การละเมิดความปลอดภัยกลายเป็นเรื่องปกติมากขึ้นในโลกดิจิทัล UEBA ช่วยให้องค์กรตรวจจับและตอบสนองต่อเหตุการณ์เหล่านี้
User and Entity Behavior Analytics (UEBA) เดิมเรียกว่า User Behavior Analytics (UBA) เป็นโซลูชันการรักษาความปลอดภัยทางไซเบอร์ที่ใช้การวิเคราะห์เพื่อทำความเข้าใจว่าผู้ใช้ (มนุษย์) และเอนทิตี (อุปกรณ์และเซิร์ฟเวอร์ในเครือข่าย) ในองค์กรโดยทั่วไปมีพฤติกรรมอย่างไรในการตรวจจับและตอบสนองต่อกิจกรรมที่ผิดปกติในแบบเรียลไทม์
UEBA สามารถระบุและแจ้งเตือนนักวิเคราะห์ด้านความปลอดภัยเกี่ยวกับการเปลี่ยนแปลงที่มีความเสี่ยงและพฤติกรรมที่น่าสงสัย ซึ่งอาจบ่งบอกถึง:
- การเคลื่อนไหวด้านข้าง
- การละเมิดบัญชีพิเศษ
- การเพิ่มสิทธิพิเศษ
- การประนีประนอมข้อมูลประจำตัวหรือ
- ภัยคุกคามจากวงใน
UEBA ยังประเมินระดับภัยคุกคามเพิ่มเติมและให้คะแนนความเสี่ยงที่สามารถช่วยสร้างการตอบสนองที่เหมาะสม
อ่านต่อเพื่อเรียนรู้เกี่ยวกับวิธีการทำงานของ UEBA เหตุใดองค์กรต่างๆ จึงเปลี่ยนมาใช้ UEBA องค์ประกอบหลักของ UEBA บทบาทของ UEBA ในการตอบสนองต่อเหตุการณ์ และแนวทางปฏิบัติที่ดีที่สุดของ UEBA
การวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตีทำงานอย่างไร
การวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตี ขั้นแรกจะรวบรวมข้อมูลเกี่ยวกับพฤติกรรมที่คาดหวังของบุคคลและเครื่องจักรในองค์กรของคุณจากที่เก็บข้อมูล เช่น data lake คลังข้อมูล หรือผ่าน SIEM
จากนั้น UEBA จะใช้วิธีการวิเคราะห์ขั้นสูงในการประมวลผลข้อมูลนี้เพื่อระบุและกำหนดบรรทัดฐานของรูปแบบพฤติกรรมเพิ่มเติม: ที่พนักงานเข้าสู่ระบบ ระดับสิทธิ์ ไฟล์ เซิร์ฟเวอร์ที่เข้าถึงบ่อย เวลาและความถี่ของการเข้าถึง และอุปกรณ์ที่พวกเขาใช้สำหรับ เข้าถึง.
