UEBA: User and Entity Behavioral Analytics

L’analisi del comportamento degli utenti e delle entità, è un tipo di processo di sicurezza informatica che prende atto della normale condotta degli utenti e delle “entità” (applicazioni, firewall, router, apparati IoT, ecc.), rilevando qualsiasi comportamento anomalo o casi in cui ci sono deviazioni da questi schemi “normali”.

Ad esempio, se un determinato utente scarica regolarmente 10 MB di file ogni giorno ma scarica improvvisamente gigabyte di file, il sistema, opportunamente addestrato, sarà in grado di rilevare questa anomalia e avvisare immediatamente gli analisti di sicurezza.

La dura verità è che gli odierni strumenti di sicurezza informatica stanno rapidamente diventando obsoleti e che gli hacker e gli aggressori informatici più esperti sono ora in grado di aggirare le difese perimetrali utilizzate dalla maggior parte delle aziende. In passato, l’aver un gateway Web, firewall e strumenti di prevenzione delle intrusioni era sufficiente a garantirsi un certo grado di tranquillità. Questo non è più il caso nel complesso panorama delle minacce di oggi, ed è particolarmente vero per le grandi aziende che hanno dimostrato di avere perimetri IT molto porosi che sono inoltre anche molto difficili da gestire e controllare.

User and Entity Behavioral Analytics

User and Entity Behavioral Analytics (UEBA) è una categoria di soluzioni di sicurezza che utilizza sistemi di Machine Learning e Deep Learning per modellare il comportamento degli utenti e dei dispositivi sulle reti aziendali. Un’altra caratteristica è quella di sfruttare la capacità di archiviazione e di calcolo dei big data, utilizzando l’apprendimento automatico e l’analisi statistica per evitare di ricevere una valanga di avvisi inutili (falsi positivi) e di essere sopraffatti dal grande volume di dati generati. In generale, quindi, tali sistemi identificano i comportamenti anomali quando c’è una deviazione dai modelli stabiliti, mostrando quali di queste anomalie potrebbe comportare una potenziale minaccia reale, determinando se ha implicazioni per la sicurezza e avvisa i team di sicurezza. Un sistema UEBA può aggregare i dati provenienti da report e log generati da vari sistemi, nonché analizzare le informazioni provenienti dall’analisi di file, flussi dati e pacchetti di rete.

UEBA può anche essere utilizzato per monitorare un gran numero di risorse cloud, di cui viene eseguito il provisioning in modo dinamico e utilizzato in remoto, rendendole difficili da analizzare con gli strumenti di sicurezza tradizionali. UEBA può esaminare le risorse basate sul cloud e scoprire se, come gruppo, agiscono normalmente o in modo anomalo.

Il “Baselining” è la chiave di un sistema UEBA: il sistema confronta la linea di base stabilita con il comportamento corrente dell’utente/entità, calcola un punteggio di rischio e determina se le deviazioni sono accettabili. Se il punteggio di rischio supera una certa soglia, il sistema avvisa gli analisti della sicurezza in tempo reale.

L’UEBA migliora i vecchi strumenti di sicurezza, che identificavano gli incidenti di sicurezza utilizzando analisi statistiche e regole di correlazione predefinite. Questi metodi erano efficaci per le minacce note, ma non funzionavano bene per attacchi sconosciuti e minacce interne (che sembrano essere simili alle normali attività degli utenti). UEBA è in grado di rilevare comportamenti sospetti senza schemi o regole predefiniti.

Il valore dell’UEBA, quindi, non risiede nell’impedire agli hacker o agli addetti ai lavori di accedere a sistemi critici. Invece, i sistemi UEBA possono individuare rapidamente quando ciò è accaduto e avvisarti del rischio.

Per poter trarre il massimo vantaggio dall’utilizzo di un sistema UEBA ci sono alcune best practice da seguire:

