Adottare User Behavior Analysis significa applicare un processo di analisi del comportamento degli utenti (umani e sintetici) sulle reti. Triangolando il monitoraggio, la raccolta e la valutazione dei dati e delle loro attività, le analisi aiutano a intercettare anomalie e variazioni rispetto alle modalità di accesso e di navigazione che possono rivelare i segnali di un’attività malevola. Con l’evoluzione delle tecnologie mobile e della IoT, l’approccio è stato esteso anche all’analisi del comportamento di dispositivi e oggetti intelligenti. A parlare per la prima volta di UEBA è stata nel 2015 Gartner che, pubblicando una guida di mercato, ha coniato la definizione User Entity Behaviour Analytics riferendosi agli utenti intesi come una categoria di entità.
User Behavior Analysis (UBA): come funzionano
Le tecnologie UBA analizzano i log dei dati che sono raccolti e archiviati nei sistemi di gestione delle informazioni e degli eventi (SIEM), per identificare i modelli di traffico normali e anomali. Che si tratti di User Behavior Analysis o di User Entity Behaviour Analytics, questi sistemi hanno principalmente lo scopo di fornire ai team di sicurezza informazioni utili nel momento in cui, rispetto alla routine, si verificano comportamenti insoliti. Sebbene i sistemi UBA non intervengano in base ai loro risultati, possono essere configurati per regolare automaticamente la difficoltà di autenticazione degli account utente che mostrano comportamenti anomali o si discostano in altro modo dal comportamento normale.
Perché le aziende hanno bisogno di analizzare i comportamenti sulle reti
I sistemi di analisi del comportamento sono apparsi per la prima volta nei primi anni 2000 come strumenti per aiutare i team di marketing ad analizzare e prevedere i modelli di acquisto dei clienti. Gli attuali strumenti di analisi del comportamento degli utenti hanno funzionalità di profilazione e monitoraggio delle eccezioni più avanzate rispetto ai sistemi SIEM e vengono utilizzati per le seguenti due funzioni principali:
- determinare una linea di base delle normali attività specifiche per l’organizzazione e i suoi singoli utenti
- identificare le deviazioni dalla norma: UBA utilizza big data e algoritmi di Machine Learning per valutare queste deviazioni quasi in tempo reale
Sebbene l’applicazione dell’analisi del comportamento degli utenti a un solo utente possa non essere utile per rilevare attività dannose, eseguirla su larga scala può dare a un’organizzazione la possibilità di rilevare malware o altre potenziali minacce alla sicurezza informatica, come esfiltrazione di dati, minacce interne ed endpoint compromessi.
Che cos’è l’UEBA e in cosa differisce dall’UBA?
Le differenze principali tra l’analisi del comportamento degli utenti e l’analisi del comportamento degli utenti e delle entità sono le seguenti:
- I sistemi UEBA tengono traccia non solo dei comportamenti degli utenti ma anche delle attività di dispositivi, applicazioni, server e dati, combinando i dati sul comportamento degli utenti e delle entità. I sistemi UEBA possono produrre un volume maggiore di dati e fornire opzioni di reporting più complesse rispetto ai sistemi UBA originali.
- Le tecnologie di analisi del comportamento degli utenti e delle entità hanno le stesse capacità dell’UBA tradizionale anche se, generalmente, i sistemi UEBA utilizzano tecniche di analisi più avanzate. Mentre UBA è progettato per tenere traccia delle minacce interne, l’UEBA è progettato per utilizzare l’apprendimento automatico per cercare più tipi di attività anomale associate a più tipi di minacce, comprese le minacce avanzate, che potrebbero essere oscurate da attività di rete legittime.
Behaviour Analytics: quali sono i dati analizzati
Rispetto alle User Behavior Analysis valutano vari tipi di dati, come:
- ruoli e titoli degli utenti, inclusi accessi, account e permessi
- attività dell’utente e posizione geografica
- avvisi di sicurezza
Questi dati possono essere raccolti da attività pregresse e in essere. L’analisi prende in considerazione fattori come le risorse utilizzate, la durata delle sessioni, la connettività e l’attività del gruppo di pari per confrontare il comportamento anomalo. Il tutto aggiornandosi automaticamente quando vengono apportate modifiche ai dati come nel caso di promozioni o autorizzazioni aggiuntive.
UBA e UEBA utilizzano un sistema di valutazione a punteggio
I sistemi UBA e UEBA non segnalano necessariamente come rischiose tutte le anomalie. La loro dinamica operativa è quella di valutare il potenziale impatto di comportamento anomali. Se il comportamento coinvolge risorse meno sensibili, riceve un punteggio di impatto basso. Se coinvolge qualcosa di più sensibile, come informazioni di identificazione personale, riceve un punteggio di impatto più elevato.
In questo modo i team di sicurezza possono dare la priorità a cosa seguire mentre il sistema di User Behavior Analysis limita automaticamente o rende più difficile l’autenticazione dell’utente che mostra un comportamento anomalo.
