Analisis perilaku pengguna dan entitas atau UEBA adalah sejenis perangkat lunak keamanan yang menggunakan analisis perilaku, algoritme pembelajaran mesin, dan otomatisasi untuk mengidentifikasi perilaku pengguna dan perangkat yang tidak normal dan berpotensi berbahaya. UEBA khususnya efektif untuk mengidentifikasi ancaman orang dalam (orang dalam yang jahat, atau peretas yang menggunakan kredensial orang dalam yang sudah disusupi) yang bisa menghindar dari alat keamanan lain karena meniru lalu lintas jaringan yang sah.

UEBA, istilah yang diciptakan oleh Gartner pada tahun 2015, adalah evolusi dari analisis perilaku pengguna (UBA - user behavior analytics). Jika UBA hanya melacak pola perilaku pengguna akhir, UEBA juga memantau entitas non-pengguna seperti server, router, dan perangkat Internet of Things (IoT), untuk mencari anomali perilaku atau aktivitas mencurigakan yang menandakan adanya ancaman atau serangan keamanan.

UEBA digunakan dalam pusat operasi keamanan (SOC) bersama dengan alat keamanan perusahaan lainnya, dan fungsi UEBA seringkali disertakan dalam solusi keamanan perusahaan seperti manajemen informasi keamanan dan peristiwa (SIEM - security information and event management), deteksi dan respons titik akhir (EDR - endpoint detection and response), deteksi respons yang diperluas (XDR - extended detection and response), serta manajemen Identitas dan Akses (IAM - identity and access management).

Solusi UEBA memberikan wawasan keamanan melalui analisis data dan pembelajaran mesin. Alat analisis perilaku dalam sistem UEBA menyerap dan menganalisis banyak data dari berbagai sumber untuk menciptakan gambaran dasar bagaimana pengguna dan entitas dengan hak istimewa biasanya berfungsi. Alat ini kemudian juga menggunakan pembelajaran mesin untuk menyempurnakan dasarnya. Seiring ML belajar, solusi UEBA perlu untuk mengumpulkan dan menganalisis lebih sedikit sampel perilaku normal untuk menciptakan dasar yang akurat.

Setelah pemodelan perilaku dasar, UEBA menerapkan analisis tingkat lanjut dan kemampuan pembelajaran mesin yang sama pada data aktivitas pengguna dan entitas saat ini untuk mengidentifikasi perubahan mencurigakan dari model dasar secara real time. UEBA menilai perilaku pengguna dan entitas dengan menganalisis data dari sebanyak mungkin sumber perusahaan. Lebih banyak lebih baik. Sumber-sumber ini biasanya meliputi:

• Peralatan jaringan dan solusi akses jaringan, seperti firewall, router, VPN, dan solusi IAM.
   

• Alat dan solusi keamanan, seperti antivirus/perangkat lunak anti malware, EDR, sistem deteksi dan pencegahan intrusi (IDPS - intrusion detection and prevention systems), dan SIEM.
   

• Database autentikasi seperti Active Directory, yang berisi informasi penting mengenai lingkungan jaringan, akun pengguna, dan komputer yang aktif di sistem, serta aktivitas pengguna yang diizinkan.
   

• Umpan intelijen ancaman dan kerangka kerja seperti MITRE ATT&CK, yang menyediakan informasi tentang ancaman siber dan kerentanan umum, termasuk serangan zero-day, malware, botnet, dan risiko keamanan lainnya.
   

• Perencanaan sumber daya perusahaan (ERP) atau sistem sumber daya manusia (HR) yang mengandung informasi terkait tentang pengguna yang menimbulkan ancaman, misalnya karyawan yang baru diberhentikan atau dikecewakan.

UEBA menggunakan apa yang telah dipelajari untuk mengidentifikasi anomali perilaku dan menilainya berdasarkan risiko yang ditimbulkan. Contohnya, beberapa upaya autentikasi yang gagal dalam waktu singkat, atau pola akses sistem yang tidak wajar dapat mengindikasikan ancaman orang dalam, dan mungkin menimbulkan peringatan skor rendah. Demikian juga ketika pengguna mencolokkan beberapa drive USB dan melakukan pola unduh yang tidak wajar dapat mengindikasikan eksfiltrasi data dan akan menghasilkan skor risiko tinggi.

Penggunaan metrik skor ini dapat membantu tim keamanan menghindari positif palsu dan memprioritaskan ancaman terbesar, sekaligus mendokumentasikan dan memantau peringatan level rendah dari waktu ke waktu yang mengindikasikan ancaman bergerak lambat namun serius.

UEBA membantu perusahaan mengidentifikasi perilaku mencurigakan dan memperkuat upaya pencegahan kehilangan data (DLP). Di luar penggunaan taktis ini, UEBA juga digunakan untuk tujuan strategis, seperti menunjukkan kepatuhan terhadap regulasi di sekitar data pengguna dan perlindungan privasi.

Contoh penggunaan taktis

Orang dalam yang jahat – Yaitu orang yang memiliki akses sah dan bahkan hak istimewa ke jaringan perusahaan lalu mencoba melakukan serangan siber. Data saja, seperti file log atau catatan peristiwa, tidak dapat menangkap orang-orang tersebut, tetapi analisis tingkat lanjut bisa. Karena UEBA memberikan wawasan tentang pengguna spesifik, tidak seperti alamat IP, UEBA dapat mengidentifikasi pengguna yang melanggar kebijakan keamanan.

