L'analytics del comportamento degli utenti e delle entità o UEBA è un tipo di software di sicurezza che utilizza analytics dei comportamenti, algoritmi di machine learning e automazione per individuare comportamenti anomali e potenzialmente pericolosi di utenti e dispositivi. L'UEBA è particolarmente efficace per individuare minacce interne, insider malevoli o hacker che usano credenziali di insider compromesse, in grado di eludere altri strumenti di sicurezza perché imitano il traffico di rete autorizzato.

UEBA, termine coniato per la prima volta da Gartner nel 2015, è un'evoluzione dell'analytics del comportamento degli utenti (UBA). Mentre l'UBA si limitava a tracciare i modelli di comportamento degli utenti finali, l'UEBA monitora anche le entità non utente, come i server, i router e i dispositivi Internet delle cose (IoT), alla ricerca di comportamenti anomali o attività sospette che potrebbero indicare minacce o attacchi alla sicurezza.

L'UEBA viene utilizzato all'interno dei centri delle operazioni di sicurezza (SOC) insieme ad altri strumenti di sicurezza aziendale e le funzionalità dell'UEBA sono spesso incluse in soluzioni di sicurezza aziendale come la gestione delle informazioni e degli eventi di sicurezza (SIEM), il rilevamento e risposta degli endpoint (EDR), il rilevamento e risposta estesi (XDR) e la gestione delle identità e degli accessi (IAM).

Le soluzioni UEBA forniscono insight di sicurezza tramite le analytics dei dati e il machine learning. Gli strumenti di analytics del comportamento all'interno del sistema UEBA inseriscono e analizzano elevati volumi di dati provenienti da più fonti per creare un quadro di riferimento del funzionamento tipico delle entità e degli utenti privilegiati. Utilizza quindi il machine learning per affinare la linea di riferimento. Poiché il machine learning apprende nel tempo, la soluzione UEBA deve raccogliere e analizzare un numero inferiore di campioni di comportamento normale per creare una linea di riferimento accurata.

Dopo aver modellato i comportamenti di base, l'UEBA applica le stesse funzionalità avanzate di analytics e machine learning ai dati sulle attività correnti di utenti ed entità per individuare in tempo reale le deviazioni sospette dalla linea di riferimento. L'UEBA valuta il comportamento degli utenti e delle entità analizzando i dati provenienti dal maggior numero possibile di fonti aziendali: più sono, meglio è. Queste fonti normalmente includono:

• soluzioni per le apparecchiature di rete e l'accesso alla rete, come firewall, router, VPN e soluzioni per la gestione delle identità e degli accessi (IAM);
   

• strumenti e soluzioni di sicurezza, come software antivirus/anti-malware, rilevamento e risposta degli endpoint (EDR), sistemi di rilevamento e prevenzione delle intrusioni (IDPS) e SIEM;
   

• database di autenticazione, come Active Directory, che contengono informazioni critiche su un ambiente di rete, sugli account utente e sui computer attivi nel sistema e sulle attività consentite agli utenti;
   

• feed di threat intelligence e framework, come MITRE ATT&CK, che forniscono informazioni sulle minacce informatiche e sulle vulnerabilità più comuni, tra cui attacchi zero-day, malware, botnet e altri rischi per la sicurezza;
   

• sistemi di pianificazione delle risorse aziendali (ERP) o risorse umane (HR) che contengono informazioni pertinenti sugli utenti che potrebbero rappresentare una minaccia, come i dipendenti che hanno dato il preavviso o che potrebbero essere scontenti.

L'UEBA utilizza quanto appreso per individuare comportamenti anomali e assegnare un punteggio in base al rischio che rappresentano. Ad esempio, diversi tentativi di autenticazione falliti in un breve lasso di tempo o schemi di accesso anomali al sistema potrebbero indicare una minaccia interna e dare origine a un avviso con punteggio basso. Analogamente, il caso di un utente che collega più unità USB e mostra modelli di download anomali potrebbe far pensare a un'esfiltrazione di dati e gli sarebbe assegnato un punteggio di rischio più elevato.

L'utilizzo di queste metriche di punteggio aiuta i team di sicurezza a evitare i falsi positivi e ad attribuire priorità alle minacce più gravi, documentando e monitorando nel tempo anche gli avvisi di basso livello che, combinati, potrebbero indicare una minaccia lenta ma grave.

L'UEBA aiuta le aziende a individuare i comportamenti sospetti e a rafforzare le attività di prevenzione della perdita di dati (DLP). Al di là di questi usi tattici, l'UEBA può servire anche a scopi più strategici, come dimostrare la conformità alle normative sulla protezione dei dati degli utenti e della privacy.

Casi d'uso tattici

Insider malevoli: si tratta di persone con accesso autorizzato e persino privilegiato alla rete aziendale che cercano di condurre un attacco informatico. I dati da soli, come i file di registro o le registrazioni degli eventi, non sempre riescono a individuare queste persone, ma le analytics avanzate sono in grado di farlo. Poiché l'UEBA fornisce insight su utenti specifici, anziché sugli indirizzi IP è in grado di individuare i singoli utenti che violano le politiche di sicurezza.