UBA e UEBA: quali sono i comportamenti analizzati
I comportamenti monitorati dai sistemi UBA e UEBA sono generalmente quelli associati ad attacchi specifici o altri eventi di sicurezza. I comportamenti monitorati includono:
- attacchi di forza bruta
- accesso improprio ai dati
- perdita di dati
- spostamento laterale da parte di utenti non autorizzati
- attività discutibili da parte di utenti privilegiati che potrebbero essere malintenzionati
Gli algoritmi di apprendimento automatico consentono ai sistemi UBA di ridurre i falsi positivi, fornendo ai team di sicurezza informatica informazioni sui rischi più chiare e accurate. I sistemi UBA possono anche utilizzare feed di informazioni sulle minacce per aumentare e supportare le funzioni di apprendimento automatico.
Prodotti UEBA E UBA: qualche esempio
Il mercato degli strumenti di User Behavior Analysis continua a crescere e ad evolversi man mano che la tecnologia matura. Alcuni tra i più diffusi prodotti UBA e UEBA sono i seguenti:
- Cynet 360 AutoXDR
- Rapid7 InsightIDR
- Fortinet FortiInsight
- IBM QRadar User Behavior Analysis
- Microsoft Defender for identity
Mentre il mercato continua a consolidarsi, anche le funzioni UEBA e UBA sono sempre più incorporate in pacchetti completi di sicurezza informatica dei principali fornitori.
UEBA vs. SIEM vs. SOAR vs. XDR: differenze chiave nella terminologia e nella tecnologia
I prodotti UEBA sono solo un modo per affrontare il rilevamento delle minacce. Altre tecnologie correlate includono:
- I sistemi SIEM raccolgono e aggregano dati da più fonti per identificare potenziali minacce ed emettere avvisi. Quelli più comunemente utilizzati per rilevare problemi di conformità e utilizzano modelli statistici per identificare modelli di comportamento sospetti correlati agli attacchi informatici. I prodotti SIEM possono sopraffare i team di sicurezza delle informazioni con un volume elevato di avvisi, molti dei quali potrebbero essere falsi positivi.
- I sistemi SOAR (Security Orchestration, Automation and Response) migliorano i sistemi SIEM raccogliendo ricchi dati sugli eventi e utilizzando l’automazione per identificare potenziali minacce e anomalie. I sistemi SOAR richiedono l’integrazione con le origini dati di sicurezza e richiedono ancora uno sforzo significativo da parte degli analisti della sicurezza delle informazioni.
- I sistemi di rilevamento e risposta estesi (XDR) sono l’ultima generazione di sistemi di rilevamento e risposta degli endpoint (EDR) e sistemi di rilevamento e risposta della rete (NDR). Mentre l’EDR si concentra sui sistemi endpoint (computer degli utenti finali e server aziendali), l’NDR monitora le trasmissioni di rete. XDR è una tecnologia emergente che sta convergendo con le funzionalità UBA e UEBA, nonché con SOAR e SIEM.
Data l’abbondanza di tecnologie correlate, i diversi tipi di strumenti di rilevamento delle minacce presentano notevoli sovrapposizioni. Come con altri tipi di sistemi di sicurezza delle informazioni, UBA e UEBA dovrebbero essere considerati uno dei tanti strumenti del toolkit per la sicurezza informatica. Nonostante il potenziale di sovrapposizione tra questi diversi sistemi, la comprensione dei casi applicativi indirizza le scelte dei professionisti della sicurezza informatica.
Tecnologia UEBA e SIEM: perché usarle insieme?
Molte organizzazioni scelgono di utilizzare le tecnologie UEBA e SIEM in tandem. Gli esperti spiegano più in dettaglio le differenze tra questi due tipi di sistema evidenziando i 4 punti di attenzione che sintetizzano come le tecnologie si completino tra loro:
- I sistemi UEBA si concentrano sull’acquisizione e l’analisi dei dati in tempo reale. I sistemi SIEM esaminano i dati degli eventi nel corso di un determinato delta temporale, da un singolo momento a un periodo di tempo limitato.
- I sistemi UEBA si basano sull’apprendimento automatico per contrassegnare automaticamente le potenziali minacce mentre si verificano, mentre i sistemi SIEM forniscono ai professionisti della sicurezza informatica un potente strumento per cercare manualmente le minacce.
- I sistemi UEBA raccolgono eventi da diversi tipi di dati, inclusi log e set di dati sia strutturati che non strutturati. UEBA dipende dall’apprendimento automatico per raccogliere le prove delle minacce e identificare gli approcci per mitigare le minacce. Al contrario, i sistemi SIEM tendono ad avere più strutture imposte ai dati in entrata, che di solito provengono da log strutturati.
- I sistemi UEBA dipendono dal punteggio di rischio per confrontare diverse minacce e identificare quali sistemi sono a rischio e in che modo. I sistemi SIEM dipendono da avvisi e avvisi generati automaticamente quando il sistema rileva uno schema di attività correlato ad attacchi noti.