Wat is UEBA

Om te beginnen even uitleggen waar het voor staat; UEBA staat voor User and Entity Behavior Analytics.

UEBA-oplossingen bouwen profielen die standaardgedrag modelleren voor gebruikers en entiteiten in een IT-omgeving, zoals servers, routers en gegevensopslagplaatsen. Dit staat bekend als baselining. Met behulp van een verscheidenheid aan analysetechnieken kan de UEBA-technologie activiteit identificeren die afwijkend is van de vastgestelde baselines, bedreigingen ontdekken en beveiligingsincidenten detecteren.

Drie pijlers van UEBA

Gartner definieert UEBA-oplossingen in drie dimensies: 

Use cases: UEBA-oplossingen bieden informatie over het gedrag van gebruikers en andere entiteiten in het bedrijfsnetwerk. Ze moeten afwijkingen monitoren, opsporen en waarschuwen. En ze zouden toepasbaar moeten zijn voor meerdere gebruiksscenario’s – in tegenstelling tot gespecialiseerde tools voor monitoring van medewerkers, monitoring van betrouwbare hosts, fraude, enzovoort. 

Gegevensbronnen: UEBA-oplossingen kunnen gegevens opnemen uit een algemene gegevensrepository, zoals een datameer of datawarehouse, of via een SIEM. Ze mogen geen agents rechtstreeks in de IT-omgeving inzetten om de gegevens te verzamelen. 

Analytics: UEBA-oplossingen detecteren afwijkingen met behulp van een verscheidenheid aan analytische benaderingen: statistische modellen, machine learning, regels, handtekeningen van bedreigingen en meer.

Er is een nauwe relatie tussen UEBA- en SIEM-technologieën, omdat UEBA vertrouwt op organisatorische beveiligingsgegevens om de analyses uit te voeren, en deze gegevens worden doorgaans verzameld en opgeslagen door een SIEM.

In Gartners visie van een SIEM-oplossing van de volgende generatie, moet een SIEM ingebouwde UEBA-functionaliteit bevatten. Het rapport noemt het volgende als kritieke mogelijkheden van een moderne SIEM:

  1. User monitoring, inclusief baselining en geavanceerde analyses om toegangs- en authenticatie gegevens te analyseren, gebruikerscontext vast te stellen en verdacht gedrag te rapporteren.
  2. Advanced Analytics, het toepassen van geavanceerde statistische en kwantitatieve modellen, zoals machine learning en deep learning, op beveiligingslogboeken en gebeurtenisgegevens om afwijkende activiteiten te detecteren. Geavanceerde analyses moeten een aanvulling vormen op de traditionele regel en op correlatie gebaseerde analyses die beschikbaar zijn in traditionele SIEM’s.

UEBA-analysemethoden

Sommige UEBA-oplossingen vertrouwen op traditionele methoden om verdachte activiteiten te identificeren. Dit kunnen handmatig gedefinieerde regels, correlaties tussen beveiligingsgebeurtenissen en bekende aanvalspatronen zijn. De beperking van traditionele technieken is dat ze zo goed zijn als de regels die zijn gedefinieerd door beveiligingsbeheerders, en niet kunnen worden aangepast aan nieuwe soorten bedreigingen of systeemgedrag.

Geavanceerde analyse, het kenmerk van UEBA-tools, omvat verschillende moderne technologieën die kunnen helpen bij het identificeren van abnormaal gedrag, zelfs als er geen bekende patronen zijn:

Supervised machine learning – sets van bekend goed gedrag en bekend slecht gedrag worden in het systeem ingevoerd. De tool leert nieuw gedrag te analyseren en te bepalen of het “vergelijkbaar” is met het bekende goede of bekende slechte gedrag.

Bayesiaanse netwerken – kunnen machinaal leren onder supervisie en regels combineren om gedragsprofielen te creëren.

Unsupervised learning – het systeem leert normaal gedrag en is in staat abnormaal gedrag te detecteren en hierop te waarschuwen. Het zal niet kunnen zeggen of het abnormale gedrag goed of slecht is, alleen dat het afwijkt van normaal.

Versterkt / semi-supervised machine learning – een hybride model waarbij de basis wordt gevormd door onbewaakt leren, en de daadwerkelijke alarmresoluties worden teruggevoerd naar het systeem om fijnafstemming van het model mogelijk te maken en de signaal-ruisverhouding te verminderen.

Deep learning – maakt triage en onderzoek van virtuele alarmen mogelijk. Het systeem traint op datasets die beveiligingswaarschuwingen en hun triage-uitkomsten vertegenwoordigen, voert zelfidentificatie van functies uit en kan triage-resultaten voorspellen voor nieuwe sets beveiligingswaarschuwingen.

Traditionele analysetechnieken zijn deterministisch, in de zin dat als aan bepaalde voorwaarden werd voldaan, er een waarschuwing werd gegenereerd en zo niet, dan ging het systeem ervan uit dat “alles in orde is”. De hierboven genoemde geavanceerde analysemethoden verschillen in die zin dat ze heuristisch zijn. Ze berekenen een risicoscore, wat een kans is dat een gebeurtenis een anomalie of beveiligingsincident vertegenwoordigt. Wanneer de risicoscore een bepaalde drempel overschrijdt, creëert het systeem een ​​beveiligingswaarschuwing.

Hoe UEBA werkt

Holistische analyse over meerdere gegevensbronnen

De echte kracht van een UEBA-oplossing ligt in het vermogen om organisatorische grenzen, IT-systemen en gegevensbronnen te doorbreken en alle gegevens te analyseren die beschikbaar zijn voor een specifieke gebruiker of entiteit.

Een UEBA moet zoveel mogelijk gegevensbronnen analyseren, enkele voorbeeldgegevensbronnen zijn onder meer:

  • Authenticatiesystemen zoals Active Directory
  • Toegang tot systemen zoals VPN en proxy’s
  • Databases voor configuratiebeheer
  • HR-gegevens: nieuwe werknemers, vertrokken werknemers en alle gegevens die extra context over gebruikers bieden
  • Firewall-, inbraakdetectie- en preventiesystemen (IDPS)
  • Antimalware- en antivirussystemen
  • Endpoint Detection and Response-systemen
  • Network Traffic Analytics
  • Threat Intelligence feeds

Een UEBA-oplossing moet bijvoorbeeld ongebruikelijke login via Active Directory kunnen identificeren, ernaar kunnen verwijzen met de kritiek van het apparaat waarop wordt ingelogd, de gevoeligheid van de bestanden waartoe toegang is verkregen en recente ongebruikelijke netwerk- of malwareactiviteiten die mogelijk een compromis hebben veroorzaakt. 

Wil je meer weten over hoe Track42 je kan helpen om UEBA te integreren in je huidige (dus boven je bestaande software oplossingen) of nieuwe SOC, neem dan eens contact met ons op!