Organizacje muszą podchodzić do zagrożeń cyberbezpieczeństwa stosując dogłębną metodologię bezpieczeństwa. Takie podejście wykorzystuje warstwowe zabezpieczenia, które zapewniają funkcje zapobiegania, wykrywania oraz reagowania w przypadku incydentów. Jednakże organizacje inwestują wiele czasu i zasobów w kontrole prewencyjne. Niestety atakujący są przygotowani do omijania mechanizmów obronnych, wtapiając się w środowisko pod przykrywką zwykłego użytkownika oraz stosując ruch boczny, tzw. lateral movement, w obrębie całego przedsiębiorstwa. Wyzwanie związane z warstwowymi zabezpieczeniami polega na tym, że każdy punkt kontrolny generuje setki, jeśli nie tysiące logów na sekundę. Operacyjne centra bezpieczeństwa są zalewane „szumem” i fałszywie pozytywnymi alarmami, co utrudnia wykrycie prawdziwych działań przeciwnika w sieci.
Czym jest UEBA?
Gartner definiuje analitykę zachowań użytkowników i podmiotów (UEBA) jako rozwiązanie, które wykorzystuje analitykę do tworzenia standardowych profili i zachowań użytkowników/zasobów w czasie, mając również na uwadze przynależność do określonej grupy użytkowników. Aktywność, która jest anomalna w stosunku do tych standardowych zachowań, określonych na podstawie analizy behawioralnej, jest przedstawiana jako podejrzana, a złożona analityka zastosowana do tych anomalii może pomóc w wykryciu zagrożeń i potencjalnych incydentów.
Rozwiązania UEBA tworzą linie bazowe dla profili użytkowników i zasobów w celu identyfikacji ich normalnej aktywności. Rozwiązanie to stosuje również uczenie maszynowe, tzw. machine learning (ML), dla modeli opisowych i predykcyjnych. Modele opisowe zaglądają w przeszłość, aby odpowiedzieć na pytanie “Co się stało?”. Modele predykcyjne przewidują zdarzenia z przyszłość i odpowiadają na pytanie: “Co może się wydarzyć?”. ML jest ważnym składnikiem UEBA, ponieważ automatycznie buduje modele, uczy się na podstawie zebranych danych historycznych oraz identyfikuje odchylenia od normalnego zachowania, czy to użytkownika, czy to zasobów przedsiębiorstwa. Aby skorzystać z bardziej zaawansowanej formy ML, znanej jako deep learning (DL), można wykorzystać tę platformę, która jest w stanie wspomóc w bardziej efektywnym tworzeniu modelu UEBA.
Dobrym przykładem pracownika zajmującego analizą danych może być Abel Morales, aktualnie inżynier bezpieczeństwa Exabeam, który zajmował się wcześniej obsługą incydentów. Musiał on na podstawie otrzymanych informacji manualnie analizować incydenty i na tej podstawie określać normalne zachowanie użytkownika. Można tu przedstawić sytuację w której użytkownik stworzył dwie równoczesne sesje VPN z dwóch różnych lokalizacji i uzyskał dostęp do kilku serwerów podczas tej sesji. Widząc takie zdarzenie Morales przesuwał się od trzech do sześciu miesięcy wstecz i zaczynał ręcznie analizować zestaw danych. Nie jest on odosobnionym przypadkiem, który musiał podjąć się tak żmudnej analizy danych. W zależności od doświadczenia analityków, jest bardzo prawdopodobne, że każdy z nich przedstawiłby inne wnioski co do przedstawionej wyżej sytuacji, ze względu na manualny charakter ćwiczenia.
Dzięki ML, UEBA może pomóc w zrozumieniu, w jaki sposób użytkownicy (ludzie i konta serwisowe) oraz zasoby (maszyny) zazwyczaj zachowują się w środowisku IT. Platforma UEBA nadaje priorytet użytkownikom i zasobom o najwyższym poziomie ryzyka w środowisku IT, oznaczając ich jako notable, tak aby jak najlepiej wykorzystać czas pracy analityków. Wyzwanie związane ze starszymi systemami SIEM polega na tym, że statyczne reguły korelacji generują dużą liczbę fałszywych alarmów i są jednocześnie jednowymiarowe. Różnica w przypadku rozwiązania UEBA polega na tym, że silnik detekcji platformy jest wielowymiarowy, ponieważ agreguje anomalie w odniesieniu do zachowań użytkowników i zasobów, gdy odbiegają one od normalnego. Gdy użytkownik lub zasób przekroczy próg ryzyka ustalony przez organizację, użytkownik i/lub zasób staje się w tym momencie priorytetowym celem uwagi analityka. Nadawanie automatycznie priorytetów użytkownikom i zasobom jest odpowiedzią na obawy CISO i SOC Managerów dotyczące przeciążenia alarmami – w takim przypadku analitycy mogą stać się przytłoczeni szumem informacyjnym spowodowanym dużą ilością alarmów i mogą przeoczyć te ważne.
