Informazioni sui cookie del presente sito Per il corretto funzionamento, i nostri siti Web richiedono alcuni cookie (richiesto). Inoltre, con il suo consenso, potrebbero essere utilizzati altri cookie per l'analisi dell'utilizzo del sito, per migliorare l'esperienza utente e per scopi pubblicitari. Per ulteriori informazioni, consultare le. Visitando il nostro sito web, accettate il trattamento delle informazioni da parte nostra come descritto nelladichiarazione sulla privacy di IBM. Per consentire una corretta navigazione, le preferenze per i cookie dell'utente verranno condivise sui domini Web IBM qui elencati.
Che cos'è l'analisi del comportamento degli utenti (UBA)?
Data di pubblicazione: 19 giugno 2024
Autore: Matthew Kosinski
Che cos'è l'analisi del comportamento degli utenti (UBA)?
Nell'ambito della cybersecurity, l'analisi del comportamento degli utenti (UBA) consiste nell'uso dell'analisi dei dati, dell'AI e dell'apprendimento automatico per tracciare il comportamento degli utenti in una rete, modellare i loro normali schemi comportamentali e rilevare deviazioni che potrebbero indicare minacce alla sicurezza.
Gli strumenti UBA sono in grado di rilevare quando i singoli utenti fanno cose che normalmente non farebbero, come accedere da un nuovo indirizzo IP o visualizzare dati sensibili con cui in genere non hanno a che fare.
Queste anomalie di tipo minore potrebbero non attivare altri strumenti di monitoraggio della rete. Tuttavia, l'UBA può stabilire che questa attività è anomala per questo utente specifico e avvisare il team addetto alla sicurezza.
Dal momento che sono in grado di rilevare comportamenti leggermente sospetti, gli strumenti UBA possono aiutare i Security Operations Center (SoC) a individuare attacchi evasivi come minacce interne, minacce persistenti avanzate e hacker che utilizzano credenziali rubate.
Questa capacità è importante per i SOC odierni. L'abuso di account validi è il modo più comune con cui i criminali informatici riescono a infiltrarsi nelle reti, secondo l'IBMX-Force Threat Intelligence Index.
Gli strumenti e le tecniche UBA vengono utilizzati in vari campi. Ad esempio, gli operatori di marketing e i designer di prodotto spesso tracciano i dati comportamentali degli utenti per capire in che modo le persone interagiscono con le app e i siti Web. Tuttavia, nel campo della cybersecurity, l'UBA viene utilizzato principalmente per il rilevamento delle minacce.
UBA vs UEBA
Definita per la prima volta dalla società di analisi Gartner nel 2015, l'analisi del comportamento degli utenti e delle entità (UEBA) è una classe di strumenti di sicurezza che si è evoluta dall'UBA.
Esattamente come UBA, gli strumenti UEBA monitorano l'attività della rete, stabiliscono le linee guida per i comportamenti normali e rilevano le deviazioni da tali norme. La differenza fondamentale è che l'UBA traccia solo gli utenti umani, mentre i sistemi UEBA tracciano anche l'attività e le metriche di entità non umane come app e dispositivi.
Si discute se i termini siano intercambiabili. Alcune aziende, come l'IDC, sostengono che si tratti di classi tecnologiche distinte.1 D'altra parte, l'ex analista di Gartner Anton Chuvakin ha dichiarato di considerare UBA e UEBA più o meno sinonimi.
Tuttavia, l'attenzione rivolta agli utenti è quello che distingue UBA e UEBA rispetto agli strumenti per la sicurezza simili come i sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM, Security Information and Event Management) e gli strumenti di rilevamento e risposta degli endpoint (EDR, Endpoint Detection and Response). Questi strumenti consentono ai team addetti alla sicurezza di comprendere e analizzare l'attività del sistema a livello del singolo utente. Il tracciamento delle entità non umane può aggiungere contesto, ma non è necessariamente lo scopo principale di questi strumenti.
Oppure, per citare Chuvakin: "'U' è un must," ma "andare oltre 'U' verso un'altra 'E' non lo è".
Preparati alle minacce conoscendo le cause delle violazioni dei dati e i fattori che influenzano i loro costi.