  • Formare il proprio personale: uno degli elementi più importanti per utilizzare correttamente un sistema UEBA è assicurarsi che il proprio personale abbia le conoscenze e le competenze necessarie per lavorare con questi sistemi. Questo vale sia per i sistemi UEBA che per qualsiasi altro tipo di software di sicurezza.
  • Considerare le minacce sia interne che esterne nella creazione di nuove politiche e regole. Quando si tratta di lavorare con i sistemi UEBA è assolutamente necessario assicurarsi di considerare l’intero profilo delle minacce quando si definiscono regole e politiche per rilevare gli attacchi. Uno dei principali vantaggi di UEBA è che puoi rilevare le minacce interne (ad esempio dipendenti inconsapevoli) con la stessa efficacia di quelle esterne alla tua organizzazione, ma solo se hai configurato il tuo sistema per cercarle. Attenzione inoltre all’escalation dei privilegi: non considerare gli account utente non privilegiati come innocui. Gli hacker generalmente prendono di mira questi account e quindi tentano di aumentare i privilegi per penetrare nei sistemi sensibili. I sistemi UEBA possono aiutare a rilevare l’escalation di privilegi non autorizzata e dovresti configurare il tuo software per avvisarti di qualsiasi istanza di ciò.
  • La protezione di un sistema UEBA, come qualsiasi altro sistema di sicurezza in uso, si basa sulla concessione dei privilegi giusti ai membri dello staff giusti. Non concedere l’accesso al sistema UEBA a tutti, invece, solo i membri dei team interessati dovrebbero essere in grado di vedere questi dati e dovrebbero anche essere le uniche persone a ricevere avvisi dal sistema. Assicurati inoltre che solo i membri dei team interessati ricevano gli avvisi UEBA.
  • Non trattare i processi e gli strumenti UEBA come sostituti dei sistemi di monitoraggio di base come i sistemi di rilevamento delle intrusioni (IDS). I sistemi UEBA sono un complemento alla tradizionale infrastruttura di monitoraggio, non una sua sostituzione.

Il principale vantaggio di UEBA è che consente di rilevare automaticamente un’ampia gamma di attacchi informatici. Questi includono minacce interne, account compromessi, attacchi di forza bruta, creazione di nuovi utenti e violazioni dei dati. Ciò è utile perché i sistemi automatizzati possono ridurre drasticamente il numero di analisti della sicurezza che devi impiegare. Poiché UEBA consente a meno analisti della sicurezza di fare di più, può anche ridurre in modo significativo il budget per la sicurezza informatica. Questo, ancora una volta, è uno dei motivi principali per cui sempre più aziende utilizzano UEBA.

D’altra parte, ci sono alcuni svantaggi nell’UEBA, anche se utilizzato insieme ad altri strumenti di sicurezza informatica:

  • Lo svantaggio principale dell’UEBA è il costo iniziale. Mentre per le aziende più grandi un investimento in UEBA si ripagherà rapidamente, le aziende più piccole potrebbero non aver bisogno di una soluzione di monitoraggio così complessa. Poiché la maggior parte delle soluzioni di hosting dedicato fornisce già controlli avanzati di accesso degli utenti per siti Web e portali Web, le piccole aziende che implementano UEBA potrebbero vederlo come una duplicazione di tempo e denaro.
  • In secondo luogo, i dati generati da UEBA sono complessi: ciò può rendere difficile la comprensione per gli analisti senza la necessaria formazione.
  • Un altro problema posto dagli algoritmi UEBA è che in un certo senso iniziano da zero: devono essere addestrati o attraverso un addestramento formale supervisionato o in modo semi-supervisionato.
  • Infine, e per ripetere alcuni dei punti precedenti, è importante riconoscere che UEBA non sostituisce altri sistemi di sicurezza informatica. Consentirà di individuare comportamenti insoliti, ma non farà nulla per fermare gli intrusi.

UEBA vs. SIEM

  • Security Information and Event Management, o SIEM, è un insieme complesso di strumenti e tecnologie che offre una visione completa della sicurezza del tuo sistema IT. Utilizza dati e informazioni sugli eventi, consentendo di visualizzare modelli e tendenze normali e avvisare l’utente in caso di tendenze ed eventi anomali. UEBA funziona allo stesso modo, solo che utilizza le informazioni sul comportamento dell’utente (e dell’entità) per trovare ciò che è normale e ciò che non lo è.
  • Tradizionalmente, i SIEM non includevano la tecnologia di analisi comportamentale: scoprono le minacce tramite regole di correlazione definite dall’utente. Le soluzioni UEBA sono state sviluppate per colmare questa lacuna e si sono dimostrate molto efficaci nel rilevare modelli di attacco complessi o sconosciuti.
  • Il SIEM, inoltre, è basato su regole e gli hacker avanzati possono aggirare o eludere facilmente queste regole. Inoltre, le regole SIEM sono progettate per rilevare immediatamente le minacce che si verificano in tempo reale, mentre gli attacchi avanzati vengono solitamente eseguiti nell’arco di mesi o anni. L’UEBA, d’altra parte, non si basa sulle regole. Utilizza invece tecniche di valutazione del rischio e algoritmi avanzati, che gli consentono di rilevare anomalie nel tempo.

La conclusione è che il software UEBA può avvisare efficacemente i responsabili della sicurezza quando l’attività di base all’interno di un ambiente mostra anomalie, segnalando un potenziale attacco. Ciò è estremamente utile, ma non sostituisce una soluzione completa di rilevamento delle minacce, pertanto l’utilizzo congiunto con altri strumenti di riconoscimento delle minacce è fortemente raccomandato.