UEBA, analisi del comportamento degli utenti e delle entità

Gli attacchi informatici sono in continua evoluzione e gli hacker moderni possono aggirare i sistemi di sicurezza convenzionali con uno sforzo minimo. Gli utenti malintenzionati continuano a trovare nuovi modi per hackerare i firewall, inviare programmi dannosi e persino corrompere i dipendenti per eseguire attacchi interni. I sistemi di sicurezza convenzionali stanno rapidamente diventando obsoleti e vulnerabili alle nuove tendenze di attacco.

Se si guardano i famigerati attacchi passati, si scopre che non ci sono stati due attacchi effettuati allo stesso modo. Tuttavia, ci sono alcune strategie e tattiche difensive spesso utilizzate perché si sono dimostrate efficaci. Un modo efficiente per rimanere protetti è dotarsi di tecniche di apprendimento automatico in grado di identificare ogni tipo di anomalia di sicurezza all'interno dell'organizzazione.

Cos'è UEBA?

Le soluzioni UEBA (analisi del comportamento degli utenti e delle entità), stabiliscono il comportamento normale di utenti e macchine all'interno di un'organizzazione e identificano eventuali comportamenti anomali. Sono concepite per elaborare grandi quantità di dati provenienti da firewall, router, workstation, database, file server e altri dispositivi al fine di creare un modello di comportamento per ogni utente ed entità.

Qualsiasi attività che si discosta da questo modello viene contrassegnata come anomala e quindi valutata per i potenziali rischi. Questa valutazione del rischio è direttamente correlata a un punteggio di rischio che decide la risposta alla minaccia. Più anormale è il comportamento, più alto è il punteggio di rischio. Inoltre, l'amministratore IT può esaminare il problema da una dashboard e intervenire se necessario.

Cosa può fare UEBA?

UEBA è ottimizzato per rilevare attacchi interni, account compromessi, abuso di privilegi, violazioni dei criteri e attacchi di forza bruta, tra le altre potenziali minacce. Un evento leggermente anomalo di per sé non comporterà un avviso di sicurezza. Il sistema richiede più segni di comportamento anomalo per creare un avviso. Ha la capacità di correlare più attività distinte che potrebbero riguardare un singolo incidente di sicurezza, non è percepibile da un occhio inesperto.

Le soluzioni UEBA possono anche integrare le informazioni che generano con i sistemi di monitoraggio della sicurezza esistenti. Alimentate dall'apprendimento automatico e da algoritmi statistici, le soluzioni UEBA diventano più efficaci man mano che elaborano sempre più dati.