Che cos’è la UEBA?

L’analisi del comportamento degli utenti e delle entità, in inglese UEBA (User and Entity Behavior Analytics) è un potente strumento di sicurezza informatica, che permette di rilevare anomalie sui modelli di traffico all’interno della rete. I cybercriminali possono muoversi in diversi modi una volta violata una rete, perciò le organizzazioni devono riuscire a rilevare rapidamente eventuali attività malevole, per limitare il data breach. Gli attaccanti possono trafugare file, installare malware sui dispositivi, interrogare database, prendere il controllo dei dispositivi degli utenti, o semplicemente spiare il traffico in transito nella rete.

Tutto ciò che passa all’interno della rete può essere monitorato. Tuttavia, per evitare falsi positivi, ogni rilevamento che da esito positivo, deve essere distinguibile dall’attività di rete legittima degli utenti. In cyber security l’UEBA permette di identificare pattern di traffico anomali ed allertare gli amministratori di rete, senza interferire con il traffico di rete legittimo e le attività degli utenti.

Una rete informatica può essere costituita da migliaia di dispositivi e utenti che generano giornalmente enormi quantità di traffico. Il lavoro da remoto, l’utilizzo sempre più diffuso del cloud e delle reti pubbliche, hanno aumentato la superficie di attacco a disposizione dei cybercriminali. Normalmente il traffico di rete viene monitorato alla ricerca di anomalie ma sono pochi gli strumenti che analizzano i pattern di comportamento sulla rete.

Un tool di UEBA aiuta gli esperti della sicurezza a identificare eventuali anomalie grazie all’uso di statistiche di riferimento sull’attività di utenti e dispositivi, che vengono continuamente comparate con il comportamento dell’utente. Questi comportamenti possono essere del tutto legittimi, o al contrario, totalmente malevoli, e uno strumento UEBA permette di distinguere, tra i miliardi di bytes che transitano nella rete, eventuali minacce.

L’analisi è ciò che fa dell’UEBA uno strumento di sicurezza così potente. Fino a poco tempo fa, il massimo che si poteva fare era impostare dei semplici trigger per indicare quando un determinato file veniva aperto o quando ad esempio, un tentativo di autenticazione falliva. I software UEBA si servono invece dell’intelligenza artificiale e algoritmi di machine learning per determinare se, ad esempio, i tentativi di autenticazione sono legittimi, o se provengono al contrario da un attaccante esterno.

Funzioni della UEBA nella sicurezza informatica

L’UEBA , nell’ambito della sicurezza informatica, ha diverse funzioni, tra cui:

• Rilevamento di minacce interne: Le minacce interne sono costituite principalmente dai dipendenti dell’azienda, ma possono anche trattarsi di collaboratori esterni con accesso alla rete aziendale. I data breach che provengono dall’interno possono essere accidentali, come nel caso in cui un dipendente viene spinto con l’inganno a cadere vittima di un attacco, ma possono anche essere il frutto di un comportamento malevolo.
• Rilevamento di account compromessi: Quando un dipendente dell’azienda rimane vittima di phishing, l’attaccante si serve delle credenziali sottratte per accedere alla rete e trafugare dati sensibili.
• Rilevamento di attacchi brute-force: Gli attacchi agli account degli utenti sono comuni negli ambienti cloud accessibili pubblicamente. Un attacco brute-force può andare avanti all’infinito se non viene implementata una misura di sicurezza in grado di bloccarlo.
• Rilevamento di una violazione: Quando tutti gli altri sistemi di sicurezza falliscono, l’UEBA fermerà gli attaccanti che sono già riusciti a penetrare all’interno del perimetro di rete aziendale.

Senza i software UEBA, le aziende non sarebbero in grado di rilevare i data breach e adottare tempestivamente le misure per correggere la falla di sicurezza. Più un attaccante riesce a mantenere l’accesso a una rete, maggiori saranno le quantità di dati che riuscirà a trafugare.

Rilevare un attaccante all’interno della rete può richiedere mesi interi. I sistemi UEBA permettono di ridurre il tempo di permanenza dei cybercriminali all’interno di reti e sistemi critici.