Orang dalam yang disusupi – Penyerang ini mendapatkan akses ke kredensial pengguna sah atau perangkat melalui skema phishing, serangan brute-force, atau cara lain. Alat keamanan biasa mungkin tidak dapat menemukannya karena mereka menggunakan kredensial asli yang dicuri sehingga penyerang tampak sah. Setelah masuk, penyerang ini akan melakukan pergerakan lateral, bergerak melalui jaringan dan mengambil kredensial baru untuk meningkatkan haknya dan mendapatkan lebih banyak aset sensitif. Meskipun penyerang ini menggunakan kredensial sah, UEBA dapat mengenali anomali perilaku mereka untuk menggagalkan serangan.

Entitas yang disusupi – Banyak organisasi, khususnya pabrik dan rumah sakit, menggunakan jumlah perangkat terhubung yang besar, seperti perangkat IoT, seringkali dengan sedikit atau tanpa konfigurasi keamanan. Kurangnya perlindungan membuat entitas tersebut target utama bagi peretas, yang dapat membajak perangkat untuk mengakses sumber data sensitif, mengganggu operasi, atau melakukan serangan denial-of-service terdistribusi (DDoS). UEBA dapat membantu mengidentifikasi perilaku yang mengindikasikan bahwa entitas pernah disusupi sehingga ancaman dapat diatasi sebelum semakin buruk.

Eksfiltrasi data – Ancaman orang dalam dan pelaku kejahatan seringkali ingin mencuri data pribadi, properti intelektual, atau dokumen strategi bisnis dari server, komputer, atau perangkat lain yang telah disusupi. UEBA membantu tim keamanan mengenali pelanggaran data secara real time dengan memperingatkan tim tentang pola unduhan dan akses data yang tidak wajar.

Contoh penggunaan strategis

Mengimplementasikan keamanan zero trust – Pendekatan keamanan zero trust adalah pendekatan yang tidak mempercayai siapa pun dan terus memverifikasi semua pengguna atau entitas, baik dari luar ataupun dari dalam jaringan. Zero trust mewajibkan semua pengguna dan entitas untuk diautentikasi, diotorisasi, dan disahkan sebelum diberi akses ke aplikasi dan data, dan selanjutnya terus menerus diautentikasi kembali, diotorisasi kembali, dan disahkan kembali untuk mempertahankan atau memperluas akses selama sesi.

Arsitektur zero trust yang efektif memerlukan visibilitas maksimal ke dalam semua pengguna, perangkat, aset, dan entitas di jaringan. UEBA memberi analis keamanan visibilitas yang kaya dan real time ke dalam semua aktivitas pengguna akhir dan entitas, termasuk perangkat mana yang mencoba menghubungkan ke jaringan, pengguna mana yang mencoba melampaui haknya, dan sebagainya.

Kepatuhan GDPR – Peraturan Perlindungan Data Umum (GDPR) Uni Eropa memberlakukan persyaratan ketat untuk organisasi agar melindungi data sensitif. Berdasarkan GDPR, perusahaan harus melacak data pribadi apa yang diakses, oleh siapa, dan bagaimana penggunaannya, serta kapan data dihapus. Alat UEBA dapat membantu perusahaan mematuhi GDPR dengan memantau perilaku pengguna dan data sensitif yang mereka akses.

UEBA, atau kemampuan berjenis UEBA, termasuk dalam banyak alat keamanan yang tersedia saat ini. Meski dapat digunakan sebagai produk yang berdiri sendiri, UEBA harus dianggap sebagai salah satu alat dalam sekumpulan alat keamanan siber yang komprehensif. Khususnya, UEBA sering digunakan bersama dengan, atau dibangun ke dalam, alat-alat berikut:

Manajemen informasi dan peristiwa keamanan (SIEM) –  Sistem SIEM mengumpulkan data peristiwa keamanan dari alat keamanan internal yang berbeda dalam satu log tunggal lalu menganalisis data tersebut untuk mendeteksi perilaku tidak wajar dan potensi ancaman. UEBA dapat memperluas visibilitas SIEM ke dalam jaringan melalui kemampuan deteksi ancaman orang dalam dan analisis perilaku pengguna. Saat ini, banyak solusi SIEM yang menyertakan UEBA.

Deteksi dan respons titik akhir (EDR) – Alat EDR memonitor titik akhir sistem, seperti laptop, printer, dan perangkat IoT, untuk mencari tanda perilaku tidak wajar yang mengindikasikan ancaman. Ketika ancaman terdeteksi, EDR secara otomatis akan menahannya. UEBA melengkapi, dan seringkali menjadi bagian dari, solusi EDR dengan cara memantau perilaku pengguna di titik akhir tersebut. Contohnya, login yang mencurigakan akan memicu peringatan level rendah ke EDR, tetapi jika UEBA menemukan bahwa titik akhir digunakan untuk mengakses informasi rahasia, peringatan akan disesuaikan levelnya dan diatasi dengan cepat.

Manajemen identitas dan akses (IAM) – Alat manajemen identitas dan akses memastikan orang dan perangkat yang benar dapat menggunakan aplikasi dan data yang benar sesuai kebutuhan. IAM bersifat proaktif dan bertujuan mencegah akses tidak sah sambil memfasilitasi akses sah. UEBA menambah level perlindungan dengan memantau tanda-tanda kredensial yang telah disusupi atau penyalahgunaan hak istimewa oleh pengguna sah.