Veel organisaties maken nog altijd gebruik van een vpn om geautoriseerde gebruikers en devices toegang te geven tot het bedrijfsnetwerk. Nadeel van deze aanpak is dat wanneer eenmaal een beveiligde verbinding is gemaakt, er verder geen zicht meer is op wat die gebruiker of dat device doet op het netwerk. Dit is waar user and entity behaviour analytics (ueba) van betekenis kan zijn.
Welke data worden er benaderd? Welke toepassingen of apps worden er gebruikt? In de meeste gevallen zal dat correct en met de juiste intenties zijn. Maar wat als zo’n gebruiker of device minder goede bedoelingen heeft? Bij een vpn-verbinding is dat niet te detecteren. De gebruiker of het device is op de juiste wijze ingelogd aan de rand van het netwerk en kan vervolgens helemaal zijn gang gaan.
Network access control (nac) is een iets meer geavanceerde securitytechnologie die bij veel organisaties op de projectlijst staat of al wordt gebruikt. Een nac-oplossing zorgt ervoor dat alleen geautoriseerde gebruikers en devices verbinding kunnen maken met het besloten deel van het netwerk, dat gasten bijvoorbeeld alleen internettoegang krijgen en dat onbekende gebruikers en devices worden geblokkeerd. Als een device of gebruiker eenmaal toegang heeft gekregen tot het netwerk, verdwijnt hij bij een pure nac-implementatie vervolgens uit het zicht. Wat voor verkeer genereert deze gebruiker? Gedraagt het (iot-)device zich wel normaal? Dit soort controles maakt geen deel uit van de meeste nac-oplossingen.
Bergen data
Maar wat nu als een gebruiker of (iot-)device verdacht verkeer genereert of afwijkend gedrag vertoont? Bijvoorbeeld een smartbuilding-sensor die gehackt is en vervolgens deel uitmaakt van een botnet dat wordt gebruikt voor een ddos-aanval. Hoelang duurt het voordat het securityteam dit soort afwijkend gedrag detecteert?
Medewerkers loggen op verschillende dagen in op cloud- of on-premises applicaties, downloaden en uploaden bestanden en reageren op authenticatieverzoeken. Het monitoren van al deze activiteiten levert bergen aan data op, vooral als je kijkt naar alle verschillende apparaten en apps die werknemers gebruiken voor hun werk, hun actuele locatie en de tijden waarop ze gewoonlijk met apps communiceren. Dit is waar de kracht van user and entity behaviour analytics (ueba) om de hoek komt kijken. In plaats van te vertrouwen op statische securitychecks of voortdurend te staren naar statische ‘ruis’, analyseert ueba automatisch het gedrag van gebruikers en devices. Daarmee kunnen zowel interne als externe dreigingen gedetecteerd worden en is het mogelijk om datalekken of ransomware-aanvallen te voorkomen.
Patronen signaleert
Simpel gezegd is ueba een securityproces dat normaal gebruikersgedrag monitort en afwijkingen van bekende patronen signaleert. Hoewel een dader relatief makkelijk de gebruikersnaam en het wachtwoord van een medewerker kan stelen, is het veel moeilijker om het normale gedrag van die persoon op het netwerk te imiteren. Zo helpt ueba ook bij het detecteren van bewuste of onbewuste interne dreigingen, waarbij een geautoriseerde gebruiker iets doet dat schadelijk kan zijn voor uw organisatie.
Ueba maakt gebruik van machine learning en data-analyse om afwijkend gedrag te detecteren dat mogelijk een securityrisico vormt. Als ik bijvoorbeeld normaal iedere dag slechts enkele mb’s aan data download via het netwerk, maar plotseling gigabytes download, zou een ueba-systeem deze afwijking detecteren en het it-securityteam van de onderneming waarschuwen. Ook de locatie waar vandaan een gebruiker of apparaat communiceert met het netwerk, kan een indicatie zijn van ongewoon of verdacht gedrag: als iemand zich vanuit Amsterdam aanmeldt bij een werkaccount en er enkele minuten later opnieuw een accountlogin wordt gedetecteerd vanuit China, zou een ueba-systeem deze anomalie detecteren en bijvoorbeeld automatisch actie kunnen ondernemen om de gegevens die toegankelijk zijn voor dit account af te schermen.
