I dag foregår meget hacking ved, at din virksomheds data bliver kompromitteret af hackere, som via en medarbejder-/bruger konto får direkte adgang til virksomhedens IT-infrastruktur. Vil du undgå, at dette scenarie opstår, vil UEBA være løsningen til optimering af din SIEM.

UEBA er næste generation SIEM

SIEM er en moden teknologi, og den næste generation som er baseret på UEBA (User Entity Behavior Analysis) er kommet på markedet. Det er løsninger, der kan bygges oven på eksisterende SIEM løsninger, som ved hjælp af Artificial Intelligence (AI) forholder sig til data og data-værdier. Du bliver i stand til at se på menneskelige adfærdsmønstre. Dette kan hjælpe med at opdage op til 50% flere insidertrusler, målrettede angreb og svig end med traditionel SIEM.

Truslen kommer ofte indefra

Forestil dig en medarbejder eller ekstern konsulent med privilegeret adgang til it-systemer, som har til hensigt at udføre et cyberangreb mod organisationen. Det sker desværre, og det kan være yderst vanskeligt at opdage dette gennem logfiler eller regelmæssige sikkerheds-hændelser. UEBA-løsninger hjælper dig med at etablere en baseline for en brugers typiske opførsel og opdage unormal brugeraktivitet.

Kompromittering af brugerkonti

Det er almindeligt for hackere at infiltrere en organisation og kompromittere en privilegeret brugerkonto eller betroet bruger på netværket og så fortsætte angrebet derfra.
Traditionelle sikkerhedsværktøjer har svært ved at opdage en kompromitteret bruger, hvis angrebsmønsteret ikke er kendt, eller hvis angrebet bevæger sig sideværts gennem en organisation ved
at ændre legitimationsoplysninger, IP-adresser eller aktiver.

UEBA kan hjælpe med hurtigt at opdage og analysere aktiviteter, som hackeren udfører via den kompromit-terede konto. UEBA-teknologi kan registrere disse typer angreb, fordi de næsten altid vil tvinge aktiver til at opføre sig anderledes, dvs. afvige fra fastlagte adfærds-mæssige mønstre/baselines.

Internet of Things (IOT)

IOT udgør et voksende problem. Kameraer, sen- sorer, alarmer, medicinsk udstyr og produktionsudstyr bliver i højere og højere grad tilsluttet til virk- somhedernes infrastruktur. Disse typer udstyr er typisk meget lette at angribe, og derfor bliver de benyttet som indgang til at stjæle data eller få adgang til andre it-systemer. Med UEBA kan du spore et ubegrænset antal tilsluttede enheder, etablere en adfærdsmæssig baseline for hver enkelt enhed eller gruppe af lignende enheder og straks registrere, om en enhed afviger fra normalen.
Det kan være:

• Forbindelser til eller fra usædvanlige adresser eller enheder
• Aktivitet på usædvanlige tidspunkter
• Enhedsfunktioner, som typisk ikke bruges,
  bliver aktiveret.

Rent praktisk foregår det ved, at man sætter en lang række sikkerheds-score point på hver hændelse. Jo højere score jo værre.

Lad os tage et eksempel:

En bruger logger på i Ålborg, og efter 5 minutter logger vedkommende på i København. Denne hændelse scorer fx 5 sikkerhedspoint.

En bruger forsøger at logge på virksomhedens kritiske systemer uden af have adgang. Der sættes en sikkerheds score på 6 point.

Når en bruger når en given point score, udløser det en alarm på denne bruger, og man kan lynhurtigt se, hvilken adfærd brugeren har lige nu i ens infrastruktur.

Jamen det lyder jo fantastisk, hvorfor køber vi det ikke bare? Det løser jo mange af vores problemer og sikrer os endnu mere!

Omkostningstung investering – og dog?

UEBA ligger i den dyrere ende af SIEM løsninger og vil for nogle være en omkostningstung investering. Men ser man på de analyser, der kalkulerer omkostningerne ved et nedbrud forårsaget af hacker-angreb, og holder man disse omkostninger op imod prisen for disse avancerede next generation SIEM løsninger, så tror jeg, at det danske marked vil tage imod løsningerne med åbne arme.

Markedet i Danmark et så småt er ved at modnes i kraft af de stadig flere virksomheder, der har været igennem et massivt hackerangreb.

I CapMon har vi via MSSP partnerskab med Exabeam inkluderet UEBA i vores portefølje.

Om Exabeam løsningen

Exabeam er en kraftfuld sikkerheds-administrations-platform, der gør de sikkerhedsansvarlige mere effektive. De bliver udstyret med avancereret datalogi, der kan spore og undersøge de data om medarbejderadfærden, der er blevet indsamlet. Exabeam muliggør, at sikkerheds-teamet nu langt hurtigere kan opdage, undersøge og reagere på cyberangreb.

Løsningen er så intuitiv og enkel at bruge, at du kan sætte en studerende til at varetage 1st level SOC.

Du får:

• Et unikt forsvar mod hackerangreb
• Detektion ved hjælp af adfærd
• Undersøgelse og svar på få minutter
• SIEM forstærkning/migration

CapMon kan levere Exabeam løsningen som en Cloud eller On-Premise løsning.

Vi kan tilbyde at levere løsningen som en SaaS løsning (Software as a Service) eller implementere løsningen hos kunden.

Via en supportpakke stiller vi efterfølgende vores eksperter til rådighed.

Vi er klar til at hjælpe virksomheder i Danmark med optimere it-sikkerheden.