Hackers kunnen inbreken in firewalls, je e-mails sturen met kwaadaardige en geïnfecteerde bijlagen, of zelfs een werknemer omkopen om toegang te krijgen tot je firewalls. Tools en systemen om hackers buiten de deur te houden verouderen snel en er zijn verschillende manieren om ze te omzeilen. UEBA biedt een bredere manier om ervoor te zorgen dat je organisatie beschikt over state of the art beveiliging, terwijl het je ook helpt om gebruikers of entiteiten op te sporen die je hele systeem in gevaar kunnen brengen. Maar wat is UEBA en hoe werkt het precies? Dat vertellen we je graag in dit blog!
Wat is UEBA?
UEBA is de afkorting die gebruikt wordt voor ‘User and Entity Behavior Analytics’. Het is een cybersecurity-oplossing die algoritmen en machine learning gebruikt om afwijkingen in het gedrag van gebruikers, routers, servers en andere endpoints in je netwerk op te sporen. Dat klinkt nog best abstract, nietwaar? UEBA vraagt inderdaad om wat meer uitleg om echt te kunnen begrijpen wat het is en waarom jouw organisatie er gebruik van zou moeten maken.
Hoe werkt UEBA?
UEBA probeert vreemd of verdacht gedrag te herkennen. Daarbij kun je denken aan situaties waarin sprake is van onregelmatigheden ten opzichte van het normale dagelijkse gebruik van je systemen of patronen die ineens doorbroken worden. Stel: een gebruiker downloadt regelmatig bestanden van 20 MB tijdens kantooruren. Dit is normaal gedrag. Maar nu downloadt die gebruiker ineens een bestand van 10 GB midden in de nacht. Dit is een afwijking die UEBA direct opmerkt. UEBA kan dan een IT-beheerder waarschuwen of deze gebruiker zelf de toegang tot het bedrijfsnetwerk ontzeggen. Maar UEBA gaat verder dan het in de gaten houden van menselijk gedrag: ook machines worden nauwlettend gemonitord.
Wanneer een van je servers plotsklaps duizenden verzoeken meer ontvangt dan normaal, wat het begin van een potentiële DDoS-aanval betekent, kan het zijn dat je IT-afdeling dit niet direct opmerkt. Maar UEBA heeft het wél door en onderneemt direct actie om je netwerk te beschermen.
Om UEBA goed te laten werken, moet de UEBA-oplossing van je keuze op ieder apparaat geïnstalleerd zijn. Bied je binnen jouw organisatie de mogelijkheid om op eigen apparaten te werken aan? Dan moet de UEBA-oplossing ook op die apparaten worden geïnstalleerd, want deze kunnen natuurlijk ook het doelwit zijn van een cyberaanval.
Zelfs de router waarmee medewerkers vanuit huis verbinding met het bedrijfsnetwerk maken, is een extra mogelijkheid voor een aanval en moet dus met de UEBA-oplossing beveiligd zijn. Na de installatie begint de UEBA-oplossing gegevens te verzamelen over apparaat- en netwerkgebruik. De algoritmen definiëren wat als normaal mag worden beschouwd en wat afwijkingen zijn waarop het in moet grijpen.
3 Componenten
Een UEBA-oplossing werkt op basis van 3 componenten:
- Analytic: Verzamelt gegevens en bepaalt aan de hand daarvan wat normaal gedrag is van gebruikers en componenten. Daarvoor stelt het systeem profielen op waarin het vastlegt hoe ieder (apparaat) normaal handelt met betrekking tot applicatiegebruik, communicatie- en downloadactiviteit en netwerkconnectiviteit. Vervolgens formuleert het statische modellen die het toepast om ongewoon gedrag te detecteren.
- Integratie: UEBA is niet bedoeld om bestaande beveiligingsproducten die je onderneming gebruikt overbodig te maken. Met de juiste integratie vergelijken UEBA-systemen gegevens uit verschillende bronnen en datasets. Door deze gegevens te integreren, wordt je beveiligingssysteem robuuster en is de kans op cyberaanvallen kleiner.
- Presentatie: De bevindingen van het UEBA-systeem worden gecommuniceerd en er wordt een passende actie ondernomen. Deze acties verschillen per organisatie en UEBA-systeem: sommige systemen geven alleen waarschuwingen aan de werknemer of IT-afdeling, terwijl andere systemen direct actie kunnen ondernemen. Daarbij kun je denken aan het afsluiten van de netwerkverbinding bij een vermoedelijke cyberaanval.
Waarom heb je UEBA nodig?
Met een UEBA-oplossing kun je jouw organisatie beter beveiligen. Traditionele beveiligingsproducten, zoals firewalls, intrusion detection en prevention tools, kunnen je organisatie niet langer effectief beschermen tegen indringers. Kwaadwillenden vinden hoe dan ook een manier om je systeem binnen te dringen. Het is dus van groot belang dat zelfs de kleinste afwijking in gebruik opgemerkt wordt. De grootste voordelen van UEBA ontdek je hieronder.
