İçerideki ve dışarıdan gelen saldırganlar, kurumsal iş uygulamalarında giderek artan bir endişe kaynağı haline geldi.
Harici saldırganlar, içeriden birinin kimliğine bürünmek ve uygulamalara bağlanmak için çalınan kimlik bilgilerinden yararlanırken, aynı zamanda içeridekiler SaaS ve yerel uygulamalarda yeterince izlenmez. Bu, kötüye kullanabilecek ve kötü niyetli faaliyetlerde bulunabilecek çalışanlar ve yöneticiler için bir risk oluşturur.
Kullanıcılar, ağlar ve cihazlar için algılama çözümleri iki ana teknolojiye dayalıdır: yasa dışı veya kötü niyetli davranışı tanımlayan kurallar ve kalıplar; ve oturum açma sayısı veya e-posta sayısı gibi etkinliklerin ortalamalarına ve standart sapmalarına dayanan istatistiksel hacimsel/sıklık yöntemleri.
Bu teknolojilere genellikle kullanıcı varlık davranış analitiği (UEBA) adı verilir. Ortalama, standart sapma, medyan ve diğer istatistiksel metrikler için temeller belirler ve ardından bu temelleri kullanarak anormal değerleri saptarlar.
Kullanıcılar Her Zaman Kurallara Uymaz
RevealSecurity’nin kurucu ortağı ve CEO’su Doron Hendler, kuralların ve UEBA’nın ağ, cihaz ve kullanıcı erişim katmanlarındaki büyük ortaklıklar nedeniyle etkili olduğunu söylüyor: Pazar, genel olarak sınırlı bir dizi ağ protokolü ve bir avuç işletim kullanıyor. sistemler.
“Ancak uygulama katmanı söz konusu olduğunda, uygulamalar arasındaki büyük farklılıklar nedeniyle UEBA başarısız oldu” diyor.
Hendler, on yıldan uzun bir süre önce güvenlik piyasasının, altyapı ve erişim katmanları için daha doğru algılama sağlamak üzere kural tabanlı çözümleri artırmak için istatistiksel analizi benimsediğini açıklıyor.
“Ancak UEBA, temelde yanlış olan bir varsayım nedeniyle doğruluğu önemli ölçüde artırma ve yanlış pozitif uyarıları azaltma konusunda söz verdiği gibi başarısız oldu: kullanıcı davranışı, günlük ortalama etkinlik sayısı gibi istatistiksel niceliklerle karakterize edilebilir” diyor.
Bu yanlış varsayımın, bir kullanıcıyı ortalama etkinliklerle karakterize eden UEBA’da yerleşik olduğunu savunuyor. “Aslında, insanların ortalama davranışları yoktur ve bu nedenle, insan davranışını tek bir etkinliğin ‘ortalama’, ‘standart sapma’ veya ‘medyan’ gibi nicelikleriyle tanımlamaya çalışmak beyhudedir” diyor.
UEBA Yalnızca Doğru Verilerle Çalışır
Netenrich’in baş güvenlik stratejisti David Swift, çok fazla şirketin güvenlik olay yönetiminin nasıl çalışması gerektiğine ilişkin düşüncelerini değiştirmeden UEBA’ya girdiğini söylüyor.
“Bir satıcıyla görüşmeden önce, müşteri işletme için en önemli verileri tanımlamalıdır – bunlar gerekli günlük verilerini gösterir – ve içerik oluşturmak için kullanılan bireysel göstergeleri ve tetikleyicileri tanımlayan bir tehdit oluşturabilecek kullanım durumlarını tanımlamalıdır. ” diyor. Daha sonra, pozitif doğrulama için çoklu olayları ve çoklu korelasyonları ilişkilendiren modeller oluşturmaları gerekir.
Swift, “UEBA yalnızca doğru verilerle çalışır” diye ekliyor. “Çoğu başarısız uygulama, kimlik verilerini veya önemli uygulamaları hiçbir zaman çekmedi. Kimlik olmadan, UEBA’da ‘kullanıcı’ olmaz. Uygulama olayları olmadan, yine aynı eski sorunu, yani kötü amaçlı yazılım algılamayı çözüyor.”
