Per definizione, User Behaviour Analytics (UBA) è un’attività di tracciamento, registrazione e analisi dei dati relativi alle attività degli utenti, finalizzata a identificare proattivamente comportamenti sospetti e minacce alla sicurezza. Le tecnologie UBA analizzano i log dei sistemi, delle applicazioni e dei device sottostanti e, grazie a potenti capacità di analisi, sono in grado di distinguere pattern comportamentali corretti (e quindi innocui) da quelli sospetti e che – in qualche modo – potrebbero mettere a rischio la sicurezza dei sistemi aziendali. Sotto questo profilo, parrebbero esserci delle analogie con l’attività dei sistemi SIEM, il cui ruolo è – semplificando – quello del monitoraggio evoluto dei sistemi, dei dispositivi di rete, delle applicazioni e degli apparati, cui far seguire una correlazione delle informazioni raccolte e identificare così segnali critici definiti da specifiche regole.
Il valore degli Analytics: dare un significato a comportamenti sconosciuti
Se SIEM lavora nel campo del noto, le soluzioni di User Behaviour Analytics operano in terreni inesplorati e senza precisi punti di riferimento. La forza di UBA sta proprio in questo, cioè nella capacità di identificare attività sospette e comportamenti anomali che fino a quel momento erano del tutto sconosciuti. La sua utilità è indubbia, soprattutto in un periodo storico in cui il concetto di data center diffuso impone una revisione pressoché totale delle logiche di sicurezza: oggi le aziende operano all’interno di perimetri fluidi, sfruttano infrastrutture ibride con componenti on-premise e cloud (privati e pubblici) e devono fare i conti con i nuovi paradigmi di agile working, con un’infinità di device da gestire e un incremento esponenziale di dati e applicazioni dipartimentali. Aumentano a dismisura gli account, le credenziali, gli accessi, i ruoli e i privilegi, rendendo estremamente complesso riuscire a monitorare tutto in modo efficiente ed efficace.
Inoltre, bisogna considerare anche un altro aspetto. Se è vero che gli attacchi dall’esterno sono in aumento, secondo Verizon (via: HPE) l’83% di tutti i data loss avviene con credenziali legittime. Questo rende ancor più importante l’analisi avanzata di tutti i comportamenti, unico modo possibile – al giorno d’oggi – per identificare attività a rischio a prescindere dall’account che le pone in essere, dal suo ruolo in azienda, dal suo storico e dai privilegi.
Come funzionano gli User Behaviour Analytics
Alla base delle soluzioni UBA c’è sempre la raccolta e la mappatura di vari tipi di dati. Il fondamento è la cosiddetta user activity, che comprende (potenzialmente) un’infinità di informazioni utili al sistema: informazioni di tipo transazionale, le risorse utilizzate dall’utente, la durata delle singole sessioni, informazioni geografiche sulla connessione e via dicendo.
Il primo compito di UBA, che a tal fine si avvale di tecniche di analisi dei Big Data e di Machine Learning, è l’identificazione di comportamenti “a norma” sulla base di quelli passati, del tipo di account, dei suoi diritti e autorizzazioni, nonché in base al confronto con quelli tenuti da altri user dello stesso gruppo. Ovviamente, lo scopo finale è rilevare anomalie significative rispetto ai comportamenti a norma identificati precedentemente. Non solo: il monitoraggio attivo e in real time degli eventi deve essere seguito da un’attività di risk scoring, che è fondamentale per ridurre il più possibile il numero di alert, portandolo ad una quantità gestibile dai team di sicurezza. Si comprende così la centralità delle tecniche di Machine Learning, che non si limitano a semplificare l’identificazione dei comportamenti anomali, ma riescono a dare priorità ai vari rischi e sono essenziali per ridurre i falsi positivi, permettendo ai security team di occuparsi solo dei casi più complessi e ad elevato indice di rischio. Sulla base di tutte queste rilevazioni, il sistema può poi rispondere ai vari alert in forma autonoma e meccanica o, più comunemente, segnalare le anomalie agli specialisti per permettere una risposta adeguata.
Alcune casistiche in cui UBA può fare la differenza sono: transazioni sospette, attività effettuata ad orari non comuni, trasferimenti di dati via e-mail su account personali, accessi in rapida successione da zone geografiche non compatibili oppure, più semplicemente, attività legittime ma non allineate a quelle dei propri peer, per non parlare di un utilizzo particolarmente assiduo di account inutilizzati da tempo o dell’accesso frequente ad aree aziendali per le quali si ha una specifica autorizzazione, ma non è mai stata usata negli anni.
Rivedere il paradigma della sicurezza grazie agli User Behaviour Analytics
Oggi, le soluzioni di User Behaviour Analytics sono particolarmente interessanti perché, grazie a esse, l’azienda non si limita a gestire con successo un maggior numero di rischi, ma riscrive il paradigma di gestione e risposta alle minacce informatiche.
Com’è noto, infatti, oggi si assiste a una vera e propria battaglia tra chi attacca e chi è attaccato, una sfida senza esclusione di colpi che da un lato determina un’accelerazione innovativa fortissima, dall’altro fa sì che ogni giorno emergano nuove minacce e non sia materialmente possibile trattarle una ad una. Da un lato resta fondamentale l’awareness, perché come detto l’82% delle perdite di dati deriva da accessi legittimi e non necessariamente dolosi, dall’altro l’azienda deve adottare un approccio innovativo: l’analisi del comportamento degli utenti – ma anche delle entità, da cui l’espressione User and Entity Behavior Analytics coniata nel 2015 da Gartner – riesce non solo a identificare account a rischio e attività dolose, ma anche la presenza di malware nelle reti aziendali, endpoint compromessi e tentativi di esfiltrazione di dati in modo del tutto indipendente dalle dinamiche di attacco. Per questo, UBA rappresenta senza dubbio un pilastro del nuovo paradigma di sicurezza.