Apa itu analisis perilaku pengguna dan entitas (UEBA)?

UEBA, istilah yang diciptakan oleh Gartner pada tahun 2015, adalah evolusi dari analisis perilaku pengguna (UBA). Jika UBA hanya melacak pola perilaku pengguna akhir, UEBA juga memantau entitas non-pengguna seperti server, router, dan perangkat Internet of Things (IoT), untuk mencari anomali perilaku atau aktivitas mencurigakan yang menandakan adanya ancaman atau serangan keamanan.

UEBA efektif dalam mengidentifikasi ancaman orang dalam—orang dalam yang jahat atau peretas yang menggunakan kredensial orang dalam yang disusupi—yang dapat menghindari alat keamanan lain karena meniru lalu lintas jaringan yang sah.

UEBA digunakan dalam pusat operasi keamanan (SOC) bersama dengan alat keamanan perusahaan lainnya, dan fungsi UEBA sering kali disertakan dalam solusi keamanan perusahaan seperti manajemen informasi keamanan dan peristiwa (SIEM), deteksi dan respons titik akhir (EDR), deteksi respons yang diperluas (XDR), serta manajemen identitas dan akses (IAM).

Solusi UEBA memberikan wawasan keamanan melalui analisis data dan pembelajaran mesin. Alat analisis perilaku dalam sistem UEBA menyerap dan menganalisis banyak data dari berbagai sumber untuk menciptakan gambaran dasar bagaimana pengguna dan entitas dengan hak istimewa biasanya berfungsi. Kemudian menggunakan machine learning (ML) untuk menyempurnakan baseline. Seiring ML belajar, solusi UEBA perlu untuk mengumpulkan dan menganalisis lebih sedikit sampel perilaku normal untuk menciptakan dasar yang akurat.

Setelah pemodelan perilaku dasar, UEBA menerapkan analisis tingkat lanjut dan kemampuan machine learning yang sama pada data aktivitas pengguna dan entitas saat ini untuk mengidentifikasi perubahan mencurigakan dari model dasar secara real time. UEBA menilai perilaku pengguna dan entitas dengan menganalisis data dari sebanyak mungkin sumber perusahaan. Lebih banyak lebih baik. Sumber-sumber ini biasanya meliputi:

• Peralatan jaringan dan solusi akses jaringan, seperti firewall, router, VPN, dan solusi IAM.
   

• Alat dan solusi keamanan, seperti antivirus dan perangkat lunak antimalware, EDR, sistem deteksi dan pencegahan intrusi (IDPS), dan SIEM.
   

• Basis data autentikasi, seperti Active Directory, berisi informasi penting tentang lingkungan jaringan, termasuk akun pengguna, komputer aktif dalam sistem, dan aktivitas yang diizinkan untuk dilakukan pengguna.

• Umpan intelijen ancaman dan kerangka kerja seperti MITRE ATT&CK, yang menyediakan informasi tentang ancaman siber dan kerentanan umum, termasuk serangan zero-day, malware, botnet, dan risiko keamanan lainnya.
   

• Perencanaan sumber daya perusahaan (ERP) atau sistem sumber daya manusia (SDM) yang mengandung informasi terkait tentang pengguna yang menimbulkan ancaman, misalnya karyawan yang baru diberhentikan atau dikecewakan.

UEBA mengg unakan apa yang telah dipelajari untuk mengidentifikasi anomali perilaku dan menilainya berdasarkan risiko yang ditimbulkan. Contohnya, beberapa upaya autentikasi yang gagal dalam waktu singkat, atau pola akses sistem yang tidak wajar dapat mengindikasikan ancaman orang dalam, dan mungkin menimbulkan peringatan skor rendah. Demikian juga ketika pengguna mencolokkan beberapa drive USB dan melakukan pola unduh yang tidak wajar mungkin mengindikasikan eksfiltrasi data dan akan menghasilkan skor risiko tinggi.

Penggunaan metrik skor ini dapat membantu tim keamanan menghindari positif palsu dan memprioritaskan ancaman terbesar, sekaligus mendokumentasikan dan memantau peringatan level rendah dari waktu ke waktu yang mengindikasikan ancaman bergerak lambat namun serius.

UEBA membantu perusahaan mengidentifikasi perilaku mencurigakan dan memperkuat upaya pencegahan kehilangan data (DLP). Di luar penggunaan taktis ini, UEBA juga digunakan untuk tujuan strategis, seperti menunjukkan kepatuhan terhadap regulasi di sekitar data pengguna dan perlindungan privasi.

Orang dalam yang jahat: Mereka adalah orang yang memiliki akses sah dan bahkan hak istimewa ke jaringan perusahaan, lalu mencoba melakukan serangan siber. Data semata—seperti file log atau catatan peristiwa—tidak dapat mengenali semua orang tersebut, tetapi analitik tingkat lanjut bisa melakukannya. Karena UEBA memberikan insight tentang pengguna spesifik, tidak seperti alamat IP, UEBA dapat mengidentifikasi pengguna yang melanggar kebijakan keamanan.