Onun bakış açısına göre UEBA, dağıtıma şirket açısından kritik bir uygulama ve IAM verileri dahil edildiğinde oldukça başarılı oluyor.
“İş için kritik öneme sahip yeni bir uygulama anormallikler açısından analiz edildiğinde, içeriden kişiler ve güvenliği ihlal edilmiş hesaplar bulduğumuzda işletme değeri yüksektir” diye açıklıyor. “UEBA kötü amaçlı yazılımları daha iyi tespit etmek için kullanıldığında ve yeni veri kaynakları kullanılmadığında başarısız olmaya mahkumdur.”
UEBA’nın azaltmaya yardımcı olması gereken yanlış pozitiflere kıyasla Swift, anomaliye dayalı kuralların hiçbir zaman sıfır yanlış pozitif içermediğini ekliyor.
“Tehdit zincirleri her zaman birden fazla göstergeyi düşük yanlış pozitifli bir modelde birleştirmeyi amaçlıyordu” diye açıklıyor. “Yanlış pozitifleri azaltacaksak, her zaman birden fazla göstergeyi birbirine bağlayan modeller hakkında olmuştur.” Tehdit zincirlerinin iyi yapıldığında düşük (yaklaşık %3) yanlış pozitif oranı verdiğini ekliyor.
UEBA için Kullanım Örnekleri
Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin, UEBA’nın kullanıcı davranışının çok tutarlı olduğu durumlarda başarılı olabileceğini söylüyor.
Örneğin, belirli lokasyonlarda ve belirli zamanlarda çalışan çağrı merkezi personelinin davranışlarındaki değişiklikler barizdir.
“Öte yandan, müşterileri ziyaret eden satış görevlileri gibi sahada çalışan kişilerin tahmin edilmesi çok daha zor” diyor.
Bireylerin “ortalama davranışlara” sahip olduğu varsayımının tamamen yanlış olduğunu düşünmediğini söylese de, insanların davranışları için hata payı “çok, çok” geniştir.
Yazma ritmi gibi bazı özelliklerin çok farklı olabileceğini, ancak konumlar ve kaynak erişimi dahil olmak üzere çalışma modellerinin çok daha değişken olabileceğini belirtiyor. “UEBA uygulamalarını doğru bir şekilde tahmin edebilecekleri türden davranışlara odaklamak, onları daha etkili hale getirecek ve uygulamaların kendileri de daha geniş bir davranış yelpazesini daha iyi tahmin etmek için analitiklerini geliştirecekler” diye ekliyor.
Swift’in bakış açısına göre “ortalama” yoktur – yalnızca öğrenilmiş davranış ve anormal davranış vardır.
“İnsanlar alışkanlıkları olan yaratıklardır” diyor. “Bir kullanıcı veya makine hakkında neyin benzersiz olduğunu öğrenmek zor değil.”
Veritabanı açısından bu, olayların dışında ikinci bir veritabanı oluşturmak anlamına gelir. “Benzersiz olan yerden seç” gibi SQL ifadeleri, normal olayları tanımlar; o zaman sayılmalı ve özetlenmelidir.
Swift, “Davranış profilleri oluşturmak oldukça basit ve işe yarıyorlar” diyor. “Akran anormallikleri – sizin yapmadığınız gibi başkalarının yaptığı bir şeyi yaptınız – biraz daha az kesin ve kuru ve çoğu kar taneleri. Ancak unvan ve departman gibi akran gruplarında bile çoğu normlar içinde kalıyor.”
Parkin, her UEBA uygulamasının eşit yaratılmadığına ve davranışın farklı yönlerine baktığı için aynı uygulama içinde bile aralarında etkinlik açısından çok fazla farklılık olduğuna dikkat çekiyor.
“Etraflı, [UEBA] yığına değerli bir katkı olabilir, ancak her tehdidi sihirli bir şekilde tanımlayabilen sihirli bir değnek değildir” diyor.