Podczas pierwszego wdrożenia, uzasadniona aktywność użytkownika może zostać oznaczona jako anormalna. Jest to kwestią początkowych etapów nauki maszynowej. Analitycy widząc takie zachowania, mogą oznaczyć takie konkretne aktywności jako normalne zachowanie. Następnie, mając na uwadze wprowadzone przez analityków zmiany, uczenie maszynowe systemu UEBA integruje otrzymane dane, aby zredukować liczbę podobnych fałszywych alarmów.
Połączenie dokładnych danych behawioralnych użytkowników z uczeniem maszynowym pozwala analitykom na dokładniejsze monitorowanie tychże użytkowników i zasobów w środowisku, przy jednoczesnym zapewnieniu głębokiego wglądu w ich działania. Poniżej wymienione zostały przykłady, które demonstrują możliwości jakie oferuje rozwiązanie UEBA:
- Nietypowe pobieranie danych – użytkownik regularnie pobiera maksymalnie 100 MB danych dziennie. Pewnego dnia, użytkownik nagle pobiera gigabajty danych. System wykryje to anormalne zachowanie, oceni je i doda punkty ryzyka do profilu użytkownika.
- Skradzione dane uwierzytelniające – atakujący naruszył ID użytkownika i jego hasło oraz wykorzystał te dane do pozyskania dostępu do systemu kadry kierowniczej. System UEBA odbiera jednak zachowanie atakującego jako odbiegające od normalnego zachowania właściciela danych uwierzytelniających. Na przykład, jeśli naruszone dane uwierzytelniające są regularnie używane w określonym regionie, w określonym czasie i na określonych maszynach, to zachowanie atakującego będzie odbiegać od normalnego zachowania właściciela wymienionych danych w trakcie całego łańcucha ataku. Atakujący będzie jednocześnie będzie próbował wykorzystać ruch boczny (lateral movement) w obrębie środowiska by ukryć swoje działania, jednak i tak atak zostanie wykryty przez platformę UEBA.
- Nietypowe transakcje – system UEBA używany przez instytucję finansową może wykryć sytuację, w której urzędnik bankowy dokonuje oszustwa poprzez inicjowanie i zatwierdzanie dużej liczby przelewów. System rozpozna, że schemat typowych transakcji tego pracownika (insider user) odbiega od wzorca normalnego zachowania pracowników na tym samym stanowisku i zasygnalizuje tę podejrzaną aktywność do zbadania przez przełożonego.
- Zaawansowane długotrwałe zagrożenia (APT) – ataki APT są przeprowadzane przez grupę wykwalifikowanych hakerów, którzy atakują witrynę internetową poprzez infiltrację i poruszanie się po organizacji w trakcie kilku miesięcy, starannie unikając wykrycia. Chociaż każdy z tych kroków może wymykać się tradycyjnym technikom wykrywania, razem tworzą one anomalie. Rozwiązania UEBA mogą zidentyfikować anomalne zachowanie podzbioru użytkowników lub jednostek w grupie i ostrzec analityków o skoordynowanej szkodliwej aktywności.
Korzyści z UEBA i uczenia maszynowego
Wykorzystanie ML w UEBA daje możliwość uczenia się zachowań i integrowania ich do silnika detekcji, co pozwala zaoszczędzić analitykom ogromną ilość czasu na pisanie i modyfikowanie złożonych reguł korelacji. Reguły korelacji są statyczne, co wymaga od analityków tworzenia wielu iteracji tej samej reguły w celu uwzględnienia każdego możliwego scenariusza – prowadzi to również do wielu fałszywie pozytywnych wyników. UEBA dynamicznie dostosowuje się do środowiska w którym pracuje i może wykrywać subtelne zmiany w zachowaniu, czy to użytkownika czy też zasobu, co jest trudne do osiągnięcia przy stosowaniu wyłącznie statycznych reguł korelacji. Dynamiczna natura i możliwości detekcji UEBA przynoszą wymierne korzyści dla bezpieczeństwa cybernetycznego w wielu aspektach, w tym:
- Wykrywanie naruszeń chronionych danych – jeśli posiadasz chronione dane, nie wystarczy je tylko zabezpieczyć. Powinieneś wiedzieć kiedy użytkownik uzyskuje dostęp do tych danych bez uzasadnionego powodu biznesowego. System UEBA wykryje taką sytuację i zaalarmuje Cię, gdy będzie to miało miejsce.
