Wat is UEBA? Definitie, voordelen en hoe het werkt

UEBA staat voor user and entity behavior analytics. UEBA, vroeger bekend als user behavior analytics, is het proces waarbij anomalieën in gebruikersgedrag worden gevolgd om potentiële cyberbeveiligingsrisico's of -bedreigingen op te sporen. Het idee is om een grote dataset over het gedrag van gebruikers te hebben en variaties van de norm binnen die set te gebruiken om waarschuwingen of specifieke acties te activeren die cyberaanvallen proactief kunnen afweren of stoppen voordat ze te veel schade aanrichten.

Hoe werkt UEBA?

UEBA volgt het gedrag van gebruikers en entiteiten van een organisatie om normaal gedrag te onderscheiden van abnormaal gedrag. In de context van cyberbeveiliging kan een gebruiker of een entiteit elk IT-systeem, bedrijfsproces of organisatie zijn (met inbegrip van de overheid).

UEBA houdt toezicht op deze gebruikers en entiteiten door hun data voortdurend te bekijken en te analyseren om te bepalen of een bepaalde activiteit of bepaald gedrag abnormaal is en dus potentieel gevaarlijk omdat het kan leiden tot een cyberaanval.

Een hacker kan bijvoorbeeld het wachtwoord van een werknemer stelen en inloggen op een systeem. Eenmaal in dat systeem zou de hacker zich waarschijnlijk gedragen op een manier die totaal afwijkt van de manier waarop de gebruiker zich in het verleden heeft gedragen, en dus waarschuwingen voor cyberdreiging doen afgaan.

UEBA bereikt deze geavanceerde opsporing van anomalieën door een combinatie van machine learning, statistische analytics en geavanceerde analytics. Gewoonlijk stelt een UEBA-systeem een "basislijn" voor gebruikersgedrag vast en vergelijkt het de activiteit met deze basislijn.

UEBA vs. SIEM: Hoe verschillen ze?

Security information and event management (SIEM) gebruikt dashboards om een holistisch beeld te geven van alle beveiligingsgerelateerde informatie en gebeurtenissen en triggert vervolgens zo nodig waarschuwingen. SIEM-platforms verzamelen en bundelen data van verschillende beveiligingsinstrumenten en IT-systemen en analyseren die data vervolgens.

UEBA-systemen daarentegen passen machine learning toe om gebruikersgedrag te analyseren en kunnen deze informatie gebruiken om een potentiële cyberdreiging te voorspellen en realtime waarschuwingen te versturen. SIEM is het oorspronkelijke proces, maar bedrijven ontdekten al snel dat het opnemen van UEBA-strategieën in SIEM SIEM veel effectiever maakte in het realtime monitoren van bedreigingen en het snel reageren. Dat komt omdat UEBA gebruikersgedrag volgt en analyseert, terwijl SIEM dat niet doet.

UBA vs. UEBA: Zijn ze hetzelfde?

Inzicht in het verschil tussen analyse van gebruikersgedrag (user behavior analysis - UBA) en UEBA komt neer op het begrijpen waarom de "E" is toegevoegd en wie hem heeft toegevoegd.

De "E" in "UEBA" staat voor "entity" en komt uit een marktgids van Gartner uit 2017. Dat was de eerste keer dat "UEBA" werd gebruikt in plaats van "UBA". Toen was de UBA-technologie vooral gericht op gegevensdiefstal en -fraude. Maar bedrijven realiseerden zich al snel dat cyberdreigingen van veel meer kanten kwamen dan alleen van gebruikers, waaronder beheerde en onbeheerde eindpunten, cloud- en mobiele toepassingen, netwerken en diverse externe bedreigingen. Gartner noemde deze andere bronnen van cyberrisico's "entiteiten".

Kortom, UBA en UEBA zijn niet hetzelfde, maar wel zeer nauw verwant. UEBA is de modernere versie van UBA.

UEBA vs. SOAR: Welke is beter?

Security orchestration, automation, and response-tools (SOAR) stellen organisaties in staat sneller te reageren op beveiligingsbedreigingen door data uit verschillende systemen en platforms te verzamelen en te centraliseren. Op die manier worden SOAR-instrumenten gezien als een methode om een "single source of truth" te bereiken voor alle data en activiteiten in verband met cyberbeveiliging. SOAR-systemen kunnen ook worden gebruikt om reacties op low-level veiligheidsbedreigingen te automatiseren.

Terwijl SOAR de nadruk legt op automatisering, dataverzameling en aggregatie, richt UEBA zich op de analyse van het gedrag van gebruikers en entiteiten. SOAR kan dingen versnellen, maar UEBA kan anomalieën vinden die SOAR niet kan vinden. Als zodanig is geen van beide instrumenten of methoden beter dan de andere. Ze vullen elkaar eerder aan, met verschillende voordelen, en kunnen waarschijnlijk het best in combinatie met elkaar worden gebruikt.

Drie redenen om UEBA te gebruiken

UEBA is een krachtig instrument voor het bewaken en beperken van potentiële cyberdreigingen. Dit zijn de drie belangrijkste redenen om UEBA te gebruiken:

1. Minder aanvalsoppervlak

UEBA informeert beveiligingsteams over mazen en zwakke punten in hun systemen, waardoor de kans op cyberaanvallen afneemt door het totale aanvalsoppervlak te verkleinen.

2. Verbeterde operationele efficiëntie

UEBA kan de handmatige workload van beveiligingsteams verminderen door gebruik te maken van automatisering en machine learning om bedreigingen te identificeren en te valideren. Dit geeft beveiligingsprofessionals meer tijd om zich te concentreren op echte bedreigingen in plaats van waarschuwingen na te jagen.

3. Superkrachten

"Superkrachten" is misschien overdreven, maar UEBA geeft een organisatie bepaalde speciale bevoegdheden op het gebied van cyberbeveiliging, zoals de mogelijkheid om potentiële exfiltratie van data te detecteren voordat het gebeurt, gekaapte accounts te identificeren en misbruik van privileges te voorkomen.

Om deze redenen is UEBA, vooral in combinatie met andere strategieën zoals SOAR, een uiterst doeltreffende manier om proactief cyberaanvallen op te sporen en te voorkomen en de blootstelling van een organisatie aan cyberdreigingen te beperken.