I dag foregår meget hacking ved, at din virksomheds data bliver kompromitteret af hackere. Via en medarbejder-/bruger konto får de direkte adgang til virksomhedens IT-infrastruktur. Vil du undgå, at dette scenarie opstår, vil UEBA være løsningen til optimering af din SIEM.
UEBA er næste generation SIEM
SIEM er en moden teknologi, og den næste generation som er baseret på UEBA (User Entity Behavior Analysis) er kommet på markedet. Det er løsninger, der kan bygges oven på eksisterende SIEM løsninger, som ved hjælp af Artificial Intelligence (AI) forholder sig til data og data-værdier. Du bliver i stand til at se på menneskelige adfærdsmønstre. Dette kan hjælpe med at opdage op til 50% flere insidertrusler, målrettede angreb og svig end med traditionel SIEM.
Truslen kommer ofte indefra
Forestil dig en medarbejder eller ekstern konsulent med privilegeret adgang til it-systemer, som har til hensigt at udføre et cyberangreb mod organisationen. Det sker desværre, og det kan være yderst vanskeligt at opdage dette gennem logfiler eller regelmæssige sikkerhedshændelser. UEBA-løsninger hjælper dig med at etablere en baseline for en brugers typiske opførsel og opdage unormal brugeraktivitet.
Kompromittering af brugerkonti
Det er almindeligt for hackere at infiltrere en organisation og kompromittere en privilegeret brugerkonto eller betroet bruger på netværket og så fortsætte angrebet derfra. Traditionelle sikkerhedsværktøjer har svært ved at opdage en kompromitteret bruger. Hvis angrebsmønsteret ikke er kendt, eller hvis angrebet bevæger sig sideværts gennem en organisation ved
at ændre legitimationsoplysninger, IP-adresser eller aktiver, er det stort set umuligt.
UEBA kan hjælpe med hurtigt at opdage og analysere aktiviteter, som hackeren udfører via den kompromitterede konto. UEBA-teknologi kan registrere disse typer angreb, fordi de næsten altid vil tvinge aktiver til at opføre sig anderledes. Dvs. de afviger fra fastlagte adfærdsmæssige mønstre/baselines.
Internet of Things (IOT)
IOT udgør et voksende problem. Kameraer, sensorer, alarmer, medicinsk udstyr og produktionsudstyr bliver i højere og højere grad tilsluttet til virksomhedernes infrastruktur.
Disse typer udstyr er typisk uhyre lette at angribe. Derfor bliver de benyttet som indgang til at stjæle data eller få adgang til andre it-systemer.
Lad os tage et eksempel:
En bruger logger på i Ålborg, og efter 5 minutter logger vedkommende på i København. Denne hændelse scorer nogle risikopoint.
En bruger forsøger at logge på virksomhedens kritiske systemer uden af have adgang. Dette udløser også et antal risikopoint for denne bruger.
Overstiger en brugers samlede risikopoint en prædefineret grænse, udløser det en alarm på denne bruger, og du kan lynhurtigt se, hvilken adfærd brugeren har lige nu i jeres infrastruktur og vurdere, om der skal foretages yderligere.
Jamen det lyder jo fantastisk, hvorfor køber vi det ikke bare? Det løser jo mange af vores problemer og sikrer os endnu mere; en avanceret teknologi, som giver en enkelt metode til at holde øje med virksomhedens sikkerhed.
Omkostningstung investering – og dog?
UEBA ligger i den dyrere ende af SIEM løsninger og vil for nogle være en omkostningstung investering. Men ser man på de analyser, der kalkulerer omkostningerne ved et nedbrud forårsaget af hacker-angreb, og holder man disse omkostninger op imod prisen for disse avancerede next generation SIEM løsninger, så tror jeg, at det danske marked vil tage imod løsningerne med åbne arme.
Markedet i Danmark er så småt ved at modnes i kraft af de stadig flere virksomheder, der har været igennem et massivt hackerangreb.
I CapMon har vi via MSSP partnerskab med Exabeam inkluderet UEBA i vores portefølje.
Vi er klar til at hjælpe virksomheder i Danmark med at optimere it-sikkerheden.