Insider compromessi: questi aggressori ottengono l'accesso alle credenziali degli utenti o dei dispositivi autorizzati tramite schemi di phishing, attacchi brute-force o altri mezzi. I normali strumenti di sicurezza potrebbero non individuarli perché l'uso di credenziali legittime, anche se sottratte, fa apparire l'aggressore come autorizzato. Dopo essere entrati, questi aggressori effettuano un movimento laterale, muovendosi all'interno della rete e acquisendo nuove credenziali per aumentare i propri privilegi e raggiungere asset più sensibili. Anche se questi aggressori potrebbero utilizzare credenziali legittime, l'UEBA può individuare il loro comportamento anomalo e contribuire a sventare l'attacco.

Entità compromesse: molte organizzazioni, in particolare aziende manifatturiere e ospedali, utilizzano un notevole numero di dispositivi connessi, come i dispositivi IoT, spesso con configurazioni di sicurezza scarse o nulle. La mancanza di protezione rende queste entità un obiettivo primario per gli hacker, che possono impadronirsi di questi dispositivi in modo da accedere a fonti di dati sensibili, interrompere le operazioni o mettere in scena attacchi distributed denial-of-service (DDoS). L'UEBA può aiutare a individuare i comportamenti che indicano la compromissione di queste entità, in modo da poter affrontare le minacce prima che si aggravino.

Esfiltrazione dei dati: minacce interne e malintenzionati cercano spesso di sottrarre dati personali, proprietà intellettuale o documenti relativi alla strategia aziendale da server, computer o altri dispositivi compromessi. L'UEBA aiuta i team di sicurezza a individuare le violazioni dei dati in tempo reale, segnalando ai team modelli insoliti di download e accesso ai dati.

Casi d'uso strategici

Un approccio alla sicurezza zero-trust: lo zero-trust è un approccio alla sicurezza che presuppone l'assenza di fiducia e la verifica costante di tutti gli utenti o entità, all'esterno o all'interno della rete. Nello specifico, lo zero-trust richiede che tutti gli utenti e le entità siano autenticati, autorizzati e convalidati prima che venga loro concesso l'accesso alle applicazioni e ai dati e che successivamente vengano costantemente ri-autenticati, ri-autorizzati e ri-convalidati per mantenere o espandere tale accesso nel corso di una sessione.

Un'architettura zero-trust efficace richiede la massima visibilità di tutti gli utenti, i dispositivi, gli asset e le entità della rete. L'UEBA offre agli analisti della sicurezza una visibilità ricca e in tempo reale di tutte le attività degli utenti finali e delle entità, compresi i dispositivi che tentano di connettersi alla rete, gli utenti che cercano di superare i propri privilegi e altro ancora.

Conformità al GDPR: il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea impone alle organizzazioni requisiti rigorosi per la protezione dei dati sensibili. In base al GDPR, le aziende devono tenere traccia dei dati personali che vengono consultati, di chi li consulta, di come vengono utilizzati e di quando vengono eliminati. Gli strumenti UEBA possono aiutare le aziende a rispettare il GDPR, monitorando il comportamento degli utenti e i dati sensibili a cui accedono.

L'UEBA, o le funzionalità di tipo UEBA, sono incluse in molti strumenti di sicurezza oggi disponibili. Sebbene possa essere utilizzato come prodotto a sé stante, l'UEBA deve essere considerato come uno strumento della toolbox della cybersecurity. In particolare, l'UEBA viene spesso utilizzato insieme ai seguenti strumenti o integrato in essi:

Gestione delle informazioni e degli eventi di sicurezza (SIEM): i sistemi SIEM aggregano i dati degli eventi di sicurezza provenienti da strumenti di sicurezza interni eterogenei in un unico registro e li analizzano per rilevare comportamenti insoliti e potenziali minacce. L'UEBA può espandere la visibilità SIEM nella rete grazie alle sue funzionalità di rilevamento delle minacce interne e di analytics del comportamento dell'utente. Oggi molte soluzioni SIEM includono l'UEBA.

Rilevamento e risposta degli endpoint (EDR): gli strumenti EDR monitorano gli endpoint del sistema, come laptop, stampanti e dispositivi IoT, alla ricerca di segnali di comportamento insolito che potrebbero indicare una minaccia. Quando si rilevano minacce, il rilevamento e risposta degli endpoint (EDR) le contiene automaticamente. L'UEBA integra, e spesso fa parte, di una soluzione di rilevamento e risposta degli endpoint (EDR) monitorando il comportamento degli utenti su questi endpoint. Ad esempio, un accesso sospetto potrebbe far scattare un avviso di basso livello al rilevamento e risposta degli endpoint (EDR), ma se l'UEBA scopre che l'endpoint viene utilizzato per accedere a informazioni riservate, l'avviso può essere opportunamente scalato e affrontato rapidamente.

Gestione delle identità e degli accessi (IAM): gli strumenti di gestione delle identità e degli accessi garantiscono che le persone e i dispositivi giusti possano utilizzare le applicazioni e i dati giusti quando necessario. La gestione delle identità e degli accessi (IAM) è proattiva e cerca di impedire gli accessi non autorizzati e di agevolare quelli autorizzati. L'UEBA aggiunge un ulteriore livello di protezione, monitorando i segni di compromissione delle credenziali o di abuso dei privilegi da parte degli utenti autorizzati.