จากนั้น UEBA จะตรวจสอบกิจกรรมของผู้ใช้และเอนทิตีอย่างต่อเนื่อง เปรียบเทียบกับพฤติกรรมพื้นฐาน และตัดสินใจว่าการกระทำใดที่อาจส่งผลให้เกิดการโจมตี
UEBA สามารถทราบได้ว่าเมื่อใดที่ผู้ใช้ทำกิจกรรมตามปกติและเมื่อเกิดการโจมตีขึ้น แม้ว่าแฮ็กเกอร์อาจสามารถเข้าถึงรายละเอียดการเข้าสู่ระบบของพนักงานได้ แต่พวกเขาจะไม่สามารถเลียนแบบกิจกรรมและพฤติกรรมปกติของพวกเขาได้
โซลูชัน UEBA มีองค์ประกอบหลักสามส่วน:
การวิเคราะห์ข้อมูล: UEBA รวบรวมและจัดระเบียบข้อมูลของผู้ใช้และเอนทิตีเพื่อสร้างโปรไฟล์มาตรฐานของการกระทำโดยทั่วไปของผู้ใช้แต่ละคน จากนั้น แบบจำลองทางสถิติจะถูกกำหนดและนำไปใช้เพื่อตรวจจับกิจกรรมที่ผิดปกติและแจ้งเตือนทีมรักษาความปลอดภัย
การรวมข้อมูล: เพื่อให้ระบบมีความยืดหยุ่นมากขึ้น UEBA จะเปรียบเทียบข้อมูลที่ได้รับจากแหล่งต่างๆ เช่น บันทึกของระบบ ข้อมูลการดักจับแพ็กเก็ต และชุดข้อมูลอื่นๆ กับข้อมูลที่รวบรวมจากระบบรักษาความปลอดภัยที่มีอยู่
การนำเสนอข้อมูล: กระบวนการที่ระบบ UEBA สื่อสารสิ่งที่ค้นพบและการตอบสนองที่เหมาะสม โดยทั่วไปกระบวนการนี้เกี่ยวข้องกับการออกคำขอให้นักวิเคราะห์ความปลอดภัยตรวจสอบพฤติกรรมที่ผิดปกติ
บทบาทของ UEBA ในการตอบสนองต่อเหตุการณ์
การวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตีใช้การเรียนรู้ของเครื่องและการเรียนรู้เชิงลึกเพื่อตรวจสอบและวิเคราะห์พฤติกรรมตามปกติของมนุษย์และเครื่องจักรในองค์กรของคุณ
หากมีการเบี่ยงเบนจากรูปแบบปกติ ระบบ UEBA จะตรวจจับและทำการวิเคราะห์ที่กำหนดว่าพฤติกรรมที่ผิดปกตินั้นก่อให้เกิดภัยคุกคามจริงหรือไม่
UEBA นำเข้าข้อมูลจากแหล่งบันทึกต่างๆ เช่น ฐานข้อมูล, Windows AD, VPN, พร็อกซี, ตราสัญลักษณ์, ไฟล์ และจุดสิ้นสุดเพื่อทำการวิเคราะห์นี้ การใช้อินพุตและพฤติกรรมที่เรียนรู้เหล่านี้ UEBA สามารถหลอมรวมข้อมูลเพื่อสร้างคะแนนสุดท้ายสำหรับการจัดอันดับความเสี่ยง และส่งรายงานโดยละเอียดไปยังนักวิเคราะห์ความปลอดภัย
ตัวอย่างเช่น UEBA สามารถดูพนักงานที่เข้ามาทำงานผ่าน VPN จากแอฟริกาเป็นครั้งแรก เพียงเพราะพฤติกรรมของพนักงานผิดปกติไม่ได้หมายความว่าเป็นภัยคุกคาม ผู้ใช้อาจแค่กำลังเดินทาง อย่างไรก็ตาม หากพนักงานคนเดียวกันในแผนกทรัพยากรบุคคลเข้าถึงเครือข่ายย่อยทางการเงินโดยฉับพลัน UEBA จะรับรู้กิจกรรมของพนักงานว่าน่าสงสัยและแจ้งเตือนทีมรักษาความปลอดภัย
นี่เป็นอีกสถานการณ์ที่เกี่ยวข้องกัน
แฮร์รี พนักงานที่โรงพยาบาลเมานต์ซีนายในนิวยอร์ก กำลังหมดหวังเรื่องเงิน ในวันนี้ แฮรี่รอให้ทุกคนออกจากออฟฟิศ จากนั้นจึงดาวน์โหลดข้อมูลที่ละเอียดอ่อนของผู้ป่วยลงในอุปกรณ์ USB เวลา 19.00 น. เขาตั้งใจที่จะขายข้อมูลที่ถูกขโมยไปในตลาดมืดด้วยเงินดอลลาร์ที่สูง
โชคดีที่ Mount Sinai Hospital ใช้โซลูชัน UEBA ซึ่งตรวจสอบพฤติกรรมของผู้ใช้ทุกคนและนิติบุคคลภายในเครือข่ายโรงพยาบาล
แม้ว่า Harry จะได้รับอนุญาตให้เข้าถึงข้อมูลของผู้ป่วย แต่ระบบ UEBA จะเพิ่มคะแนนความเสี่ยงของเขาเมื่อตรวจพบการเบี่ยงเบนจากกิจกรรมปกติของเขา ซึ่งโดยทั่วไปเกี่ยวข้องกับการดู สร้าง และแก้ไขบันทึกของผู้ป่วยระหว่างเวลา 9.00 น. ถึง 17.00 น.
