sessiescores toenemen naarmate er meer regels worden toegevoegd (meer kans op scores van meer getriggerde regels), wat resulteert in steeds meer sessies met een hoge score die aan de gebruiker worden gepresenteerd.
Regelgebaseerde systemen kunnen niet leren van de case management gegevens. Waardevolle door de gebruiker gelabelde fout-negatieve en fout-positieve gebeurtenissen worden niet benut om het systeem verder te verbeteren.
Hoe nu verder? Hoe kunnen we gebruik blijven maken van op gedrag gebaseerde anomalieën voor het opsporen van bedreigingen, maar zonder de complexiteit en de false-positives die de op regels gebaseerde systemen met zich meebrengen?
Next Gen UEBA
Maak kennis met de volgende generatie. Next-gen UEBA verwijst naar de nieuwste generatie UEBA-technologie waarin geavanceerde algoritmen voor machine learning en andere technieken zijn verwerkt om cyberdreigingen beter en in realtime te detecteren en erop te reageren.
Het doel is nu om de benodigde menselijke inspanning bij het ontwerpen van regels en het afstemmen van parameters zoveel mogelijk te elimineren, terwijl het systeem nauwkeuriger wordt, de configuratie eenvoudiger en de algehele ervaring vriendelijker. Minder complexiteit en meer nauwkeurigheid dus.
Vermindering van de complexiteit van het design
Wanneer een analist ontwerpt welk afwijkend gedrag moet worden vastgelegd in gebeurtenissen, denkt hij eerst aan de indicatoren. Ze beslissen dan welke gedragsscenario’s ze uit deze indicatoren willen definiëren, en maken van elk scenario een regel. Dit leidt vaak tot een wirwar aan regels.
Deze complexiteit van de configuratie door het handmatig opsommen van alle combinaties van indicatoren en scores is moeilijk te beheren. Dit roept de vraag op: waarom laten we de machine de combinaties niet beheren? Met de volgende generatie UEBA kan de gebruiker zich concentreren op het ontwerpen van de kleine reeks kernindicatoren en laat de machine automatisch de combinaties ervan samenstellen.
Het elimineren van handmatige scoretoekenning
In een regelgebaseerd systeem ligt de last bij de gebruiker om de regelscores in te stellen. In het next-gen UEBA systeem ligt deze scoring bij het machine learning gedeelte. De score wordt geleerd van de historische gegevens. Als de combinatie van indicatoren in het verleden zelden voorkwam, krijgt zij een hogere risicoscore; en omgekeerd. Het leren is continu; dezelfde combinatie van indicatoren kan later een andere risicoscore opleveren. Vergeleken met de handmatige scoretoekenning zijn zelflerende risicoscores adaptief en nauwkeuriger in het weergeven van de mate van afwijkingen.
Betere nauwkeurigheid
Next-gen UEBA streeft naar betere detectie. Er is geen wondermiddel, maar er is een meervoudige aanpak nodig. Ten eerste moet het event-level risico een hoge signaal-ruisverhouding hebben. Dit betekent dat zorgvuldig moet worden omgegaan met anomalie-indicatoren en gedragsprofielen.
Voordelen
- Diepere analyses en correlatie van het gedrag van gebruikers en entiteiten in meerdere gegevensbronnen
- Real-time waarschuwingen en geautomatiseerde reacties op potentiële bedreigingen
Brede integratie met andere beveiligingstechnologieën zoals SIEM (Security Information and Event Management) en SOAR (Security Orchestration, Automation, and Response) platforms. - Verbeterde schaalbaarheid en flexibiliteit om grote hoeveelheden gegevens en meerdere use cases te verwerken van bedreigingen en incidenten.
Exabeam Fusion
Exabeam Fusion is een van de eerste security oplossingen waar een Next-gen UEBA in ingebouwd is. Het omvat meer dan 1.800 regels en meer dan 750 histogrammen van gedragsmodellen om geavanceerde bedreigingen te vinden, waaronder op credentials gebaseerde aanvallen, bedreigingen van binnenuit en ransomware-activiteiten, die door andere tools worden gemist.
Smart Timelinesâ„¢ visualiseren de volledige geschiedenis van een incident en benadrukken het risico dat aan elke gebeurtenis verbonden is. Anomaly Search in Exabeam Fusion biedt een vereenvoudigde zoekervaring met snelle zoekresultaten. Met één enkele interface kunnen analisten zoeken naar door Exabeam getriggerde gebeurtenissen in hun datarepository, waarbij gedragsgebaseerde TTP-detectie wordt gekoppeld aan bekende IoC’s om de mogelijkheden van analisten om bedreigingen op te sporen te vergroten.
Meer weten over Exabeam Fusion? Neem contact op en laat u persoonlijk informeren door één van onze security specialisten.
