Che cos'è UEBA? Definizione, vantaggi e modalità di funzionamento

UEBA è l'acronimo di User and Entity Behavior Analytics, ovvero analytics del comportamento di utenti ed entità. Precedentemente noto come analytics del comportamento degli utenti, UEBA è un processo di monitoraggio delle anomalie nel comportamento degli utenti volto a identificare potenziali rischi o minacce per la sicurezza informatica. Si utilizza un vasto dataset di informazioni sul comportamento degli utenti e si rilevano gli scostamenti dalla norma per generare avvisi o avviare operazioni specifiche al fine di bloccare proattivamente gli attacchi informatici o bloccarli prima che provochino danni irreparabili.

Come funziona il processo UEBA?

Il processo UEBA monitora il comportamento degli utenti e delle entità di un'azienda per distinguere i comportamenti anomali da quelli normali. Nel contesto della sicurezza informatica, un'entità o un utente può essere qualunque sistema IT, processo di business o azienda (inclusa la Pubblica amministrazione).

UEBA monitora questi utenti ed entità rivedendo e analizzando continuamente i dati, per determinare se un particolare comportamento o attività è anomalo e, di conseguenza, potenzialmente pericoloso perché potrebbe dare origine a un attacco informatico.

Ad esempio, un hacker può impadronirsi della password di un dipendente e accedere al sistema, dopodiché in genere esegue operazioni che si discostano completamente dal comportamento tipico dell'utente, e questo genera un avviso di minaccia informatica.

Per eseguire questo monitoraggio sofisticato delle anomalie, UEBA si avvale di una combinazione di machine learning, analisi statistiche e analytics avanzati. In genere, un sistema UEBA definisce una "baseline" di riferimento con cui confrontare il comportamento degli utenti.

UEBA e SIEM: qual è la differenza?

I sistemi SIEM (Security Information and Event Management) forniscono dashboard che offrono una visione olistica di tutti gli eventi e le informazioni correlati alla sicurezza, generando avvisi quando necessario. Le piattaforme SIEM raccolgono e aggregano dati da vari strumenti di sicurezza e sistemi IT, dopodiché li analizzano.

I sistemi UEBA, invece, analizzano il comportamento degli utenti grazie alle tecnologie di machine learning, poi utilizzano le informazioni acquisite al fine di prevedere le minacce informatiche potenziali e generare avvisi in tempo reale. SIEM è il processo originale, ma le aziende hanno capito ben presto che integrandolo con le strategie UEBA è possibile monitorare molto più efficacemente le minacce in tempo reale e rispondere più tempestivamente perché, a differenza di SIEM, UEBA monitora e analizza il comportamento degli utenti.

Confronto tra UBA e UEBA: qual è la differenza?

Per capire la differenza tra l'analisi del comportamento degli utenti (UBA, User Behavior Analysis) e UEBA basta concentrarsi sul significato della "E".

Nell'acronimo "UEBA", introdotto in una Guida di mercato Gartner pubblicata nel 2017, la "E" sta per "entità". Questa è stata la prima volta in cui l'acronimo "UEBA" è stato usato al posto di "UBA". Fino a quel momento, la tecnologia UBA veniva utilizzata soprattutto per contrastare le frodi e i furti di dati. Tuttavia, ben presto le aziende hanno cominciato a capire che le minacce informatiche non provenivano più solo dagli utenti, ma anche dagli endpoint gestiti e non gestiti, dalle applicazioni cloud mobile, dalle reti e da altri vettori esterni. Per fare riferimento a tutte queste fonti di pericolo informatico, Gartner ha utilizzato il termine "entità".

In pratica, UBA ed UEBA non sono la stessa cosa, ma sono concetti strettamente correlati. UEBA è la versione più aggiornata di UBA.

Confronto tra UEBA e SOAR: qual è il migliore?

Gli strumenti SOAR (Security Orchestration, Automation, and Response) permettono alle aziende di rispondere più tempestivamente alle minacce alla sicurezza, raccogliendo e centralizzando i dati da piattaforme e sistemi diversi. In questo senso, gli strumenti SOAR consentono di creare una "singola fonte di attendibilità" per tutti i dati e le attività correlati alla sicurezza informatica. I sistemi SOAR possono essere utilizzati anche per automatizzare la risposta alle minacce a basso livello,

ma mentre SOAR si concentra su automazione, raccolta dei dati e aggregazione dei dati, UEBA punta ad analizzare il comportamento di utenti ed entità. Mentre SOAR è in grado di accelerare le operazioni, UEBA può rilevare anomalia che SOAR non sarebbe in grado di identificare. Di conseguenza, nessuno di questi strumenti o metodi è migliore dell'altro, ma tutti devono essere visti come tecnologie complementari che offrono vantaggi diversi, e probabilmente danno il massimo quando vengono utilizzati insieme.

Tre ottimi motivi per utilizzare UEBA

UEBA è un efficace strumento di monitoraggio, in grado di limitare le minacce informatiche potenziali. I motivi principali per utilizzare UEBA sono tre:

1. Riduzione della superficie di attacco

UEBA segnala ai team di sicurezza le falle e i punti deboli presenti nei sistemi, al fine di ridurre la probabilità di un attacco informatico limitando la superficie di attacco complessiva.

2. Efficienza operativa superiore

UEBA consente di ridurre i workload manuali dei team di sicurezza, sfruttando le tecnologie di automazione e machine learning per identificare e verificare le minacce, in modo da lasciare agli esperti di sicurezza più tempo da dedicare alle minacce concrete, anziché inseguire gli avvisi.

3. Superpoteri

Forse parlare di "superpoteri" è un po' eccessivo, ma UEBA offre alle aziende alcune funzioni di sicurezza informatica molto speciali, come la capacità di rilevare le potenziali esfiltrazioni di dati prima che si verifichino, identificare gli account compromessi e prevenire l'utilizzo inappropriato dei privilegi.

Per tutti questi motivi le tecnologie UEBA, soprattutto se utilizzate insieme a strategie come SOAR, sono uno strumento estremamente efficace per identificare e prevenire gli attacchi informatici in modo proattivo, oltre che per ridurre l'esposizione di un'azienda alle minacce informatiche.