Apa itu analitik perilaku pengguna (UBA)?

Alat UBA dapat mendeteksi ketika pengguna individu melakukan hal-hal yang biasanya tidak mereka lakukan, seperti masuk dari alamat IP baru atau melihat data sensitif yang biasanya tidak mereka kerjakan.

Anomali kecil ini mungkin tidak memicu alat pemantauan jaringan lainnya. Namun, UBA dapat menentukan bahwa aktivitas ini tidak normal untuk pengguna tertentu ini dan mengingatkan tim keamanan.

Karena mereka dapat mendeteksi perilaku yang mencurigakan secara halus, alat UBA dapat membantu pusat operasi keamanan (SOC) menemukan serangan pengelabuan seperti ancaman orang dalam, ancaman persisten tingkat lanjut, dan peretas menggunakan kredensial yang dicuri.

Kapasitas ini penting bagi SOC saat ini. Penyalahgunaan akun yang valid merupakan cara paling umum yang dilakukan penjahat siber untuk membobol jaringan, menurut IBM X-Force Threat Intelligence Index.

Alat dan teknik UBA digunakan di berbagai bidang. Sebagai contoh, pemasar dan perancang produk sering melacak data perilaku pengguna untuk memahami bagaimana orang berinteraksi dengan aplikasi dan situs web. Namun, dalam keamanan siber, UBA terutama digunakan untuk deteksi ancaman.

Pertama kali didefinisikan oleh perusahaan analis Gartner pada tahun 2015, analisis perilaku pengguna dan entitas (UEBA) adalah kelas alat keamanan yang berkembang dari UBA.

Seperti UBA, alat UEBA memantau aktivitas jaringan, menetapkan batas dasar untuk perilaku normal dan mendeteksi penyimpangan dari norma tersebut. Perbedaan utamanya adalah UBA hanya melacak pengguna manusia, sementara sistem UEBA juga melacak aktivitas dan metrik dari entitas nonmanusia seperti aplikasi dan perangkat.

Ada beberapa perdebatan mengenai apakah kedua istilah tersebut dapat dipertukarkan. Beberapa perusahaan, seperti IDC, berpendapat ^bahwa ini adalah kelas teknologi yang berbeda.1 Di sisi lain, mantan analis Gartner Anton Chuvakin mengatakan bahwa menurutnya UBA dan UEBA pada dasarnya sinonim.

Terlepas dari itu, fokus pada pengguna adalah hal yang membedakan UBA dan UEBA dari alat keamanan serupa seperti informasi keamanan dan manajemen peristiwa (SIEM) serta deteksi dan respons titik akhir (EDR). Alat-alat ini memungkinkan tim keamanan untuk memahami dan menganalisis aktivitas sistem pada tingkat pengguna individu. Melacak entitas bukan manusia dapat menambahkan konteks, tetapi itu belum tentu tujuan inti dari alat ini.

Atau, mengutip Chuvakin: “‘U‘ adalah suatu keharusan, tetapi “melampaui ‘U‘ ke ‘E’ lainnya tidak.”

Alat analisis perilaku pengguna secara terus-menerus mengumpulkan data pengguna dari berbagai sumber di seluruh jaringan, yang digunakan untuk membuat dan menyempurnakan model dasar perilaku pengguna. Alat membandingkan aktivitas pengguna dengan batas dasar ini secara real-time. Ketika mendeteksi perilaku anomali yang menimbulkan risiko signifikan, mereka akan mengingatkan pemangku kepentingan yang sesuai.

Alat UBA mengumpulkan data tentang atribut pengguna (misalnya: peran, izin, lokasi) dan aktivitas pengguna (misalnya: perubahan yang mereka lakukan pada file, situs yang mereka kunjungi, data yang mereka pindahkan). UBA dapat mengumpulkan informasi ini dari berbagai sumber data, termasuk:

• Direktori pengguna, seperti Microsoft Active Directory
   

• Log lalu lintas jaringan dari sistem deteksi dan pencegahan intrusi (IDPS), router, VPN, dan infrastruktur lainnya
   

• Data aktivitas pengguna dari aplikasi, file, titik akhir, dan basis data
   

• Data login dan autentikasi dari sistem manajemen identitas dan akses
   

• Data peristiwa dari SIEM, EDR, dan alat keamanan lainnya

Alat UBA menggunakan analitik data untuk mengubah data pengguna menjadi model dasar aktivitas normal.