Gli strumenti di analisi del comportamento dell'utente raccolgono costantemente i dati degli utenti da fonti presenti in tutta la rete, che utilizzano per creare e perfezionare i modelli delle linee guida del comportamento dell'utente. Gli strumenti confrontano l'attività degli utenti con queste linee guida in tempo reale. Quando rilevano un comportamento anomalo che rappresenta un rischio significativo, avvisano gli stakeholder appropriati.
Raccolta dei dati degli utenti
Gli strumenti UBA raccolgono dati sugli attributi degli utenti (ad esempio: ruoli, autorizzazioni, posizione) e sulle attività degli utenti (ad esempio: modifiche apportate a un file, siti visitati, dati spostati). Gli UBA possono raccogliere queste informazioni da varie fonti di dati, tra cui:
Directory utente, ad esempio Microsoft Active Directory
Registri del traffico di rete provenienti da sistemi di rilevamento e prevenzione delle intrusioni (IDPS), router, VPN e altre infrastrutture
Dati sull'attività degli utenti da app, file, endpoint e database
Dati di accesso e autenticazione provenienti dai sistemi di gestione delle identità e degli accessi.
Dati degli eventi da SIEM, EDR e altri strumenti di sicurezza
Creazione di linee guida comportamentali
Gli strumenti UBA utilizzano l'analisi dei dati per trasformare i dati degli utenti in modelli di linee guida di una normale attività.
Gli strumenti UBA possono utilizzare metodi di analisi di base, quali la modellazione statistica e la corrispondenza dei pattern. Molti utilizzano anche analisi avanzate, come l'AI e l'apprendimento automatico (ML).
L'AI e l'apprendimento automatico (ML) consentono agli strumenti UBA di analizzare enormi serie di dati per creare modelli di comportamento più accurati. Gli algoritmi di apprendimento automatico possono anche perfezionare questi modelli nel tempo in modo che si evolvano insieme alle modifiche alle operazioni aziendali e ai ruoli degli utenti.
Gli strumenti UBA possono creare modelli comportamentali sia per singoli utenti, sia per gruppi di utenti.
Per un singolo utente, il modello potrebbe prendere nota di elementi come la posizione da cui l'utente accede e la quantità media di tempo trascorso in app diverse.
Per i gruppi di utenti, come tutti gli utenti di un reparto, il modello potrebbe tenere conto di elementi come i database a cui questi utenti accedono e gli altri utenti con cui interagiscono.
Un singolo utente potrebbe avere diversi account utente per le diverse app e servizi che utilizza durante una tipica giornata di lavoro. Numerosi strumenti UBA possono imparare a consolidare l'attività di questi account sotto un'unica identità utente unificata.
Il consolidamento dell'attività dell'account aiuta i team di sicurezza a rilevare i modelli di comportamento anche quando l'attività dell'utente è suddivisa in parti eterogenee della rete.
Rilevamento delle anomalie
Dopo aver creato i modelli di linee guida, gli strumenti UBA monitorano gli utenti e confrontano il loro comportamento con questi modelli. Quando rilevano anomalie che potrebbero segnalare potenziali minacce, avvisano il team addetto alla sicurezza.
Gli UBA possono rilevare le anomalie in diversi modi e numerosi strumenti UBA utilizzano una combinazione di metodi di rilevamento.
Alcuni strumenti UBA utilizzano sistemi basati su regole in cui i team addetti alla sicurezza definiscono manualmente le situazioni che devono attivare gli avvisi, ad esempio gli utenti che tentano di accedere agli asset al di fuori dei loro livelli di autorizzazione.
Numerosi strumenti UBA utilizzano inoltre algoritmi di AI e apprendimento automatico (ML) per analizzare il comportamento degli utenti e individuare le anomalie. Con l'AI e l'apprendimento automatico (ML), UBA è in grado di rilevare le anomalie rispetto al comportamento tipico di un utente.
Ad esempio, se in passato un utente ha effettuato l'accesso a un'app solo durante l'orario di lavoro e ora accede di notte e nei fine settimana, questo potrebbe indicare un account compromesso.
Gli strumenti UBA possono inoltre utilizzare l'AI e l'apprendimento automatico (ML) per mettere a confronto gli utenti con i loro pari e rilevare così le anomalie.