เมื่อแฮรี่พยายามเข้าถึงข้อมูลในเวลา 19.00 น. ระบบจะระบุรูปแบบและความผิดปกติของเวลาและกำหนดคะแนนความเสี่ยง
คุณสามารถตั้งค่าระบบ UEBA ของคุณเพื่อสร้างการแจ้งเตือนสำหรับทีมรักษาความปลอดภัยเพื่อแนะนำการตรวจสอบเพิ่มเติม หรือคุณสามารถตั้งค่าให้ดำเนินการทันที เช่น ปิดการเชื่อมต่อเครือข่ายโดยอัตโนมัติสำหรับพนักงานคนนั้นเนื่องจากสงสัยว่ามีการโจมตีทางไซเบอร์
ฉันต้องการโซลูชัน UEBA หรือไม่
โซลูชัน UEBA เป็นสิ่งจำเป็นสำหรับองค์กรต่างๆ เนื่องจากแฮ็กเกอร์กำลังทำการโจมตีที่ซับซ้อนมากขึ้น ซึ่งตรวจจับได้ยากขึ้นเรื่อยๆ โดยเฉพาะอย่างยิ่งในกรณีที่ภัยคุกคามมาจากภายใน
จากสถิติความปลอดภัยทางไซเบอร์ล่าสุดพบว่า มากกว่า 34% ของบริษัทต่าง ๆ ได้รับผลกระทบจากภัยคุกคามจากวงในทั่วโลก นอกจากนี้ 85% ของธุรกิจกล่าวว่าเป็นการยากที่จะประเมินต้นทุนที่แท้จริงของการโจมตีจากคนวงใน
ด้วยเหตุนี้ ทีมรักษาความปลอดภัยจึงเปลี่ยนไปสู่แนวทางการตรวจจับและการตอบสนองเหตุการณ์ (IR) ที่ใหม่กว่า เพื่อสร้างสมดุลและเพิ่มระบบรักษาความปลอดภัย นักวิเคราะห์ความปลอดภัยจึงผสานรวมเทคโนโลยีต่างๆ เช่น การวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตี (UEBA) เข้ากับ SIEM แบบเดิมและระบบป้องกันแบบเดิมอื่นๆ
UEBA มอบระบบตรวจจับภัยคุกคามภายในที่มีประสิทธิภาพมากกว่าเมื่อเทียบกับโซลูชันความปลอดภัยแบบดั้งเดิมอื่นๆ มันไม่เพียงเฝ้าติดตามพฤติกรรมที่ผิดปกติของมนุษย์เท่านั้น แต่ยังติดตามการเคลื่อนไหวด้านข้างที่น่าสงสัยด้วย UEBA ยังติดตามกิจกรรมบนบริการคลาวด์ อุปกรณ์เคลื่อนที่ และอุปกรณ์ Internet of Things ของคุณอีกด้วย
ระบบ UEBA ที่ซับซ้อนจะดึงข้อมูลจากแหล่งบันทึกต่างๆ ทั้งหมด และสร้างรายงานโดยละเอียดเกี่ยวกับการโจมตีสำหรับนักวิเคราะห์ความปลอดภัยของคุณ สิ่งนี้ช่วยทีมรักษาความปลอดภัยของคุณประหยัดเวลาในการตรวจสอบบันทึกจำนวนนับไม่ถ้วนเพื่อระบุความเสียหายที่แท้จริงเนื่องจากการโจมตี
ต่อไปนี้เป็นกรณีการใช้งานจำนวนมากของ UEBA
กรณีการใช้งาน 6 อันดับแรกของ UEBA
#1. UEBA ตรวจพบการละเมิดสิทธิ์ภายในเมื่อผู้ใช้ทำกิจกรรมที่มีความเสี่ยงนอกเหนือไปจากพฤติกรรมปกติที่กำหนดไว้
#2. UEBA รวบรวมข้อมูลที่น่าสงสัยจากแหล่งต่างๆ เพื่อสร้างคะแนนความเสี่ยงสำหรับการจัดอันดับความเสี่ยง
