La sicurezza informatica sta diventando sempre più importante per le aziende di tutte le dimensioni. Ora è comune anche per le piccole aziende utilizzare una vasta gamma di strumenti come SIEM, firewall e VPN per proteggersi dalle intrusioni.
Gli hacker, tuttavia, stanno diventando sempre più sofisticati. Il loro successo dipende dalla loro capacità di condurre attacchi senza essere rilevati da tali strumenti. E spesso ci riescono. Una possibile soluzione a questo problema è nota come User and Entity Behavior Analytics.
Allora, cos'è UEBA e la tua azienda dovrebbe usarlo? Scopriamolo di seguito.
Che cos'è l'analisi del comportamento di utenti ed entità?
UEBA è una soluzione di sicurezza informatica che utilizza grandi set di dati per modellare l'attività di rete. Analizza sia gli utenti di una rete che la rete stessa, come router e Dispositivi IoT. Quindi cerca attività sospette e avvisa un'azienda ogni volta che viene rilevata tale attività.
Raggiunge questo creando una linea di base di come appare la normale attività su una rete. Quindi utilizza l'apprendimento automatico per rilevare automaticamente comportamenti anomali.
È popolare perché molti prodotti di sicurezza informatica sono addestrati per cercare principalmente malware. Gli hacker possono sconfiggere tale software entrando in una rete e semplicemente non installando file dannosi.
Al contrario, UEBA può cercare qualsiasi cosa anormale. Ciò consente di rilevare attacchi più sofisticati che non corrispondono alle minacce note.
Come funziona l'UEBA?
Le soluzioni UEBA hanno in genere tre componenti principali: analisi, integrazione e presentazione. Vediamoli in breve:
Analitica
UEBA analizza il comportamento di tutti gli utenti e i dispositivi della rete. In questo modo si crea una linea di base che illustra l'aspetto di una rete quando non si verifica un attacco. I modelli statistici vengono quindi utilizzati per determinare quando un utente o un dispositivo si comporta in un modo che non dovrebbe.
Integrazione
Le soluzioni UEBA sono in genere progettate per integrarsi con altri software di sicurezza. Probabilmente la tua azienda sta già monitorando il comportamento della rete e il tuo prodotto UEBA dovrebbe essere in grado di raccogliere automaticamente dati da tali prodotti.
Presentazione
L'UEBA di solito non interviene contro le minacce. Invece, è progettato per presentare i suoi dati al personale IT per ulteriori indagini. Questo può essere semplice come inviare un avviso. Ma molti prodotti UEBA producono anche grafici e altri dati statistici che il personale può utilizzare per eseguire analisi aggiuntive.
Da cosa protegge UEBA?
UEBA può proteggere da varie minacce che altri prodotti di sicurezza potrebbero non essere. Vediamo quali sono, vero?
Minacce interne
Il software di sicurezza spesso ha difficoltà rilevare le minacce interne. Sebbene un SIEM possa facilmente rilevare un'intrusione nella rete, potrebbe non rilevare che qualcuno già all'interno di una rete sta facendo qualcosa che non dovrebbe. Un UEBA correttamente configurato capirà come si comportano normalmente gli utenti e dovrebbe generare un avviso se un utente inizia a fare qualcos'altro.
Account utente compromessi
Se un utente si comporta in modo anomalo, non è sempre causato da una minaccia interna. Può anche significare che un utente malintenzionato ha rubato l'account dell'utente. I dipendenti aziendali sono regolarmente presi di mira dal phishing e account utente compromessi sono quindi un evento comune. Un UEBA può rilevare account inclusi non appena l'attaccante inizia a fare qualcosa fuori dall'ordinario.
Aumento dei privilegi
L'escalation dei privilegi si verifica quando a un utente vengono concessi privilegi aggiuntivi per accedere ad altre parti di una rete. Questo è qualcosa di cui un hacker potrebbe trarre vantaggio. Un UEBA può essere impostato per rilevare ogni volta che i privilegi di un utente vengono aumentati e inviare un avviso per l'indagine.
Attacchi di forza bruta
Attacchi di forza bruta implicano ripetuti tentativi di accesso agli account utente e alle reti. Poiché questo ovviamente non rientra nel comportamento normale, può essere facilmente rilevato da un UEBA. In questo scenario, un UEBA può generare un avviso o può essere impostato per espellere automaticamente l'attaccante.
Accesso limitato alle informazioni
Un UEBA può monitorare chi accede alle informazioni riservate. Può quindi prevenire violazioni dei dati generando un avviso ogni volta che un utente accede a qualcosa che non è necessario per il proprio lavoro.
UEBA vs. SIEM
Gli strumenti di gestione delle informazioni e degli eventi sulla sicurezza sono simili a UEBA ma non proprio uguali. Gli strumenti SIEM analizzano anche una rete e generano avvisi ogni volta che viene rilevata un'attività sospetta.
La differenza è che SIEM genera un avviso solo quando un utente malintenzionato fa qualcosa che è noto per essere dannoso. Quindi, se un utente malintenzionato è attento, può comunque entrare in una rete ed evitare il rilevamento.
UEBA è progettato per rilevare gli attacchi, non dovuti a comportamenti dannosi ma a comportamenti fuori dalla norma. Ciò consente di rilevare gli attacchi che non corrispondono a minacce note.
Molti strumenti SIEM ora incorporano UEBA per questo motivo, ma la maggior parte no.
Tutte le aziende dovrebbero utilizzare UEBA?
Tutte le aziende dovrebbero prendere in considerazione l'utilizzo di una soluzione UEBA, ma come molte nuove soluzioni di sicurezza informatica, è essenziale valutare i pro e i contro prima di implementarla.
UEBA è in grado di rilevare minacce che SIEM non rileva. È anche in grado di rilevare le minacce che il personale di sicurezza potrebbe non rilevare. Spesso vale la pena investire in questa protezione aggiuntiva, considerando le perdite subite dopo un attacco informatico riuscito.
Le soluzioni UEBA forniscono anche protezione automatizzata. Ciò può consentire a un'azienda di disporre di un reparto di sicurezza informatica più piccolo e, di conseguenza, di fornire notevoli risparmi salariali.
Lo svantaggio di UEBA è che è costoso da implementare. Potrebbe essere al di fuori del budget di molte piccole imprese pur non essendo strettamente necessario. L'implementazione di una soluzione UEBA richiederà anche la formazione del personale per utilizzarla, aggiungendo costi aggiuntivi.
UEBA non è nemmeno un sostituto adatto per altri prodotti di sicurezza informatica. Sebbene un prodotto SIEM possa includere UEBA, UEBA non sostituisce SIEM o altri prodotti di sicurezza già in possesso di un'azienda.
UEBA offre una protezione superiore
I prodotti UEBA offrono un miglioramento significativo rispetto ai prodotti SIEM standard e sono in grado di identificare minacce che altrimenti non sarebbero rilevate. Sebbene SIEM sia spesso alle prese con le minacce interne, UEBA è in grado di rilevare automaticamente attività di rete insolite da parte di utenti autorizzati.
Il fatto che UEBA sia adatto o meno alla tua azienda dipende dal budget per la sicurezza informatica. Sebbene UEBA sia superiore, l'alto costo di installazione e il fatto che non sostituisca altri prodotti è un evidente svantaggio.