Orang dalam yang disusupi: Penyerang ini mendapatkan akses ke kredensial pengguna sah atau perangkat melalui skema phishing, serangan brute-force, atau cara lain. Alat keamanan biasa mungkin tidak dapat menemukan mereka karena penyerang ini menggunakan kredensial asli yang dicuri sehingga tampak sah. Setelah masuk, penyerang ini akan melakukan pergerakan lateral, bergerak melalui jaringan dan mengambil kredensial baru untuk meningkatkan haknya dan mendapatkan lebih banyak aset sensitif. Meskipun penyerang ini menggunakan kredensial sah, UEBA dapat mengenali anomali perilaku mereka untuk menggagalkan serangan.

Entitas yang disusupi: Banyak organisasi, khususnya pabrik dan rumah sakit, menggunakan sejumlah besar perangkat terhubung, seperti perangkat IoT, sering kali dengan sedikit atau tanpa konfigurasi keamanan. Kurangnya perlindungan menjadikan entitas tersebut target utama bagi peretas, yang dapat membajak perangkat untuk mengakses sumber data sensitif, mengganggu operasi, atau melakukan serangan denial-of-service terdistribusi (DDoS). UEBA dapat membantu mengidentifikasi perilaku yang mengindikasikan bahwa entitas pernah disusupi sehingga ancaman dapat diatasi sebelum dampaknya memburuk.

Eksfiltrasi data: Ancaman orang dalam dan pelaku kejahatan sering kali berusaha mencuri data pribadi, properti intelektual, atau dokumen strategi bisnis dari server, komputer, atau perangkat lain yang telah disusupi. UEBA membantu tim keamanan mengenali pelanggaran data secara real-time dengan memperingatkan tim tentang pola unduhan dan akses data yang tidak wajar.

Mengimplementasikan keamanan zero trust: Pendekatan keamanan zero trust adalah pendekatan yang tidak memercayai siapa pun dan terus memverifikasi semua pengguna atau entitas, baik dari luar ataupun dari dalam jaringan. Kepercayaan zero-trust mengharuskan semua pengguna dan entitas diautentikasi, diotorisasi, dan divalidasi sebelum diberikan akses ke aplikasi dan data. Setelah akses diberikan, mereka harus terus-menerus diautentikasi ulang, diotorisasi ulang, dan divalidasi ulang untuk mempertahankan atau memperluas akses tersebut selama sesi berlangsung.

Arsitektur zero trust yang efektif memerlukan visibilitas maksimal tentang semua pengguna, perangkat, aset, dan entitas di jaringan. UEBA memberi analis keamanan visibilitas yang kaya dan real-time tentang semua aktivitas pengguna akhir dan entitas, termasuk perangkat mana yang mencoba terhubung ke jaringan, pengguna mana yang mencoba melampaui haknya, dan sebagainya.

Kepatuhan GDPR: Peraturan Perlindungan Data Umum (GDPR) Uni Eropa memberlakukan persyaratan ketat bagi organisasi untuk melindungi data sensitif. Berdasarkan GDPR, perusahaan harus melacak data pribadi apa yang diakses, oleh siapa, dan bagaimana penggunaannya, serta kapan data dihapus. Alat UEBA dapat membantu perusahaan mematuhi GDPR dengan memantau perilaku pengguna dan data sensitif yang mereka akses.

UEBA, atau kemampuan berjenis UEBA, termasuk dalam banyak alat keamanan yang tersedia saat ini. Meski dapat digunakan sebagai produk yang berdiri sendiri, UEBA harus dianggap sebagai salah satu alat dalam sekumpulan alat keamanan siber yang komprehensif. UEBA terutama sering digunakan dengan atau dibangun ke dalam alat-alat berikut:

Manajemen informasi dan peristiwa keamanan (SIEM): Sistem SIEM mengumpulkan data peristiwa keamanan dari alat keamanan internal yang berbeda-beda dalam satu log tunggal, lalu menganalisis data tersebut untuk mendeteksi perilaku tidak wajar dan potensi ancaman. UEBA dapat memperluas visibilitas SIEM ke dalam jaringan melalui kemampuan deteksi ancaman orang dalam dan analisis perilaku pengguna. Saat ini, banyak solusi SIEM yang menyertakan UEBA.

Deteksi dan respons titik akhir (EDR): Alat EDR memonitor titik akhir sistem, seperti laptop, printer, dan perangkat IoT, untuk mencari tanda perilaku tidak wajar yang mengindikasikan ancaman. Ketika ancaman terdeteksi, EDR secara otomatis akan menahannya. UEBA melengkapi—dan sering kali menjadi bagian dari— solusi EDR dengan cara memantau perilaku pengguna di titik akhir tersebut. Contohnya, login yang mencurigakan akan memicu peringatan level rendah ke EDR, tetapi jika UEBA menemukan bahwa titik akhir digunakan untuk mengakses informasi rahasia, peringatan akan disesuaikan levelnya dan diatasi dengan cepat.

Manajemen identitas dan akses (IAM): Alat manajemen identitas dan akses memastikan orang dan perangkat yang benar dapat menggunakan aplikasi dan data yang benar sesuai kebutuhan. IAM bersifat proaktif dan berupaya mencegah akses tidak sah sembari memfasilitasi akses yang sah. UEBA menambahkan level perlindungan dengan memantau tanda-tanda kredensial yang telah disusupi atau penyalahgunaan hak istimewa oleh pengguna sah.