Hoe gebruik je User and Entity Behaviour Analytics om toekomstige bedreigingen op te sporen?

Ross Brewer - LogRhythm

Het moderne bedreigingenlandschap is niet meer te vergelijken met de situatie van tien of zelfs vijf jaar geleden. Hackers zijn veel slimmer en effectiever geworden. Cybercriminelen doen research, zoeken via alle mogelijke middelen naar kwetsbaarheden van een organisatie en gebruiken verschillende aanvalsmethodieken. Cyberaanvallen horen er vandaag de dag bij en leveren steeds grotere risico’s op voor organisaties - vooral doordat organisaties steeds meer ‘connected’ worden.

De meeste bedrijven hebben weliswaar geïnvesteerd in detectie- en onderzoekstechnologieën. Maar de constante stroom aan nieuwe bedreigingen maakt het steeds moeilijker om de werkelijke risico’s vast te stellen en te bepalen hoe toekomstige bedreigingen eruitzien. User and Entity Behaviour Analytics (UEBA) kan hier een antwoord op geven.

Een onderzoek naar een aanval leidt vaak tot enorm veel data over hoe en waarom een aanval succesvol was. Deze informatie kan een securityteam in staat stellen om bepaalde events in realtime te onderzoeken en te speuren in historische data om patronen en bewijs te ontdekken met betrekking tot de aanvallen. Voor organisaties die zich goed hebben voorbereid, zijn deze gegevens te hergebruiken met als doel het voorkomen van een nieuwe aanval.

Bedreigingen van binnenuit

Onderzoek laat zien dat steeds meer aanvallen van binnenuit de organisatie ontstaan. Dat gebeurt op verschillende manieren. Zo kan een externe persoon de inloggegevens van een medewerker stelen en misbruiken. Het kan ook gaan om een ontevreden medewerker die de organisatie terug wil pakken. Het zijn vooral de privileged accounts die gevaar lopen, omdat zij een aanvaller brede toegang geven tot het netwerk. Uit een recent onderzoek dat we uitvoerden noemde 88 procent van de IT-beslissers in de VS, het Verenigd Koninkrijk en Azië bedreigingen van binnenuit een groeiende zorg.

De zogenaamde ‘insider threats’ zijn vooral een toenemend probleem voor securityteams die verantwoordelijk zijn voor het monitoren van honderden tot soms duizenden gebruikersaccounts. Daarbij is het niet alleen moeilijk om goed gekwalificeerde mensen te vinden, maar ook om de juiste balans te vinden tussen veiligheid en gebruiksgemak. Vanuit de business komt vaak druk om gebruiksgemak voorop te stellen. Daarnaast is het niet langer realistisch om beveiligingsactiviteiten handmatig uit te voeren.

UEBA wordt belangrijker

Nu gebruikersaccounts steeds vaker als aanvalsmiddel worden gebruikt om data te stelen of systemen te saboteren, wordt UEBA een belangrijke tool voor securityteams. Met UEBA kunnen zij bedreigingen van binnenuit detecteren, evenals gerichte aanvallen en fraudepogingen. Dat kan in realtime. Securityteams zien direct wanneer er iets op het netwerk gebeurt dat afwijkt van de norm.

Hoe werkt UEBA? Om te beginnen verzamelt de technologie grote hoeveelheden data over gebruikersactiviteit en -gedrag vanuit verschillende databronnen. Het systeem leert vervolgens het gedrag van gebruikers en entiteiten (zoals devices, servers en andere endpoints) door het toepassen van op scenario’s gebaseerde algoritmes die gebruikmaken van machine learning, statistische analyse, peer group analytics en andere technieken. Zo legt het systeem een norm aan van gebruikelijk en verwacht gedrag van mensen en systemen. Daardoor kan het afwijkingen heel snel detecteren en erover rapporteren.

Een voorbeeld: wanneer gebruiker A nagenoeg iedere dag om 9.00 uur de computer start, mail gaat checken en kort het internet op gaat, is er geen reden tot zorg. Die is er wel wanneer deze gebruiker plotseling ‘s nachts om 3.00 uur inlogt vanuit Azië, en direct een flinke hoeveelheid data probeert te downloaden om die naar een persoonlijke clouddienst over te zetten. Dat is genoeg om de alarmbellen te laten rinkelen.

UEBA-technologie helpt organisaties om betrouwbaardere securitysystemen te bouwen. Algoritmes kunnen zich aanpassen, risicotolerantie is in te stellen en een organisatie kan ook de basisnorm bijstellen. Systemen blijven zichzelf nieuwe dingen leren en worden daardoor effectiever in het detecteren van bedreigingen van binnenuit. Daarnaast kan het zwakke schakels opsporen.

Het grote belang van technologie voor ieder bedrijf, gecombineerd met de snelheid waarop hackers nieuwe aanvallen ontwikkelen, maakt het voor securityteams steeds moeilijker om tijdig te reageren op een bedreiging. Maar als ze in staat zijn om afwijkend gedrag binnen de IT-omgeving direct te detecteren en het mogelijk is om het creëren, verwijderen en instellen van privileged accounts te monitoren, zijn patronen te herkennen en interne en externe bedreigingen veel beter af te slaan. Doordat dit op een geautomatiseerde manier kan plaatsvinden, is menselijke tussenkomst niet nodig en zijn false positives terug te dringen. Daarnaast krijgen IT-teams meer tijd voor strategische taken.

Uiteraard moet een organisatie de rand van het netwerk beschermen. Maar ze moeten er tegelijkertijd van bewust zijn dat aanvallen van alle kanten kunnen komen en dat deze steeds geavanceerder worden. UEBA kan daarbij helpen en is daardoor een krachtig wapen in het cybersecurity-arsenaal.

Ross Brewer, vice president & managing director EMEA, LogRhythm