- Wykrywanie zagrożeń wewnętrznych – pracownik może stać się nieuczciwy, mamy tu na myśli m. in. kradzież danych firmowych lub informacji, wykorzystując do tego swoje prawa dostępu. UEBA może pomóc przy wykrywaniu naruszeń danych, sabotażu, nadużywania uprawnień i naruszeń zasad przez pracowników. W przypadku gdy ktoś naruszył uprawnienia administratora systemu, istnieje możliwość, że potencjalnie przenosi dane w środowisku. Wliczają się w to np. pliki, dokumenty i prezentacje zawierające dane wrażliwe lub zastrzeżone, przechowywane w trybie offline (OST). W trakcie pracy analityków w centrach operacji bezpieczeństwa, na 100 lub nawet więcej otrzymanych alarmów DLP, może wystąpić jeden lub dwa przypadki tych prawdziwie pozytywnych incydentów bezpieczeństwa. Taka liczba stanowi ułamek z otrzymanych alarmów. UEBA pomaga zredukować ich liczbę tak, aby zidentyfikować tylko te prawdziwe zagrożenia wewnętrzne.
- Oznaczanie zmian w uprawnieniach i tworzenie uprzywilejowanych użytkowników – niektóre ataki wiążą się z wykorzystaniem uprzywilejowanych użytkowników. UEBA alarmuje, gdy tworzeni są uprzywilejowani użytkownicy lub gdy istnieją konta, którym nadano niepotrzebne uprawnienia. Zgodnie z założeniami MITRE ATT&CK framework, jedną z taktyk, technik i procedur (TTP) wykorzystywanych przez atakujących jest utrzymanie pozycji w systemie poprzez technikę Create Accounts (T1136). UEBA pomaga zidentyfikować nieprawidłowe tworzenie kont w oparciu o linię bazową użytkownika. Na przykład, jeśli konto administratora systemu jest regularnie używane do tworzenia kont w godzinach 9-18 ET, to gdy atakujący narusza konto administratora i zaczyna tworzyć konta poza tymi ramami czasowymi, narzędzie UEBA zidentyfikuje taką aktywność. Narzędzie UEBA może również zidentyfikować inne anomalie, takie jak nadane uprawnienia, system wykorzystany do nadania tychże uprawnień, strefa sieciowa tego systemu oraz inne czynniki.
- Wykrywanie ataków typu brute force – ataki cybernetyczne są czasem wymierzone w podmioty działające w chmurze, jak również w systemy uwierzytelniania innych firm. Dzięki UEBA można wykrywać próby ataku typu brute force, co pozwala na zablokowanie dostępu do tych zasobów. Dla organizacji, które regularnie monitorują nieudane logowania, nie ma wystarczająco dużo czasu w ciągu dnia, aby przejrzeć listę 200 kont, które wygenerowały nieudane logowanie i zidentyfikować, które z nich są potencjalnie niebezpieczne. Narzędzie UEBA może pomóc w priorytetyzacji kont, które wygenerowały anormalną liczbę nieudanych logowań w oparciu o profil konta oraz dostarczyć analitykowi informacji kontekstowych ułatwiających podjęcie decyzji.
- Redukcja fałszywych alarmów – system UEBA nieustannie uczy się jak być bardziej dokładnym i unikać fałszywych alarmów. Takie podejście ogranicza liczbę fałszywych alarmów, ponieważ zanim analityk zostanie poinformowany o incydencie, musi wystąpić wiele nieprawidłowości. Uczenie maszynowe i UEBA zapobiegają otrzymywaniu dużej ilości fałszywych alarmów.
Wnioski
UEBA wykorzystuje uczenie maszynowe i algorytmy do wzmocnienia bezpieczeństwa środowiska poprzez monitorowanie użytkowników i innych zasobów, wykrywając anomalie we wzorcach ich normalnych zachowań, które to mogą wskazywać na istniejące zagrożenie. Przyjmując bardziej proaktywne podejście do bezpieczeństwa i uzyskując lepszy wgląd w zachowanie użytkowników i zasobów, można zbudować silniejszą pozycję w zakresie bezpieczeństwa, skuteczniej łagodzić skutki zagrożeń oraz zapobiegać naruszeniom bezpieczeństwa.
