Che cos'è UEBA? Definizione, vantaggi e modalità di funzionamento

Che cos'è UEBA? Definizione, vantaggi e modalità di funzionamento

UEBA è l'acronimo di User and Entity Behavior Analytics, ovvero analytics del comportamento di utenti ed entità. Precedentemente noto come analytics del comportamento degli utenti, UEBA è un processo di monitoraggio delle anomalie nel comportamento degli utenti volto a identificare potenziali rischi o minacce per la sicurezza informatica. Si utilizza un vasto dataset di informazioni sul comportamento degli utenti e si rilevano gli scostamenti dalla norma per generare avvisi o avviare operazioni specifiche al fine di bloccare proattivamente gli attacchi informatici o bloccarli prima che provochino danni irreparabili.

Come funziona il processo UEBA?

Il processo UEBA monitora il comportamento degli utenti e delle entità di un'azienda per distinguere i comportamenti anomali da quelli normali. Nel contesto della sicurezza informatica, un'entità o un utente può essere qualunque sistema IT, processo di business o azienda (inclusa la Pubblica amministrazione).

UEBA monitora questi utenti ed entità rivedendo e analizzando continuamente i dati, per determinare se un particolare comportamento o attività è anomalo e, di conseguenza, potenzialmente pericoloso perché potrebbe dare origine a un attacco informatico.

Ad esempio, un hacker può impadronirsi della password di un dipendente e accedere al sistema, dopodiché in genere esegue operazioni che si discostano completamente dal comportamento tipico dell'utente, e questo genera un avviso di minaccia informatica.

Per eseguire questo monitoraggio sofisticato delle anomalie, UEBA si avvale di una combinazione di machine learning, analisi statistiche e analytics avanzati. In genere, un sistema UEBA definisce una "baseline" di riferimento con cui confrontare il comportamento degli utenti.

UEBA e SIEM: qual è la differenza?

I sistemi SIEM (Security Information and Event Management) forniscono dashboard che offrono una visione olistica di tutti gli eventi e le informazioni correlati alla sicurezza, generando avvisi quando necessario. Le piattaforme SIEM raccolgono e aggregano dati da vari strumenti di sicurezza e sistemi IT, dopodiché li analizzano.

I sistemi UEBA, invece, analizzano il comportamento degli utenti grazie alle tecnologie di machine learning, poi utilizzano le informazioni acquisite al fine di prevedere le minacce informatiche potenziali e generare avvisi in tempo reale. SIEM è il processo originale, ma le aziende hanno capito ben presto che integrandolo con le strategie UEBA è possibile monitorare molto più efficacemente le minacce in tempo reale e rispondere più tempestivamente perché, a differenza di SIEM, UEBA monitora e analizza il comportamento degli utenti.

Confronto tra UBA e UEBA: qual è la differenza?

Per capire la differenza tra l'analisi del comportamento degli utenti (UBA, User Behavior Analysis) e UEBA basta concentrarsi sul significato della "E".

Nell'acronimo "UEBA", introdotto in una Guida di mercato Gartner pubblicata nel 2017, la "E" sta per "entità". Questa è stata la prima volta in cui l'acronimo "UEBA" è stato usato al posto di "UBA". Fino a quel momento, la tecnologia UBA veniva utilizzata soprattutto per contrastare le frodi e i furti di dati. Tuttavia, ben presto le aziende hanno cominciato a capire che le minacce informatiche non provenivano più solo dagli utenti, ma anche dagli endpoint gestiti e non gestiti, dalle applicazioni cloud mobile, dalle reti e da altri vettori esterni. Per fare riferimento a tutte queste fonti di pericolo informatico, Gartner ha utilizzato il termine "entità".

In pratica, UBA ed UEBA non sono la stessa cosa, ma sono concetti strettamente correlati. UEBA è la versione più aggiornata di UBA.

Confronto tra UEBA e SOAR: qual è il migliore?

Gli strumenti SOAR (Security Orchestration, Automation, and Response) permettono alle aziende di rispondere più tempestivamente alle minacce alla sicurezza, raccogliendo e centralizzando i dati da piattaforme e sistemi diversi. In questo senso, gli strumenti SOAR consentono di creare una "singola fonte di attendibilità" per tutti i dati e le attività correlati alla sicurezza informatica. I sistemi SOAR possono essere utilizzati anche per automatizzare la risposta alle minacce a basso livello,

ma mentre SOAR si concentra su automazione, raccolta dei dati e aggregazione dei dati, UEBA punta ad analizzare il comportamento di utenti ed entità. Mentre SOAR è in grado di accelerare le operazioni, UEBA può rilevare anomalia che SOAR non sarebbe in grado di identificare. Di conseguenza, nessuno di questi strumenti o metodi è migliore dell'altro, ma tutti devono essere visti come tecnologie complementari che offrono vantaggi diversi, e probabilmente danno il massimo quando vengono utilizzati insieme.

Tre ottimi motivi per utilizzare UEBA

UEBA è un efficace strumento di monitoraggio, in grado di limitare le minacce informatiche potenziali. I motivi principali per utilizzare UEBA sono tre:

  1. Riduzione della superficie di attacco
  2. UEBA segnala ai team di sicurezza le falle e i punti deboli presenti nei sistemi, al fine di ridurre la probabilità di un attacco informatico limitando la superficie di attacco complessiva.

  3. Efficienza operativa superiore
  4. UEBA consente di ridurre i workload manuali dei team di sicurezza, sfruttando le tecnologie di automazione e machine learning per identificare e verificare le minacce, in modo da lasciare agli esperti di sicurezza più tempo da dedicare alle minacce concrete, anziché inseguire gli avvisi.

  5. Superpoteri
  6. Forse parlare di "superpoteri" è un po' eccessivo, ma UEBA offre alle aziende alcune funzioni di sicurezza informatica molto speciali, come la capacità di rilevare le potenziali esfiltrazioni di dati prima che si verifichino, identificare gli account compromessi e prevenire l'utilizzo inappropriato dei privilegi.

    Per tutti questi motivi le tecnologie UEBA, soprattutto se utilizzate insieme a strategie come SOAR, sono uno strumento estremamente efficace per identificare e prevenire gli attacchi informatici in modo proattivo, oltre che per ridurre l'esposizione di un'azienda alle minacce informatiche.

800-379-7873 +44 2039741869 +43 720882474 +32 (0) 7 84 80 560 +33 1 83 76 42 54 +49 89 12089253 +353 1 485 4307 +39 02 9475 9422 +31 202457440 +46850541356 +45 2856 6610 +47 2195 4481 +351 210 006 108 +966112118066 +27 87551 7857 +34 51 889 8963 +41 43 505 28 17 +90 850 390 21 64 +971 4 5513176 +7 916 716 7308 +65 3158 0960 +603 2298 7123 +66 (0) 2624 0641 +84 43267 3630 +62 21235 84628 +852 3750 7835 +82 2 6001-3330 +886 2 8729 2111 +61 1800 983 289 +64 21 536 736 +55 11 2655-7370 +52 55 9171-1375 +56 2 2368-4581 +57 1 383-2387 +48 22 343 36 49
Il browser che stai usando non è più supportato.

I browser non aggiornati spesso comportano rischi per la sicurezza. Per offrirti la migliore esperienza possibile sul nostro sito, ti invitiamo ad aggiornare il browser alla versione più recente.