#3. UEBA ดำเนินการจัดลำดับความสำคัญของเหตุการณ์โดยลดผลบวกลวง ช่วยลดความล้าของการแจ้งเตือนและทำให้ทีมรักษาความปลอดภัยสามารถมุ่งเน้นไปที่การแจ้งเตือนที่มีความเสี่ยงสูงได้
#4. UEBA ป้องกันการสูญหายของข้อมูลและการกรองข้อมูล เนื่องจากระบบจะส่งการแจ้งเตือนเมื่อตรวจพบข้อมูลที่ละเอียดอ่อนถูกย้ายภายในเครือข่ายหรือถ่ายโอนออกจากเครือข่าย
#5. UEBA ช่วยตรวจจับการเคลื่อนไหวด้านข้างของแฮ็กเกอร์ภายในเครือข่ายที่อาจขโมยข้อมูลรับรองการเข้าสู่ระบบของพนักงาน
#6. นอกจากนี้ UEBA ยังให้การตอบกลับเหตุการณ์โดยอัตโนมัติ ทำให้ทีมรักษาความปลอดภัยสามารถตอบสนองต่อเหตุการณ์ด้านความปลอดภัยได้แบบเรียลไทม์
UEBA ปรับปรุง UBA และระบบรักษาความปลอดภัยเดิมเช่น SIEM อย่างไร
UEBA ไม่ได้แทนที่ระบบความปลอดภัยอื่น ๆ แต่แสดงถึงการปรับปรุงที่สำคัญที่ใช้ควบคู่ไปกับโซลูชั่นอื่น ๆ เพื่อความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพมากขึ้น UEBA แตกต่างจากการวิเคราะห์พฤติกรรมผู้ใช้ (UBA) ตรงที่ UEBA มี “เอนทิตี” และ “เหตุการณ์” เช่น เซิร์ฟเวอร์ เราเตอร์ และจุดสิ้นสุด
โซลูชัน UEBA นั้นครอบคลุมมากกว่า UBA เนื่องจากตรวจสอบกระบวนการที่ไม่ใช่มนุษย์และเอนทิตีของเครื่องจักรเพื่อระบุภัยคุกคามที่แม่นยำยิ่งขึ้น
SIEM ย่อมาจากข้อมูลความปลอดภัยและการจัดการเหตุการณ์ SIEM แบบดั้งเดิมอาจไม่สามารถตรวจจับภัยคุกคามที่ซับซ้อนได้ด้วยตัวเอง เนื่องจากไม่ได้ออกแบบมาให้ตรวจสอบภัยคุกคามแบบเรียลไทม์ และเมื่อพิจารณาว่าแฮ็กเกอร์มักจะหลีกเลี่ยงการโจมตีเพียงครั้งเดียวแบบง่ายๆ และเข้าร่วมในการโจมตีที่ซับซ้อนอย่างต่อเนื่อง พวกเขาสามารถตรวจไม่พบโดยเครื่องมือตรวจจับภัยคุกคามแบบดั้งเดิม เช่น SIEM เป็นเวลาหลายสัปดาห์หรือหลายเดือน
โซลูชัน UEBA ที่ซับซ้อนช่วยแก้ไขข้อจำกัดนี้ได้ ระบบ UEBA วิเคราะห์ข้อมูลที่จัดเก็บโดย SIEM และทำงานร่วมกันเพื่อตรวจสอบภัยคุกคามแบบเรียลไทม์ ช่วยให้คุณตอบสนองต่อการละเมิดได้อย่างรวดเร็วและง่ายดาย
ดังนั้น ด้วยการรวมเครื่องมือ UEBA และ SIEM เข้าด้วยกัน องค์กรต่างๆ จึงสามารถตรวจจับและวิเคราะห์ภัยคุกคามได้อย่างมีประสิทธิภาพมากขึ้น ระบุช่องโหว่ได้อย่างรวดเร็ว และหลีกเลี่ยงการโจมตีได้
แนวทางปฏิบัติที่ดีที่สุดสำหรับการวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตี
