UEBA is een beveiligingsoplossing die machine learning en kunstmatige intelligentie algoritmen gebruikt om afwijkend gedrag en potentiële beveiligingsrisico’s te detecteren op basis van het gedrag van gebruikers en entiteiten (zoals apparaten of toepassingen) binnen het netwerk van een organisatie.
User & Entity Behavior Analytics stelt organisaties in staat om potentiële bedreigingen van binnenuit, gecompromitteerde accounts en andere beveiligingsrisico’s opsporen die met traditionele beveiligingsmaatregelen misschien niet worden ontdekt. UEBA kan organisaties ook helpen aan compliance-eisen te voldoen en hun algemene beveiligingshouding te verbeteren.
Hoe werkt User & Entity Behavior Analytics?
Het uitgangspunt van UEBA is eigenlijk heel eenvoudig. Je kunt gemakkelijk de gebruikersnaam en het wachtwoord van een werknemer stelen, maar het is veel moeilijker om het normale gedrag van die persoon na te bootsen als hij eenmaal binnen het netwerk is.
Stel bijvoorbeeld dat je het wachtwoord en de gebruikersnaam van Jan Jansen steelt. Je zou nog steeds niet in staat zijn om je precies als Jan te gedragen wanneer je in het systeem bent, tenzij met uitgebreid onderzoek en voorbereiding. Wanneer de gebruikersnaam van Jan Jansen is ingelogd in het systeem en zijn gedrag is anders dan dat van typische Jan Jansen zal het UEBA-systeem gaan waarschuwen.
UEBA systemen verzamelen gegevens uit verschillende bronnen, zoals logbestanden van netwerkverkeer,, systeemlogboeken en logs van beveiligingsgebeurtenissen. Daarmee creëren zij een basislijn van normaal gedrag voor elke gebruiker en entiteit op het netwerk door historische gegevens te analyseren en gedragspatronen vast te stellen.
Zodra de basislijn is vastgesteld, controleert het UEBA-systeem voortdurend het gedrag van gebruikers en entiteiten in real time en vergelijkt het huidige gedrag met de vastgestelde basislijn. Als het gedrag aanzienlijk afwijkt van de basislijn, markeert het systeem het als een anomalie en kent het een risicoscore toe op basis van de ernst van de afwijking.
Onregelmatigheden met een hoog risico krijgen prioriteit voor onderzoek en reactie. Het UEBA-systeem waarschuwt beveiligingsanalisten en verstrekt gedetailleerde informatie over de anomalie, die de analisten vervolgens verder kunnen onderzoeken en passende maatregelen kunnen nemen, zoals het blokkeren van de toegang tot een gecompromitteerde account of het isoleren van een gecompromitteerd apparaat.
3 pijlers van UEBA
De drie pijlers van UEBA verwijzen naar de drie belangrijkste componenten van een succesvolle User and Entity Behavior Analytics (UEBA)-oplossing. Deze pijlers zijn:
Use cases – UEBA oplossingen rapporteren het gedrag van entiteiten en gebruikers in een netwerk. Het detecteert, bewaakt en waarschuwt voor anomalieën. UEBA-oplossingen moeten relevant zijn voor meerdere use cases, in tegenstelling tot systemen die gespecialiseerde analyses uitvoeren zoals trusted host monitoring, fraudedetectie, enz.
Data – UEBA-oplossingen kunnen gegevens opnemen uit een algemene gegevensopslagplaats. Dergelijke opslagplaatsen zijn onder meer datawarehouses, data lake of Security Information and Event Management (SIEM). UEBA-tools plaatsen geen softwareagenten rechtstreeks in de IT-omgeving om de gegevens te verzamelen.
Analyse – UEBA-oplossingen isoleren anomalieën met behulp van analysemethoden, waaronder machine learning, statistische modellen, regels en bedreigingshandtekeningen.
Samen vormen deze drie pijlers het fundament van een succesvolle UEBA-oplossing. Door gegevens te verzamelen en te analyseren met behulp van machine learning-algoritmen en visualisatie- en onderzoekstools te bieden, kunnen UEBA-systemen organisaties helpen potentiële beveiligingsrisico’s op te sporen en hun algemene beveiligingshouding te verbeteren.
Voordelen van UEBA-technologieën.
Het is de harde waarheid dat de huidige cyberbeveiligingsinstrumenten snel verouderd raken, en dat meer ervaren hackers en cyberaanvallers nu in staat zijn om de perimeterverdediging die door de meeste bedrijven wordt gebruikt, te omzeilen.