Alat UBA dapat menggunakan metode analitik dasar seperti pemodelan statistik dan pencocokan pola. Banyak juga yang menggunakan analitik lanjutan, seperti kecerdasan buatan (AI) dan machine learning (ML).

AI dan ML memungkinkan alat UBA untuk menganalisis kumpulan data besar-besaran untuk membuat model perilaku yang lebih akurat. Algoritma machine learning juga dapat menyempurnakan semua model ini dari waktu ke waktu sehingga dapat berkembang seiring dengan perubahan operasi bisnis dan peran pengguna.

Alat UBA dapat membuat model perilaku untuk pengguna perorangan dan kelompok pengguna.

Untuk pengguna perorangan, model ini mungkin mencatat hal-hal seperti dari mana pengguna masuk dan jumlah rata-rata waktu yang mereka habiskan di berbagai aplikasi.

Untuk kelompok pengguna, seperti semua pengguna di sebuah departemen, model ini dapat memperhitungkan hal-hal seperti basis data yang diakses oleh para pengguna dan pengguna lain yang berinteraksi dengannya.

Seorang pengguna mungkin memiliki beberapa akun pengguna untuk berbagai aplikasi dan layanan yang mereka gunakan selama hari kerja. Banyak alat UBA dapat belajar untuk mengonsolidasikan aktivitas dari akun ini di bawah satu identitas pengguna terpadu.

Konsolidasi aktivitas akun membantu tim keamanan mendeteksi pola perilaku bahkan ketika aktivitas pengguna dipecah di berbagai bagian jaringan.

Setelah membuat model dasar, alat UBA memantau pengguna dan membandingkan perilaku mereka dengan model ini. Ketika mendeteksi penyimpangan yang mungkin menandakan potensi ancaman, mereka akan mengingatkan tim keamanan.

UBA dapat mendeteksi anomali dalam beberapa cara berbeda, dan banyak alat UBA menggunakan kombinasi metode deteksi.

Beberapa alat UBA menggunakan sistem berbasis aturan di mana tim keamanan secara manual menetapkan situasi yang seharusnya memicu peringatan, seperti pengguna yang mencoba mengakses aset di luar tingkat izin mereka.

Banyak alat UBA juga menggunakan algoritma AI dan ML untuk menganalisis perilaku pengguna dan menemukan anomali. Dengan AI dan ML, UBA dapat mendeteksi penyimpangan dari perilaku historis pengguna.

Sebagai contoh, jika seorang pengguna hanya masuk ke sebuah aplikasi selama jam kerja pada masa lalu dan sekarang masuk pada malam hari dan akhir pekan, hal ini mungkin mengindikasikan adanya akun yang disusupi.

Alat UBA juga dapat menggunakan AI dan ML untuk membandingkan pengguna dengan rekan-rekan mereka dan mendeteksi anomali dengan cara itu.

Sebagai contoh, ada kemungkinan besar bahwa tidak ada seorang pun di departemen pemasaran yang perlu menarik catatan kartu kredit pelanggan. Jika pengguna pemasaran mulai mencoba mengakses catatan tersebut, itu mungkin menandakan upaya eksfiltrasi data.

Selain melatih algoritma AI dan ML tentang perilaku pengguna, organisasi dapat menggunakan umpan intelijen ancaman untuk mengajarkan alat UBA untuk menemukan indikator aktivitas berbahaya yang diketahui.

Alat bantu UBA tidak memunculkan peringatan setiap kali pengguna melakukan sesuatu yang tidak biasa. Bagaimanapun, orang sering memiliki alasan yang sah untuk terlibat dalam perilaku “anomali”. Sebagai contoh, pengguna mungkin berbagi data dengan pihak yang sebelumnya tidak dikenal karena mereka bekerja sama dengan vendor baru untuk pertama kalinya.

Alih-alih menandai peristiwa individual, banyak alat UBA menetapkan skor risiko kepada setiap pengguna. Setiap kali pengguna melakukan sesuatu yang tidak biasa, skor risiko mereka meningkat. Semakin berisiko anomali, semakin tinggi peningkatannya. Ketika skor risiko pengguna melewati ambang batas tertentu, alat UBA memperingatkan tim keamanan.

Dengan cara ini, alat UBA tidak membanjiri tim keamanan dengan anomali kecil. Namun, UBA masih akan menangkap pola ketidaknormalan reguler dalam aktivitas pengguna, yang lebih mungkin mengindikasikan ancaman siber. Satu anomali signifikan juga dapat memicu peringatan jika menimbulkan risiko yang cukup tinggi.