ต่อไปนี้คือแนวทางปฏิบัติที่ดีที่สุด 5 ข้อสำหรับการวิเคราะห์พฤติกรรมผู้ใช้ที่ให้ข้อมูลเชิงลึกเกี่ยวกับสิ่งที่ต้องทำเมื่อสร้างพื้นฐานสำหรับพฤติกรรมของผู้ใช้
#1. กำหนดกรณีการใช้งาน
กำหนดกรณีการใช้งานที่คุณต้องการให้โซลูชัน UEBA ของคุณระบุ สิ่งเหล่านี้อาจเป็นการตรวจหาการละเมิดบัญชีที่มีสิทธิพิเศษ การบุกรุกข้อมูลประจำตัว หรือการคุกคามจากวงใน การกำหนดกรณีการใช้งานช่วยให้คุณกำหนดได้ว่าข้อมูลใดที่จะรวบรวมสำหรับการมอนิเตอร์
#2. กำหนดแหล่งข้อมูล
ยิ่งระบบ UEBA ของคุณสามารถจัดการประเภทข้อมูลได้มากเท่าใด พื้นฐานพื้นฐานก็จะยิ่งแม่นยำมากขึ้นเท่านั้น บางแหล่งข้อมูลรวมถึงบันทึกของระบบหรือข้อมูลทรัพยากรบุคคล เช่น ประวัติการปฏิบัติงานของพนักงาน
#3. กำหนดพฤติกรรมเกี่ยวกับข้อมูลที่จะเก็บรวบรวม
ซึ่งอาจรวมถึงชั่วโมงการทำงานของพนักงาน แอปพลิเคชันและอุปกรณ์ที่เข้าถึงบ่อย และจังหวะการพิมพ์ เมื่อใช้ข้อมูลนี้ คุณจะเข้าใจสาเหตุที่เป็นไปได้ของผลบวกลวงได้ดีขึ้น
#4. กำหนดระยะเวลาสำหรับการสร้างพื้นฐาน
เมื่อพิจารณาระยะเวลาของระยะเวลาพื้นฐาน สิ่งสำคัญคือต้องพิจารณาเป้าหมายด้านความปลอดภัยของธุรกิจและกิจกรรมของผู้ใช้
ระยะเวลาพื้นฐานไม่ควรสั้นหรือยาวเกินไป นี่เป็นเพราะคุณอาจไม่สามารถรวบรวมข้อมูลที่ถูกต้องได้หากคุณสิ้นสุดระยะเวลาพื้นฐานเร็วเกินไป ส่งผลให้เกิดผลบวกลวงในอัตราสูง ในทางกลับกัน กิจกรรมที่เป็นอันตรายบางอย่างอาจถูกส่งผ่านตามปกติหากคุณใช้เวลานานเกินไปในการรวบรวมข้อมูลพื้นฐาน
#5. อัปเดตข้อมูลพื้นฐานของคุณเป็นประจำ
คุณอาจต้องสร้างข้อมูลพื้นฐานของคุณใหม่เป็นประจำ เนื่องจากกิจกรรมของผู้ใช้และเอนทิตีเปลี่ยนแปลงตลอดเวลา พนักงานอาจได้รับการเลื่อนตำแหน่งและเปลี่ยนงานและโครงการ ระดับสิทธิพิเศษและกิจกรรม ระบบ UEBA สามารถตั้งค่าโดยอัตโนมัติเพื่อรวบรวมข้อมูลและปรับข้อมูลพื้นฐานเมื่อมีการเปลี่ยนแปลงเกิดขึ้น
คำสุดท้าย
เมื่อเราพึ่งพาเทคโนโลยีมากขึ้น ภัยคุกคามความปลอดภัยทางไซเบอร์ก็มีความซับซ้อนมากขึ้น องค์กรขนาดใหญ่ต้องรักษาความปลอดภัยให้กับระบบที่เก็บข้อมูลที่ละเอียดอ่อนของตนเองและไคลเอนต์เพื่อหลีกเลี่ยงการละเมิดความปลอดภัยขนาดใหญ่ UEBA เสนอระบบตอบสนองเหตุการณ์ตามเวลาจริงที่สามารถป้องกันการโจมตีได้
