Сајбер безбедност постаје све важнија за предузећа свих величина. Сада је уобичајено да чак и мале компаније користе мноштво алата као што су СИЕМ-ови, заштитни зидови и ВПН-ови за заштиту од упада.
Хакери, међутим, постају све софистициранији. Њихов успех зависи од њихове способности да спроводе нападе, а да их такви алати не открију. И често им у томе полази за руком. Једно потенцијално решење за ово је познато као Аналитика понашања корисника и ентитета.
Дакле, шта је УЕБА и да ли је ваше предузеће треба да користи? Хајде да сазнамо у наставку.
Шта је аналитика понашања корисника и ентитета?
УЕБА је решење за сајбер безбедност које користи велике скупове података за моделирање мрежне активности. Анализира и кориснике мреже и саму мрежу, као што су рутери и ИоТ уређаји. Затим тражи сумњиву активност и упозорава предузеће сваки пут када се таква активност открије.
То постиже стварањем основне линије како изгледа нормална активност на мрежи. Затим користи машинско учење да аутоматски открије абнормално понашање.
Популарно је јер су многи производи за сајбер безбедност обучени да првенствено траже малвер. Хакери могу победити такав софтвер тако што ће ући у мрежу и једноставно не инсталирати злонамерне датотеке.
За разлику од овога, УЕБА може тражити било шта ненормално. Ово му омогућава да открије софистицираније нападе који се не подударају са познатим претњама.
Како УЕБА ради?
УЕБА решења обично имају три примарне компоненте: аналитику, интеграцију и презентацију. Погледајмо их укратко:
Аналитика
УЕБА анализира понашање свих корисника мреже и уређаја. То ствара основну линију која илуструје како мрежа изгледа када се напад не дешава. Статистички модели се затим користе за одређивање када се корисник или уређај понаша на начин на који не би требало.
Интеграција
УЕБА решења су обично дизајнирана за интеграцију са другим безбедносним софтвером. Ваше предузеће вероватно већ прати понашање мреже, а ваш УЕБА производ би требало да буде у могућности да аутоматски прикупља податке из таквих производа.
Презентација
УЕБА обично не предузима мере против претњи. Уместо тога, дизајниран је да своје податке представи ИТ особљу ради даље истраге. Ово може бити једноставно као слање упозорења. Али многи УЕБА производи такође производе графиконе и друге статистичке податке које особље може да користи за обављање додатних анализа.
Од чега УЕБА штити?
УЕБА може да заштити од разних претњи које други безбедносни производи можда не могу. Хајде да видимо шта су они, хоћемо ли?
Инсајдерске претње
Сигурносни софтвер је често тежак открити инсајдерске претње. Иако СИЕМ може лако да открије упад у мрежу, можда неће открити да неко већ унутар мреже ради нешто што не би требало. Правилно конфигурисана УЕБА ће разумети како се корисници нормално понашају и требало би да генерише упозорење ако корисник почне да ради нешто друго.
Компромитовани кориснички налози
Ако се корисник понаша ненормално, то није увек узроковано инсајдерском претњом. То такође може значити да је нападач украо кориснички налог. Запослени у предузећима су редовно на мети пхисхинг-а, и компромитоване корисничке налоге су стога уобичајена појава. УЕБА може да открије састављене налоге чим нападач почне да ради нешто необично.
Ескалација привилегија
Ескалација привилегија се дешава када се кориснику дају додатне привилегије за приступ другим деловима мреже. Ово је нешто од чега би хакер имао користи. УЕБА се може подесити да детектује сваки пут када се привилегије корисника повећају и шаље упозорење на истрагу.
Бруте Форце Аттацкс
Напади грубе силе укључују поновљене покушаје приступа корисничким налозима и мрежама. Пошто ово очигледно није у оквиру нормалног понашања, УЕБА га лако може открити. У овом сценарију, УЕБА може да генерише упозорење или се може подесити да аутоматски избаци нападача.
Ограничени приступ информацијама
УЕБА може да надгледа ко приступа поверљивим информацијама. Стога може спречити кршење података генерисањем упозорења кад год корисник приступи нечему што није потребно за њихов рад.
УЕБА вс. СИЕМ
Алати за безбедносне информације и управљање догађајима су слични УЕБА-и, али нису сасвим исти. СИЕМ алати такође анализирају мрежу и генеришу упозорења кад год се открије сумњива активност.
Разлика је у томе што СИЕМ генерише упозорење само када нападач уради нешто за шта се зна да је злонамерно. Дакле, ако је нападач опрезан, и даље може ући у мрежу и избећи откривање.
УЕБА је дизајнирана да открива нападе, не због злонамерног понашања, већ због понашања које је ван норме. Ово му омогућава да открије нападе који не одговарају ниједној познатој претњи.
Многи СИЕМ алати сада укључују УЕБА из тог разлога, али већина не.
Да ли сва предузећа треба да користе УЕБА?
Сва предузећа би требало да размотре коришћење УЕБА решења, али као и многа нова решења за сајбер безбедност, неопходно је одмерити предности и недостатке пре него што га примените.
УЕБА је у стању да открије претње које СИЕМ не би. Такође је способан да ухвати претње које безбедносно особље може пропустити. У ову додатну заштиту често вреди улагати, с обзиром на губитке настале након успешног сајбер напада.
УЕБА решења такође пружају аутоматизовану заштиту. Ово може омогућити предузећу да има мање одељење за сајбер безбедност и, сходно томе, обезбеди значајне уштеде на платама.
Лоша страна УЕБА-е је што је скупа за имплементацију. То може бити ван буџета многих малих предузећа, иако није стриктно неопходно. Имплементација УЕБА решења ће такође захтевати да особље буде обучено да га користи, додајући додатне трошкове.
УЕБА такође није одговарајућа замена за друге производе за сајбер безбедност. Иако СИЕМ производ може да садржи УЕБА, УЕБА није замена за СИЕМ или било које друге безбедносне производе које предузеће већ има.
УЕБА нуди врхунску заштиту
УЕБА производи нуде значајно побољшање у односу на стандардне СИЕМ производе и способни су да идентификују претње које би иначе остале неоткривене. Док се СИЕМ често бори са инсајдерским претњама, УЕБА може аутоматски да открије необичну мрежну активност овлашћених корисника.
Да ли је УЕБА права за ваше пословање зависи од вашег буџета за сајбер безбедност. Иако је УЕБА супериорна, висока цена инсталације и чињеница да не замењује друге производе је очигледан недостатак.