Come funziona l'analisi del comportamento di utenti ed entità (UEBA)?
Una soluzione UEBA viene distribuita ai dispositivi di tutta la rete di un'organizzazione. Per un periodo successivo al suo deployment, la soluzione UEBA monitora un dispositivo e costruisce un profilo di utilizzo normale. Questo include le attività dei vari utenti di quel dispositivo. Dopo un po', l'UEBA ha un buon modello di ciò che è considerato un comportamento normale e anormale. A questo punto, può passare dalla modalità di apprendimento alla modalità attiva.
In modalità attiva, la soluzione UEBA monitora varie azioni e le valuta in base al suo modello di comportamento normale. Se osserva un'attività anomala, può avvisare un amministratore e potenzialmente attivare una risposta volta a bloccare la potenziale minaccia.
Ad esempio, un utente dell'organizzazione può trascorrere la maggior parte della sua giornata lavorativa modificando documenti e navigando in Internet. Se il loro account inizia improvvisamente a fare richieste ad altri sistemi e ad esplorare la rete, la soluzione UEBA può lanciare un allarme. Sebbene questo cambiamento di attività possa essere benigno, potrebbe anche indicare che le credenziali dell'utente sono state compromesse da un aggressore. Se questo è il caso, l'avviso fornito dalla soluzione UEBA offre all'organizzazione l'opportunità di affrontare il problema.
La necessità di un'analisi del comportamento di utenti ed entità (UEBA)
Se un aggressore ha accesso all'account di un utente, potrebbe non avere bisogno di utilizzare malware e tecniche simili per raggiungere i propri obiettivi. Questo può rappresentare una sfida per alcune soluzioni di sicurezza progettate per rilevare questo tipo di contenuti dannosi.
Tuttavia, è probabile che un aggressore intraprenda azioni che si discostano dalla norma nel corso del raggiungimento dei suoi obiettivi. Per esempio, una violazione dei dati non può essere effettuata senza accedere ai dati, e il ransomware comporta un gran numero di operazioni sui file. Una soluzione UEBA può identificare e segnalare queste attività devianti, consentendo alle organizzazioni di rilevare gli attacchi in assenza di malware o contenuti dannosi.
Vantaggi UEBA
L'UEBA offre numerosi vantaggi al centro operativo di sicurezza (SOC) di un'organizzazione, tra cui i seguenti:
- Rilevamento ampio delle minacce: UEBA identifica le minacce cercando le deviazioni dal comportamento normale. Questo le consente di identificare un'ampia gamma di minacce, comprese quelle che non utilizzano malware o contenuti dannosi.
- Analisi automatizzata: UEBA raccoglie e analizza automaticamente grandi volumi di dati per costruire il suo modello e rilevare eventi anomali. Questo fornisce un contesto prezioso senza che gli analisti della sicurezza debbano eseguire questa analisi.
- Sicurezza migliorata: L'UEBA ha la capacità di identificare le minacce interne e altri rischi che sono più difficili da rilevare con altre soluzioni di sicurezza. Di conseguenza, riduce il rischio di cyberattacco dell'organizzazione.
UEBA contro NTA
L'UEBA e l'analisi del traffico di rete (NTA) - definita anche come rilevamento e risposta di rete (NDR) - possono entrambe identificare alcune delle stesse minacce, ed entrambe utilizzano tecniche simili, come l'apprendimento automatico e l'analisi dei dati. Tuttavia, non sono la stessa soluzione. Ad esempio, l'NTA può fornire una visibilità più ampia sugli eventi della rete di un'organizzazione, non solo su quelli etichettati come anomali. D'altra parte, le soluzioni UEBA forniscono visibilità sugli eventi locali del dispositivo monitorato, mentre l'NTA ha visibilità solo sugli eventi a livello di rete.
UEBA vs. SIEM
Le soluzioni UEBA e di gestione delle informazioni e degli eventi di sicurezza (SIEM) utilizzano entrambe l'apprendimento automatico e l'analisi dei dati per identificare le minacce. Tuttavia, si tratta di soluzioni diverse, progettate per identificare diversi tipi di minacce.
In generale, le soluzioni SIEM sono più capaci di identificare minacce meno sofisticate e una tantum e si concentrano sulla gestione della sicurezza. Tuttavia, potrebbero non avere visibilità sulle campagne di attacco più sofisticate e sottili.
Le soluzioni UEBA, invece, si concentrano maggiormente sulla costruzione di profili di utenti e dispositivi e sulla ricerca di deviazioni da questi profili. Ciò consente loro di identificare gli attacchi più sottili e di rilevare le minacce interne che un SIEM potrebbe non notare.
UEBA con Infinity XDR
Una soluzione UEBA fornisce preziose funzionalità che integrano altre soluzioni nello stack di sicurezza di un'organizzazione. Rilevando e segnalando i comportamenti anomali che potrebbero essere collegati a un potenziale attacco, l'UEBA consente al team di sicurezza di un'organizzazione di rilevare le minacce interne e altri attacchi che potrebbero essere ignorati da altre soluzioni focalizzate sull'identificazione e il blocco di contenuti dannosi.
Le funzionalità UEBA devono far parte di una piattaforma di sicurezza integrata aziendale. Check Point Infinity XDR (rilevamento e risposta estesi) offre UEBA insieme a una serie di altre funzionalità di sicurezza. Scopri l'intera gamma di funzionalità di Infinity XDR in questo prospetto informativo della soluzione. Quindi, per saperne di più su come Infinity XDR può aiutarti a proteggere la tua organizzazione dalle minacce alla sicurezza avanzate, iscriviti oggi stesso per una demo gratuita.
Feedback