Systemy UEBA

Hakerzy potrafią złamać najlepsze zabezpieczenia, wysłać e-maile z zawirusowanymi załącznikami, a nawet przekupić pracowników. Wszystko po to, by uzyskać nieautoryzowany dostęp do poufnych danych. Dotychczasowe systemy i narzędzia szybko stają się przestarzałe i trzeba szukać nowych sposobów na ochronę systemów informatycznych.

User and entity behavior analytics (UEBA) to narzędzia analizujące zachowania użytkownika i urządzeń. Systemy UEBA potrafią wcześnie wykryć nieprawidłowości w standardowo wykonywanych w sieci aktywnościach, a tym samym rozpoznać zagrożenia już na etapie przygotowywania do ataku.

Czym jest UEBA?

UEBA jest narzędziem, które w procesie ochrony danych bierze pod lupę typowe zachowania użytkowników i wykrywa wszelkie anomalie. Wykorzystuje do tego uczenie maszynowe, algorytmy i analizę statystyczną. Na przykład jeżeli dany użytkownik regularnie pobiera 10MB danych dziennie, a nagle ta liczba radykalnie rośnie, system będzie w stanie szybko to wykryć i ostrzec administratora przed potencjalnym zagrożeniem. UEBA może również agregować zebrane dane, a także analizować informacje o plikach oraz przepływie i pakietach danych.

Narzędzia UEBA nie śledzą incydentów bezpieczeństwa ani nie monitorują urządzeń. Zamiast tego, koncentrują się na zagrożeniach wewnętrznych ze strony pracowników, którzy sami spowodowali lub zostali nieświadomie narażeni na ataki oraz na osobach, które już wyłudziły dostęp do systemu i przeprowadzają ukierunkowane próby oszustwa i wyłudzenia. Ponadto chronią i monitorują serwery, aplikacje i urządzenia peryferyjne działające w ramach systemu informatycznego.

Korzyści z wdrożenia UEBA

Niestety obecnie narzędzia do ochrony danych przed cyberprzestępcami bardzo szybko stają się przestarzałe, a doskonale wykwalifikowani hakerzy coraz łatwiej omijają popularne zabezpieczenia, z których korzysta większość firm. Kiedyś wystarczyły firewalle, filtry ruchu www i systemy IPS (Intrusion Prevention Systems). Dziś środowiska informatyczne podlegają dużo bardziej złożonym zagrożeniom. W rezultacie zwykłe środki zapobiegawcze nie są już wystarczające. Firewalle nie są już 100% niezawodne, a hakerzy w ten, czy inny sposób dostaną się do każdego systemu informatycznego. Z tego względu należy położyć nacisk na to, żeby być w stanie sprawnie wykrywać ich obecność i minimalizować szkody.

Jak działa UEBA?

Koncepcja działania narzędzi UEBA jest bardzo prosta. Opiera się na założeniu, że jest stosunkowo łatwo ukraść nazwę użytkownika i hasło, jednak o wiele trudniej jest naśladować naturalne zachowanie tej osoby w sieci. System UEBA wykrywa zmiany w zachowaniu użytkowników i natychmiast alarmuje o nich administratora.

W związku z tym, UEBA jest bardzo ważnym elementem zabezpieczenia systemu IT, umożliwiającym:

- wykrywanie zagrożeń ze strony insiderów, czyli osób, które posiadają autoryzowany dostęp do danych. Nietrudno wyobrazić sobie pracownika lub grupę pracowników, którzy wykradają poufne informacje korzystając z własnych uprawnień. UEBA pomaga w wykryciu naruszeń danych, sabotażu, nadużyć w zakresie uprawnień oraz naruszeń zasad bezpieczeństwa popełnionych przez własnych pracowników. Więcej o zagrożeniach ze strony pracowników przeczytacie tutaj.

- wykrywanie skompromitowanych kont. Zdarza się, że konta użytkowników są zhakowane wskutek instalacji złośliwego oprogramowania lub sfałszowania konta. UEBA pomaga wyeliminować sfałszowanych i zagrożonych użytkowników zanim uda im się wyrządzić prawdziwą szkodę.

- wykrywanie ataków typu brute-force. Hakerzy podejmują próby pozyskania haseł i PINów, by złamać zabezpieczenia szyfrowanych danych. Dzięki UEBA można szybko udaremnić atak brute-force blokując dostęp do zaatakowanych plików.

- wykrywanie zmian w uprawnieniach i eskalowania uprawnień. UEBA pozwala wykrywać tworzenie kont z wyeskalowanymi uprawnieniami oraz nieautoryzowanych zmian w uprawnieniach już istniejących użytkowników.

- wykrywanie naruszeń chronionych danych. Danym nie wystarczy zapewnić bezpieczeństwa. Należy monitorować każdy dostęp do nich oraz upewnić się, że każde wykorzystanie poufnych informacji i plików ma uzasadniony powód biznesowy.

UEBA a DLP

Ostatnio pisaliśmy o zaletach systemów DLP, które służą do zabezpieczania danych. Czy się różnią od rozwiązań UEBA i które wybrać?

Oba rozwiązania służą do zapewnienia bezpieczeństwa firmowym danym, jednak każde z nich działa w inny sposób. Systemy DLP, zorientowane na monitoringu samych danych, są w stanie odpowiedzieć czy wyciek danych już nastąpił. Natomiast UEBA rozpoznaje zachowania, które mogą świadczyć o tym, że atak jest dopiero przygotowywany. Jedną z najlepszych praktyk w zakresie bezpieczeństwa IT jest inwestowanie w dynamiczne systemy ochrony danych łączące rozwiązania DLP i UEBA, aby mieć lepsze zabezpieczenia i możliwości wykrywania zagrożeń.