Dopo una violazione di rete, un attaccante solitamente svolge operazioni nascoste per evitare di essere rilevato. La maggior parte dei sistemi di sicurezza informatica basano il proprio funzionamento sul tentare di bloccare l’accesso alla rete da parte dei cybercriminali. Tuttavia, i sistemi in grado di rilevare pattern di traffico sospetti dopo una violazione sono pochi. L’intelligenza dei tools UEBA sta invece nel riuscire a identificare anomalie nei pattern all’interno della rete, rispetto alle statistiche di riferimento del normale traffico relativo ad essa.

Supponete di conservare nei vostri server file aziendali sensibili relativi ad esempio alla proprietà intellettuale. Gli addetti al dipartimento legale e altri dirigenti potrebbero accedere a tali file in modo casuale, ma soltanto poche volte nell’arco di un anno, per esempio.

Un attaccante può avere accesso a tali file in diversi modi. Uno potrebbe essere tramite una campagna di phishing mirata, grazie alla quale riesce a sottrarre le credenziali di accesso ad uno degli addetti al dipartimento legale. Un altro metodo potrebbe essere l’utilizzo di un malware all’interno della rete, per trafugare il file e inviarlo a server esterni controllati dai cybercriminali. Oppure un complice interno all’azienda potrebbe copiare il file e inviarlo ad un indirizzo email esterno all’azienda.

Identificazione delle anomalie con un sistema UEBA

Ogni attività compiuta dall’attaccante genererà traffico. Supponete che l’attaccante o il malware all’interno della rete ricerchi materiale relativo a proprietà intellettuale e trovi il file. Per accedere al file potrebbe essere necessaria l’autenticazione o un’autorizzazione, perciò scansionare ed accedere al file, genererà traffico anomalo rispetto a quello generato da un normale utente che si autentifica alla rete e apre il file. L’attaccante preleverà una copia, un comportamento insolito rispetto ai precedenti accessi al file da parte di utenti legittimi. Un sistema di sicurezza UEBA cattura un’istantanea di riferimento del normale pattern di traffico relativo a questo file e lo confronta con l’attività corrente.

Dato che l’attaccante non conosce qual è il normale pattern per quel determinato file, ogni sua attività sarà quasi sicuramente differente dalla normale attività di rete. L’UEBA identificherà l’anomalia e invierà un’allerta agli amministratori di rete, per la possibile violazione.

Protezione dalle minacce interne

Un tool UEBA protegge anche dalle minacce interne, troppo spesso sottovalutate e trascurate. Le organizzazioni danno per scontato di potersi fidare dei propri dipendenti, tuttavia una mela marcia può trovarsi in ogni ambiente. Un attaccante interno avrebbe vita facile nel compiere attività malevole, avendo molti meno ostacoli rispetto ad un attaccante esterno. I lavoratori disonesti potrebbero essere spinti da aziende concorrenti a caccia di segreti industriali, o semplicemente dalla volontà di danneggiare l’azienda.

In certi casi, le minacce interne non sono intenzionali, ma derivano ad esempio da un account hackerato di qualche dipendente o da un attacco phishing andato a buon fine. Anche l’attività relativa alle minacce interne presenterà anomalie, in quanto l’utente infedele tenterà di accedere a file a cui normalmente non ha accesso, o effettuare copie di file attorno ai quali normalmente non si rileva particolare attività.

La maggior parte delle organizzazioni utilizza strumenti SIEM (Security Information and Event Management) per rilevare attività insolita nella rete, perciò un sistemi di cyber security UEBA potrebbe sembrare ridondante. Tuttavia, i software UEBA funzionano in maniera diversa dai SIEM, e possono perfettamente lavorare in abbinamento con essi.

Il SIEM è un sistema basato su regole che registra file di log da sistemi diversi, analizza i dati, per poi fornire preziose informazioni agli analisti, oltre che inviare loro segnali di allerta e suggerimenti per aiutarli a prendere le giuste decisioni.

Uno strumento UEBA lavora in modo differente. Esso rileva attività e comportamenti anomali da parte dell’utente, grazie ad algoritmi di intelligenza artificiale e all’assegnazione di punteggi di rischio. In questo modo può determinare se i pattern di traffico sono relativi ai normali utenti o ad eventuali attaccanti. Questi strumenti lavorano con i big data, e sfruttano il machine learning per i propri sistemi di analisi, segnalazione, e allerta. In generale, la soluzione migliore dal punto di vista della sicurezza dopo una violazione, è dotarsi sia di uno strumento SIEM che UEBA.