V dobi, ko se varnostno tveganje nenehno veča, postaja zaščita pred zlonamernimi akterji vedno bolj zapletena. V veliko pomoč so nam lahko celovite rešitve, ki varnostnim analitikom omogočajo zgodnje odkrivanje in pravočasno odzivanje na grožnje. RSA NetWitness UEBA (User and Entity Behavior Analytics) je namensko zasnovana rešitev za analizo vedenja uporabnikov in entitet, ki je integrirana kot osrednji del platforme NetWitness.

 

Z uporabo nenadzorovanih algoritmov strojnega učenja na široki bazi primerov RSA NetWitness UEBA zagotavlja celovito odkrivanje neznanih groženj, ki temelji na vedenju. RSA NetWitness UEBA nudi nadgradnjo vaše obstoječe varnostne ekipe z zagotavljanjem hitrega odkrivanja in uporabnih vpogledov na vsakem koraku življenjskega cikla napada, hkrati pa je jedro RSA NetWitness platforme pri nudenju pomoči v celotnem preiskovalnem ciklu in postopku omejevanja vdorov.

 

Z uporabo umetne inteligence in vrhunskega matematičnega pristopa, ki temelji na strojnem učenju, dobimo izhodiščne vrednosti vedenja uporabnikov in entitet v celotni organizaciji. Na podlagi teh lahko od običajnih vsakodnevnih dejavnosti ločimo tiste, ki so škodljive in poskrbimo za pravočasen odziv.

 

Kako deluje RSA NetWitness UEBA

RSA NetWitness UEBA-kako-deluje

 

Če delovanje razčlenimo na posamezne korake, bomo lažje razumeli, kako UEBA deluje.

 

Proces se začne s pridobivanjem podatkov iz obstoječe platforme RSA NetWitness – če gre za novo postavitev RSA NetWitness, potem traja približno 30 dni, da se ustvari dobro izhodišče, čeprav lahko podatke vidimo že pred tem. Za ustvarjanje izhodišča UEBA uporablja podatke iz dnevniških zapisov, končnih naprav (Endpoints) in surovih paketnih podatkov. S tem UEBA določi izhodišče normalnega vedenja.

 

Nato nove podatke neprekinjeno primerja z izhodiščem in ugotavlja, če podatki odstopajo izven določene tolerance, ki bi kazala na anomalijo. UEBA ne uporablja samo enega kazalnika za opozarjanje, saj ne želimo ustvariti številnih lažnih pozitivnih rezultatov. Dodana vrednost UEBA je v tem, da združuje informacije iz več kazalnikov, s čimer anomaliji določi oceno glede na resnost in unikatnost. S tem dobi tvegano vedenje večjo težo, pri čemer so najpomembnejše nepravilnosti postavljene v središče pozornosti.

 

 Poskus vdora: korak pred napadalcem

RSA NetWitness UEBA-poskus-vdora

 

Če se na začetku osredotočimo na napad z grobo silo (t. i. Brute Force Attack), UEBA zazna anomalije kot so večje število neuspelih prijav, prijave iz sumljivih sistemov ali ob netipični uri (npr. ponoči).

 

Ko se napadalec pomika horizontalno v aktivnem imeniku, zaznamo večje število prijav v uporabniške račune iz istega IP naslova.

 

V primeru, da napadalcu uspe pridobiti privilegiran dostop, z UEBA zaznamo račune dodane skupinam s privilegiranim dostopom.

 

Prav tako zaznamo na novo ustvarjene račune in prav tako, če so tem računom dodani privilegirani dostopi.

 

Če kljub vsem tem opozorilom napadalcu vseeno uspe najti pot do gesel ali drugih osebnih podatkov in poskuša te informacije prenesti ven iz naše organizacije, z UEBA zaznamo povezave na nenavadne sisteme ter neobičajno veliko število dostopov do datotek.

 

UEBA – jedro platforme

Usmerjena v dejanja in vsebinsko-osveščena opozorila so osredotočena na vedenja uporabnikov, ki so verjetni pokazatelji sumljive dejavnosti in bolj konkretna za varnostne analitike. Platforma RSA NetWitness uvaja adaptivno analitiko vedenja uporabnikov in entitet, ki lahko deluje z enako agilnostjo in hitrostjo kot razvijajoče se grožnje. Sposobna je zajemati nenadzorovane dnevniške zapise, ki varnostnim analitikom omogočajo razkritje napadalcev – z izkoriščanjem dinamičnih, nedeterminističnih algoritmov za zaznavanje, določanjem izhodišča (t. i. baselining), modeliranjem vedenja in analitiko skupin enakovrednih uporabnikov.

 

RSA NetWitness UEBA prikaže dogodke z višjo prioriteto, korelirane v realnem času med dnevniškimi dogodki, prometom v omrežju in vidnostjo končne točke. Tako omogočijo skupinam SOC znižanje MTTD (Mean Time To Detect – povprečni čas za zaznavo) in MTTI (Mean Time To Investiate – povprečni čas za začetek pregledovanja), zmanjšanje nepozornosti zaradi opozarjanja na lažne pozitivne dogodke (t. i. false positives) in poskrbi za natančnejše napovedi nevarnosti ter analitiko predvidevanja.

 

Želite podrobneje spoznati delovanje rešitve? Oglasite se nam in dogovorili se bomo za demo prikaz ter se pogovorili, kako ga umestit v vaše okolje.