Per esempio, è molto probabile che nessuno del reparto marketing abbia bisogno di estrarre i dati delle carte di credito dei clienti. Se un utente di marketing inizia a provare ad accedere a quei record, questo potrebbe segnalare un tentativo di esfiltrazione dei dati.
Oltre ad addestrare algoritmi di AI e apprendimento automatico (ML) sui comportamenti degli utenti, le organizzazioni possono utilizzare i feed di threat intelligence per insegnare agli strumenti UBA a individuare indicatori noti di attività dannose.
Punteggi di rischio
Gli strumenti UBA non emettono avvisi ogni volta che un utente compie qualcosa di insolito. Dopotutto, le persone spesso hanno motivi legittimi per adottare comportamenti "anomali". Ad esempio, un utente potrebbe condividere i dati con un soggetto precedentemente sconosciuto, perché sta lavorando per la prima volta con un nuovo fornitore.
Invece di contrassegnare i singoli eventi, numerosi strumenti UBA assegnano a ciascun utente un punteggio di rischio. Ogni volta che un utente fa qualcosa di insolito, il suo punteggio di rischio aumenta. Più è rischiosa l'anomalia, maggiore è l'aumento. Quando il punteggio di rischio dell'utente supera una determinata soglia, lo strumento UBA avvisa il team addetto alla sicurezza.
In questo modo, lo strumento UBA non inonda il team addetto alla sicurezza di piccole anomalie. Tuttavia, potrebbe comunque rilevare uno schema di anomalie costanti nell'attività di un utente, il che è più probabile che indichi una minaccia informatica. Una singola anomalia significativa potrebbe anche attivare un avviso se questa rappresenta un rischio sufficientemente elevato.
Generazione di avvisi
Quando il punteggio di rischio di un utente è sufficientemente alto, lo strumento UBA avvisa il SOC, il team di risposta agli incidenti o altri stakeholder.
Alcuni strumenti UBA hanno dashboard dedicate dove i team addetti alla sicurezza possono monitorare l'attività degli utenti, tenere traccia dei punteggi di rischio e ricevere avvisi. Numerosi strumenti UBA possono inoltre inviare avvisi ai SIEM o ad altri strumenti di sicurezza.
Sebbene gli strumenti UBA in genere non abbiano la capacità di rispondere direttamente alle minacce, possono integrarsi con altri strumenti che lo fanno.
Ad esempio, alcune piattaforme di gestione delle identità e degli accessi (IAM) utilizzano i dati UBA per l'autenticazione adattiva. Se il punteggio di rischio di un utente supera una determinata soglia, magari perché accede da un nuovo dispositivo, il sistema IAM potrebbe richiedere dei fattori di autenticazione aggiuntivi.
Poiché si concentrano sull'attività degli utenti all'interno della rete, gli strumenti UBA possono aiutare i team addetti alla sicurezza a catturare gli autori malintenzionati che superano le loro difese perimetrali.
Inoltre, monitorando i modelli a lungo termine nel comportamento degli utenti, UBA è in grado di rilevare le tracce quasi impercettibili lasciate dagli attacchi informatici più sofisticati.
Che siano intenzionali o per negligenza, le minacce interne sono utenti che abusano o fanno un uso improprio dei loro legittimi privilegi per causare danni all'azienda. Dal momento che tali utenti spesso hanno il permesso per poter essere nei sistemi che stanno danneggiando, numerosi strumenti di sicurezza possono non rilevarli.
D'altra parte, gli strumenti UBA possono vedere quando gli utenti si comportano in modo anomalo. Un utente potrebbe avere il diritto di lavorare con dati sensibili, ma se trasferisce molti di quei dati su un dispositivo sconosciuto, l'UBA può contrassegnarlo come potenziale furto.
Gli hacker possono utilizzare delle tecniche di phishing o malware per rubare credenziali e spacciarsi per utenti legittimi. Come nel caso delle minacce interne, gli strumenti di sicurezza possono non rilevare questi autori di un attacco in quanto sembrano utenti autorizzati.
Tuttavia, gli hacker compiranno qualcosa di inevitabilmente dannoso che un utente reale non farebbe, come sfruttare le vulnerabilità o fare movimenti laterali. Gli strumenti UBA possono rilevare queste anomalie.
