5 września 2019

Autor: Magdalena Kordzińska

Kategorie: Aktualności, Artykuł

Analityka zachowań użytkowników i podmiotów (UEBA) jest stosunkowo nową kategorią narzędzi bezpieczeństwa cybernetycznego, które wykorzystują algorytmy machine learning (ML) do wykrywania nieprawidłowości w zachowaniu użytkowników i podmiotów należących do sieci przedsiębiorstwa. UEBA monitoruje i stale uczy się na podstawie zachowań różnych kont użytkowników i urządzeń w sieci oraz ustala bazowy profil zachowań dla każdego z nich, przy użyciu modeli statystycznych i probabilistycznych. Następnie każda czynność wykonywana przez użytkownika lub podmiot jest porównywana ze stanem wyjściowym w celu określenia, czy jest to czynność normalna czy też anormalna. W każdym przypadku zidentyfikowania anomalii, wynik ryzyka odpowiedniego podmiotu jest zwiększany, wskazując administratorowi sieci, że istnieje potencjalne zagrożenie.

“Tożsamość można sfałszować, ale nie zachowanie” to założenie, na którym działa UEBA. 

Zanim pójdziemy dalej, przyjrzyjmy się niektórym terminologiom UEBA.

UEBA obserwuje i adaptuje

UEBA uważnie monitoruje działania każdego użytkownika i podmiotu należącego do sieci oraz uczy się ich zwyczajów lub wzorców operacyjnych. Nasze rozwiązanie działa w połączeniu z rozwiązaniami SIEM, wykorzystując logi do uzyskania wglądu w normalne zachowanie podmiotów.

Ryzykowne lub nieryzykowne: UEBA decyduje

Poniższa ilustracja przedstawia typowy dzień pracy George’a Langdona, który pracuje jako stażysta ds. marketingu w ABC Corp.

 

Jak widzieliśmy wcześniej, gdy wystąpi jakieś odchylenie od oczekiwanego zachowania, wynik ryzyka wzrośnie. Załóżmy, że system George’a jest nadal aktywny po 16:00. Choć może to być osoba, która uzyskała nielegalny dostęp do komputera George’a, nie można wykluczyć możliwości, że George będzie pracował dłużej, aby dokończyć swoją pracę. Jeśli to ostatnie jest powodem uzyskania dostępu do systemu w mało prawdopodobnej godzinie, zwiększenie wyniku ryzyka służy jako fałszywy alarm.

Aby zapobiec takim sytuacjom, UEBA rozwija się płynnie. Uczy się od poszczególnych jednostek i jest w stanie zmienić to, co uważa się za normalne zachowanie. W tym przypadku UEBA najpierw podniesie ocenę ryzyka George’a, ale będzie sprawdzać jego logi. Ponieważ praca w późniejszych godzinach staje się jego rutyną, UEBA rozpoznaje wzorzec i z czasem obniża wynik ryzyka.

Zaawansowana analiza: Mózg stojący za UEBA

Ciągła ewolucja programu UEBA jest możliwa dzięki pomocy ML, zarówno nadzorowanej, jak i nienadzorowanej. W nadzorowanej ML system jest wyposażony w zestaw pożądanych i niepożądanych zachowań. Kiedy UEBA wykryje jakiekolwiek niepożądane zachowanie, zwiększa to wynik ryzyka. Nienadzorowana ML dla UEBA jest inteligentniejszą wersją, która sama identyfikuje typowe i nietypowe zachowania. Wykorzystuje ona dwa główne modele statystyczne, solidną analizę głównych składowych (ang. robust principal component analysis, RPCA) oraz łańcuchy Markova, aby stwierdzić, czy działanie jest normalne, czy też nie.

RPCA:

RPCA jest odmianą szeroko stosowanej techniki analizy głównych składników (ang. principal component analysis, PCA). Jest to procedura statystyczna, która wykorzystuje transformację ortogonalną do konwersji zbioru obserwacji potencjalnie skorelowanych zmiennych (punktów danych) na liniowo niezwiązane zmienne zwane głównymi składnikami. Linia najlepszego dopasowania jest ustalana dla zestawu głównych komponentów, a punkty danych, które odbiegają od tej linii najlepszego dopasowania są określane jako anomalne.

 

Łańcuchy Markowa:

 

Łańcuch Markowa jest definiowany jako ciąg zdarzeń stochastycznych, gdzie prawdopodobieństwo kolejnego zdarzenia w łańcuchu zależy tylko od stanu bieżącego zdarzenia. Lista jest tworzona poprzez określenie kolejnego stanu wystąpienia zdarzeń. Ponadto, w miarę jak każde zdarzenie się rozwija, jest ono porównywane z przewidywaną sekwencją zdarzeń. Jeśli jakieś zdarzenie odbiega od prawdopodobnej listy zdarzeń, jest traktowane jako anomalia, a wynik ryzyka odpowiedniego podmiotu jest zwiększany.

UEBA chroni przed niezliczonymi atakami cybernetycznymi, takimi jak ataki metodą siłową, zagrożenia ze strony osób mających dostęp do informacji poufnych, ruchy poziome, włamania i inne.

Funkcjonalność UEBA znajduje się w naszym produkcie LOG360.
Jesteś zainteresowany? Więcej informacji na temat tego rozwiązania znajdziesz tutaj:

 

5 września 2019

Autor: Magdalena Kordzińska

Kategorie: Aktualności Artykuł

Magdalena Kordzińska

Magdalena Kordzińska

Marketing Project Manager

Od ponad 4 lat związana z marketingiem i wsparciem procesów sprzedaży. Specjalizuje się w organizacji eventów i szkoleń, zarówno stacjonarnie jak i online, koordynacji współpracy z firmami partnerskimi. W MWT Solutions odpowiedzialna również za współprowadzenie profili firmy w social mediach, tworzenie oraz wysyłkę newsletterów oraz korektę i redakcję treści marketingowych.

Newsletter. Bądź na bieżąco.

Kontakt

MWT SOLUTIONS S.A.
ul. Szyperska 14, 61-754 Poznań

+48 61 622 23 94

Napisz do nas