Ueba en siem
Met een security information and event management (siem) kunnen securityteams verschillende datasets en grote volumes aan securitymeldingen en events uit meerdere bronnen samenvoegen voor verwerking en analyse. Workflows en rule-engines verwerken deze data en genereren vervolgens rapporten waarmee admins prioriteiten kunnen toekennen aan incidenten en meldingen, om daar vervolgens actie op te ondernemen. Met zoekopdrachten, query’s, dashboards en rule-based engines geven de meeste siem’s een volledig 360-gradenbeeld van de bedrijfssystemen. Ze helpen admins om sneller te reageren op incidenten en in sommige gevallen detecteren ze ook trends en creëren ze regels om de juiste stappen te starten.
Hoewel het op het eerste gezicht misschien lijkt alsof ueab en siem hetzelfde doen, zijn er een paar belangrijke verschillen. In tegenstelling tot een siem houdt ueba geen securityevents bij en bewaakt het geen devices. In plaats daarvan monitort ueba het gedrag van gebruikers, devices, applicaties en gegevens binnen het netwerk op afwijkingen die kunnen duiden op een dreiging. Hoewel ueba ook veel gegevens analyseert, gebruikt het machine intelligence voor automatische analyse van patronen en verdere escalatie, in plaats van alleen te vertrouwen op menselijke intelligentie.
Hooiberg
Ueba is ontwikkeld om de spreekwoordelijke speld in de hooiberg te vinden. Het is in staat om dreigingen in realtime te analyseren, te modelleren en te voorkomen. Als een gebruiker bijvoorbeeld een grote hoeveelheid gevoelige informatie van Office 365 downloadt en meerdere data loss prevention (dlp)–schendingen veroorzaakt, kunnen we op basis van die informatie automatisch de toegang tot verdere downloads blokkeren en ook de toegang tot andere applicaties, bijvoorbeeld Salesforce, afsluiten voor die specifieke gebruiker. Op deze manier kan gegevensdiefstal in realtime worden voorkomen.
Een ander voorbeeld is wanneer een gecompromitteerd device grote hoeveelheden gegevens downloadt en normale gedragsniveaus begint te overschrijden. Ook dan is de verdere datacommunicatie direct te blokkeren. In tegenstelling tot statische systemen, zijn deze drempelwaarden dynamisch en passen ze zich aan de normale activiteiten van de gebruiker aan. Daarbij kan ueba zowel in- als externe dreigingen monitoren. Gegevensdiefstal door ontevreden medewerkers, of toekomstige ex-werknemers, is een goed voorbeeld van een dreiging van binnenuit.
Ueba is ook goed in staat om externe dreigingen te detecteren door het gedrag van gekaapte accounts en gecompromitteerde inloggegevens en inloggegevens die worden gebruikt bij ‘credential stuffing’ te monitoren. Dit zijn bekende technieken die door criminelen worden gebruikt om bedrijfssystemen te infiltreren.
Een component
Het is hierbij belangrijk om te benadrukken dat ueba slechts een component is van een moderne securityarchitectuur. Er zijn nog twee andere belangrijke elementen waarmee rekening moet worden gehouden: het continu monitoren van de risicostatus van endpoints en de gevoeligheid van de apps en gegevens waartoe gebruikers en endpoints toegang hebben.
Inmiddels gebruiken vrijwel alle medewerkers van een organisatie wel een of ander privé-apparaat, zodat ze overal en altijd kunnen werken. Zeker met de door corona veroorzaakte thuiswerktrend is ‘breng uw eigen apparaat mee’ bij veel organisaties geaccepteerd. Dit betekent dat it-securityteams continu zowel beheerde als de onbeheerde apparaten van medewerkers moeten monitoren om de bedrijfsgegevens optimaal te beschermen. Met goede beleidsregels rond gebruikersgedrag, de risicostatus van endpoints en de gevoeligheid van gegevens, is het zonder meer mogelijk om kostbare bedrijfsinformatie goed te beveiligen, zonder dat dit de productiviteit belemmert.