Le APT possono nascondersi nelle reti per mesi o anni, rubando silenziosamente dati o diffondendo malware. Spesso riescono a evitare il rilevamento mascherandosi da utenti legittimi e compiendo molti piccoli passi nel tempo piuttosto che fare mosse grandi e rischiose. Gli UBA sono fenomenali nel rilevare questi modelli di comportamento sospetto a lungo termine.
In alcune circostanze, gli strumenti UBA possono produrre falsi positivi e falsi negativi. Le organizzazioni possono mitigare queste possibilità utilizzando punteggi di rischio e addestrando algoritmi di AI e apprendimento automatico (ML) sui modelli unici dei loro utenti, ma potrebbero non eliminare completamente il rischio.
Supponiamo che un utente inizi a trasferire enormi quantità di dati sensibili da un cloud a un altro, come parte di una migrazione pianificata. Il modello di linea guida dell'UBA potrebbe non tenere conto di questa attività approvata ma rara e, quindi, ha fatto scattare un campanello d'allarme.
I falsi negativi si verificano quando uno strumento UBA impara a trattare potenziali minacce come comportamenti accettabili. Questo può accadere quando le anomalie si verificano ripetutamente senza correzione.
IDC racconta una di queste storie in cui un fornitore ha dimostrato le proprie capacità di rilevamento delle minacce UBA simulando le violazioni dei dati per i clienti. Alla fine, lo strumento UBA ha visto verificarsi la stessa violazione dei dati così tante volte che ha stabilito che si trattava di un comportamento normale che non richiedeva la generazione di un avviso.1
Mentre alcuni fornitori offrono soluzioni UBA indipendenti, il mercato si sta spostando sempre più verso la fornitura di funzionalità UBA sotto forma di integrazione o aggiunta ad altri strumenti di sicurezza. Nello specifico, le funzionalità UBA sono spesso integrate nei SIEM, negli EDR e nelle piattaforme IAM.
I SIEM aggregano i dati sugli eventi di sicurezza provenienti da strumenti di sicurezza interni eterogenei in un unico registro e li analizzano per rilevare eventuali attività insolite. Numerosi SIEM ora includono funzionalità UBA o si integrano facilmente con gli strumenti UBA, che possono aiutare le organizzazioni a ottimizzare i propri dati SIEM.
La combinazione dei dati sul comportamento degli utenti con i dati sugli eventi di sicurezza può aiutare le organizzazioni a individuare tempestivamente le minacce e ad assegnare priorità alle anomalie più rischiose su cui indagare.
Gli UBA completano gli strumenti EDR aggiungendo dati sul comportamento degli utenti ai dati sulle attività degli endpoint. In questo modo il team addetto alla sicurezza offre maggiori insight su quello che gli utenti stanno facendo sui loro endpoint, il che può semplificare l'individuazione di modelli di comportamento sospetto tra i dispositivi.
Le organizzazioni utilizzano gli strumenti IAM per controllare quali utenti possono accedere a quali risorse. Come accennato in precedenza, l'integrazione degli strumenti UBA con i sistemi IAM consente alle organizzazioni di progettare processi di autenticazione adattivi intelligenti che rafforzano i requisiti di autenticazione all'aumentare del punteggio di rischio dell'utente.
Soluzioni correlate
Utilizza le soluzioni IBM per il rilevamento e la risposta alle minacce per rafforzare la sicurezza e accelerare il rilevamento delle minacce.
Prevedi, previeni e reagisci alle minacce moderne aumentando la resilienza aziendale.
Migliora la velocità, l'accuratezza e la produttività dei team di sicurezza con soluzioni basate sull'AI.
Risorse
Conoscere le tattiche degli hacker è fondamentale per proteggere persone, dati e infrastrutture. Impara dalle sfide e dai successi dei team di sicurezza di tutto il mondo.
Ottieni una panoramica del mercato dei servizi di rilevamento e risposta gestiti e scopri perché IBM è stata nominata leader generale.
L’analytics del comportamento degli utenti e delle entità, o UEBA, è un tipo di software di sicurezza che utilizza l’analisi comportamentale e l’automazione per individuare eventuali comportamenti potenzialmente pericolosi di utenti e dispositivi.
Note a piè di pagina
1 Guida all'AI per i CISO (link esterno a ibm.com). IDC Research.