Ketika skor risiko pengguna cukup tinggi, alat UBA memberi tahu SOC, tim respons insiden, atau pemangku kepentingan lainnya.

Beberapa alat UBA memiliki dasbor khusus di mana tim keamanan dapat memantau aktivitas pengguna, melacak skor risiko, dan menerima peringatan. Banyak alat UBA juga dapat mendorong peringatan ke SIEM atau alat keamanan lainnya.

Meskipun alat UBA biasanya tidak memiliki kapasitas untuk merespons ancaman secara langsung, alat ini dapat berintegrasi dengan alat lain yang memiliki kapasitas tersebut.

Misalnya, beberapa platform manajemen identitas dan akses (IAM) menggunakan data UBA untuk autentikasi adaptif. Jika skor risiko pengguna melewati ambang batas tertentu, mungkin karena mereka masuk dari perangkat baru, sistem IAM mungkin meminta faktor autentikasi tambahan.

Karena fokus pada aktivitas pengguna di dalam jaringan, alat UBA dapat membantu tim keamanan menangkap aktor jahat yang berhasil melewati pertahanan perimeter mereka.

Selain itu, dengan melacak pola jangka panjang dalam perilaku pengguna, UBA dapat mendeteksi jejak yang hampir tak terlihat yang ditinggalkan oleh serangan siber paling canggih.

Alat UBA dapat menghasilkan hasil positif palsu dan negatif palsu dalam beberapa keadaan. Organisasi dapat mengurangi kemungkinan tersebut dengan menggunakan skor risiko dan melatih algoritma AI dan ML berdasarkan pola unik penggunanya, tetapi hal itu mungkin tidak menghilangkan risiko sepenuhnya.

Katakanlah seorang pengguna mulai mentransfer data sensitif dalam jumlah besar dari satu cloud ke cloud lainnya sebagai bagian dari migrasi yang direncanakan. Model dasar UBA mungkin tidak memperhitungkan aktivitas yang disetujui tetapi langka ini dan, oleh karena itu, memicu lonceng alarm.

Negatif palsu muncul ketika alat UBA belajar memperlakukan potensi ancaman sebagai perilaku yang dapat diterima. Hal ini dapat terjadi ketika anomali terjadi berulang kali tanpa koreksi.

Sebagai contoh, pertimbangkan vendor yang memamerkan kemampuan deteksi ancaman UBA miliknya dengan menyimulasikan pelanggaran data untuk pelanggan selama demo. Alat UBA akan melihat pelanggaran yang sama terjadi berulang-ulang. Pada akhirnya, alat ini mungkin akan menentukan bahwa pelanggaran ini adalah perilaku normal karena sangat sering terjadi dan berhenti mengeluarkan peringatan tentang hal itu.

Meskipun beberapa vendor menawarkan solusi UBA mandiri, pasar semakin bergeser ke arah penyediaan fungsionalitas UBA sebagai integrasi dengan atau tambahan pada alat keamanan lainnya. Secara khusus, kemampuan UBA sering kali tertanam dalam platform SIEM, EDR, dan IAM.

SIEM mengumpulkan data peristiwa keamanan dari alat keamanan internal yang berbeda dalam satu log dan menganalisis data tersebut untuk mendeteksi aktivitas yang tidak biasa. Banyak SIEMS sekarang menyertakan kemampuan UBA atau siap berintegrasi dengan alat UBA, yang dapat membantu organisasi mengoptimalkan data SIEM mereka.

Menggabungkan data perilaku pengguna dengan data peristiwa keamanan dapat membantu organisasi menemukan ancaman lebih cepat dan memprioritaskan anomali paling berisiko untuk diselidiki.

UBA melengkapi alat EDR dengan menambahkan data perilaku pengguna ke data aktivitas titik akhir. Hal ini memberikan tim keamanan lebih banyak wawasan tentang apa yang dilakukan pengguna di titik akhir mereka, yang dapat mempermudah untuk mengidentifikasi pola perilaku mencurigakan di seluruh perangkat.

Organisasi menggunakan alat IAM untuk mengontrol pengguna mana yang dapat mengakses sumber daya mana. Seperti disebutkan sebelumnya, mengintegrasikan alat UBA dengan sistem IAM memungkinkan organisasi untuk merancang proses autentikasi adaptif cerdas yang memperkuat persyaratan autentikasi saat skor risiko pengguna meningkat.