Vroeger was je veilig als je beschikte over web gateways, firewalls en tools voor inbraakpreventie. Dit is niet langer het geval in het huidige complexe bedreigingslandschap, en het geldt vooral voor grotere bedrijven die aantoonbaar zeer poreuze IT-perimeters hebben die ook zeer moeilijk te beheren en te overzien zijn.
UEBA kan organisaties op verschillende manieren helpen hun cyberbeveiliging te verbeteren. Zij kunnen potentiële beveiligingsrisico’s sneller opsporen door het gedrag van gebruikers en entiteiten in het netwerk van een organisatie te analyseren. Hierdoor kunnen beveiligingsteams verdachte gedragspatronen en anomalieën identificeren die kunnen wijzen op een potentiële bedreiging.
UEBA-tools maken gebruik van geavanceerde analyses en algoritmen voor machine learning om het aantal false-positives te verminderen, zodat beveiligingsteams hun aandacht kunnen richten op kritieke beveiligingsgebeurtenissen. Door een vollediger en nauwkeuriger beeld te geven van het gedrag van gebruikers en entiteiten kunnen UEBA-tools organisaties helpen beveiligingsincidenten effectiever op te sporen en erop te reageren.
Bovendien kunnen UEBA-tools organisaties helpen te voldoen aan compliance-eisen door gedetailleerde informatie te verstrekken over het gedrag van gebruikers en entiteiten. Ten slotte kunnen UEBA-tools worden gebruikt voor proactieve ’threat hunting’, waardoor beveiligingsteams potentiële bedreigingen kunnen identificeren en onderzoeken voordat deze uitmonden in een beveiligingsincident.
In de praktijk
Door nauwkeurige gedragsgegevens van gebruikers te combineren met machine learning kunnen analisten gebruikers en entiteiten nauwkeuriger controleren en tegelijkertijd diepgaand inzicht verschaffen in hun respectieve activiteiten. Als zodanig is UEBA een zeer belangrijk onderdeel van IT-beveiliging, waarmee u:
- Bedreigingen van binnenuit op te sporen. Het is niet vergezocht te veronderstellen dat een werknemer, of misschien een groep werknemers, een schurk zou kunnen worden en gegevens en informatie zou kunnen stelen door hun eigen toegang te gebruiken. UEBA kan u helpen datalekken, sabotage, misbruik van privileges en schendingen van het beleid door uw eigen personeel op te sporen.
- Gecompromitteerde accounts opsporen. Soms worden gebruikersaccounts gecompromitteerd. Het kan zijn dat de gebruiker onbewust malware op zijn of haar machine heeft geïnstalleerd, of soms wordt een legitieme account vervalst. UEBA kan je helpen om gespoofde en gecompromitteerde gebruikers uit te sluiten voordat ze echte schade kunnen aanrichten.
- Brute-force aanvallen detecteren. Hackers richten zich soms op uw cloudgebaseerde entiteiten en verificatiesystemen van derden. Met UEBA bent u in staat brute-force pogingen te detecteren, waardoor u de toegang tot deze entiteiten kunt blokkeren.
- Detecteer wijzigingen in machtigingen en het aanmaken van supergebruikers. Bij sommige aanvallen worden supergebruikers gebruikt. Met UEBA kun je detecteren wanneer supergebruikers worden aangemaakt, of als er accounts zijn die onnodige machtigingen hebben gekregen.
- Detecteer inbreuk op beschermde gegevens. Als je beschermde gegevens hebt, is het niet genoeg om ze alleen maar te beveiligen. Je moet weten wanneer een gebruiker toegang heeft tot deze gegevens terwijl hij of zij geen legitieme zakelijke reden heeft om toegang te krijgen.
Kortom
User and Entity Behavior Analytics (UEBA) kan waardevolle inzichten verschaffen in het gedrag van gebruikers en entiteiten in uw systeem. Door gebruikersactiviteiten te monitoren en analyses te gebruiken om anomalieën te identificeren, kan UEBA u helpen snel potentiële bedreigingen of kwaadaardige activiteiten binnen uw netwerk op te sporen. Met de juiste strategie kan UEBA een krachtig hulpmiddel zijn om de beveiliging te verbeteren en tegelijkertijd de operationele overhead te verminderen.
Wilt u meer weten over deze manier van beveiligen? Neem contact op en laat u persoonlijk informeren door één van onze security specialisten.