Detectie van breed scala aan bedreigingen
Het belangrijkste voordeel van UEBA is dat het bedrijven in staat stelt een veel breder scala aan cyberdreigingen te detecteren. Brute force-aanvallen, DDoS-aanvallen, bedreigingen van binnenuit en gecompromitteerde accounts zijn slechts enkele categorieën bedreigingen die UEBA kan detecteren.
Efficiënt gebruik van kennis binnen organisatie
Dankzij machine learning en kunstmatige intelligentie is het niet langer nodig om je IT-afdeling in te zetten voor netwerkanalyse. Hierdoor kunnen je IT-medewerkers zich bezig houden met zaken die bijdragen aan andere projecten die jouw organisatie meerwaarde bieden.
Kostenbesparing
Wanneer je organisatie getroffen wordt door een ransomware-aanval, zit er meestal niets anders op dan ‘losgeld’ te betalen om weer toegang te krijgen tot je systemen. Ook bij een malware-aanval kan je server dagenlang onbereikbaar zijn. Je medewerkers kunnen niet werken en je IT-afdeling draait overuren om het landschap te herstellen. Aangezien een UEBA-oplossing dit soort aanvallen detecteert en voorkomt, hoef je je over deze extra uitgaven geen zorgen meer te maken.
Verlaagt het risico
Nu thuiswerken tot de dagelijkse gang van zaken in de meeste organisaties behoort, werken medewerkers thuis of op kantoor met meerdere apparaten en routers die toegang hebben tot het openbare internet. Ieder apparaat dat is aangesloten op het bedrijfsnetwerk is kwetsbaar voor cyberaanvallen. Het is voor je IT-afdeling onmogelijk om ieder apparaat te monitoren. UEBA neemt deze taken van je over. Daarbij kan het niet alleen gedownload worden naar thuisapparaten, maar kan de UEBA-oplossing ook ingezet worden voor IoT-apparaten en systemen in winkels, magazijnen en ziekenhuizen.
Compliance
Ten slotte kan UEBA niet alleen kan worden gebruikt voor het opsporen van bedreigingen, maar ook voor compliance. Sectoren zoals de financiële dienstverlening en de gezondheidszorg hebben beveiligingsnormen waaraan zij moeten voldoen. Terwijl eenvoudige, alledaagse netwerkbewakingstools kunnen bepalen of software is bijgewerkt met de meest recente beveiligingspatches, gaat UEBA een aantal stappen verder.
Daardoor kan jouw organisatie een eventuele bedreiging onmiddellijk aanpakken en voorkomen dat je boetes moet betalen of een juridische procedure moet starten in verband met een datalek.
Werkt UEBA Samen met IAM?
Binnen je organisatie is het belangrijk om inzicht en controle te hebben in identiteiten en entiteiten. Een Identity and Access Management-tool (IAM) verzamelt gegevens uit verschillende contexten zoals gebruiker, apparaat, locatie, tijd en netwerk om deze identiteiten en bijbehorende gebruikersrechten vast te stellen. Zo hebben gebruikers alleen toegang tot de systemen die zij daadwerkelijk nodig hebben. Wanneer een gebruiker, bijvoorbeeld, toegang krijgt tot een app, gebruikt hij/zij een mobiele telefoon, vanaf een locatie, doorkruist een netwerk met firewalls, wordt geauthenticeerd, neemt een rol aan en voert vervolgens een bepaalde activiteit uit. Zo is IAM een eerste verdedigingslinie die apparaten beschermt en authenticatie versterkt middels 2FA. UEBA maakt vervolgens gebruik van de analyse van netwerkgebruik van deze apparaten en neemt daarbij ook de gegevens mee uit IAM. Zo houd je jouw organisatie veilig, zonder dat dit ten koste gaat van de gebruikerservaring.
UEBA binnen KeyHub
KeyHub controleert op IP-adress en geolocatie. Als je gedurende een sessie "verplaatst" zal KeyHub opnieuw om authenticatie vragen. Daarnaast zijn alle events (uitlezen kluisregel, activeren groep, inloggen, uitloggen) te streamen naar andere applicaties zoals UEBA en SIEM. Met deze events kan UEBA bijvoorbeeld afwijkend gedrag van gebruik van wachtwoorden, SSO en provisioning detecteren.
Meer weten over Topicus KeyHub?
Ben je na het lezen van dit blog nieuwsgierig geworden naar de mogelijkheden die Topicus KeyHub biedt? Vind je het prettig om zelf te ervaren hoe je deze toe kunt passen in je bedrijf? Dan kun je snel, eenvoudig en vrijblijvend een demo aanvragen! We nemen dan binnen één werkdag contact met je op om een demo-sessie in te plannen. Wil je liever eerst meer informatie, een persoonlijk gesprek of ben je al overtuigd van Topicus KeyHub? Neem dan direct contact met ons op!