Diterbitkan: 19 Juni 2024
Kontributor: Matthew Kosinski
Dalam keamanan siber, analisis perilaku pengguna (UBA) adalah penggunaan analisis data, kecerdasan buatan, dan machine learning untuk melacak perilaku pengguna dalam jaringan, memodelkan pola perilaku normal mereka, dan mendeteksi penyimpangan yang mungkin menandakan ancaman keamanan.
Alat UBA dapat mendeteksi ketika pengguna individu melakukan hal-hal yang biasanya tidak mereka lakukan, seperti masuk dari alamat IP baru atau melihat data sensitif yang biasanya tidak mereka kerjakan.
Anomali kecil ini mungkin tidak memicu alat pemantauan jaringan lainnya. Namun, UBA dapat menentukan bahwa aktivitas ini tidak normal untuk pengguna tertentu ini dan mengingatkan tim keamanan.
Karena mereka dapat mendeteksi perilaku yang mencurigakan secara halus, alat UBA dapat membantu pusat operasi keamanan (SOC) menemukan serangan berbahaya seperti ancaman orang dalam, ancaman persisten tingkat lanjut, dan peretas menggunakan kredensial yang dicuri.
Kapasitas ini penting bagi SOC saat ini. Penyalahgunaan akun yang valid merupakan cara paling umum yang dilakukan penjahat siber untuk membobol jaringan, menurut IBM X-Force Threat Intelligence Index.
Alat dan teknik UBA digunakan di berbagai bidang. Sebagai contoh, pemasar dan perancang produk sering melacak data perilaku pengguna untuk memahami bagaimana orang berinteraksi dengan aplikasi dan situs web. Namun, dalam keamanan siber, UBA terutama digunakan untuk deteksi ancaman.
Pertama kali didefinisikan oleh perusahaan analis Gartner pada tahun 2015, analisis perilaku pengguna dan entitas (UEBA) adalah kelas alat keamanan yang berevolusi dari UBA.
Seperti UBA, alat UEBA memantau aktivitas jaringan, menetapkan garis dasar untuk perilaku normal dan mendeteksi penyimpangan dari norma tersebut. Perbedaan utamanya adalah UBA hanya melacak pengguna manusia, sementara sistem UEBA juga melacak aktivitas dan metrik dari entitas nonmanusia seperti aplikasi dan perangkat.
Ada beberapa perdebatan mengenai apakah kedua istilah tersebut dapat dipertukarkan. Beberapa perusahaan, seperti IDC, berpendapat bahwa ini adalah kelas teknologi yang berbeda.1 Di sisi lain, mantan analis Gartner Anton Chuvakin mengatakan bahwa menurutnya UBA dan UEBA pada dasarnya sinonim.
Terlepas dari itu, fokus pada pengguna adalah hal yang membedakan UBA dan UEBA dari alat keamanan serupa seperti informasi keamanan dan manajemen peristiwa (SIEM) serta deteksi dan respons titik akhir (EDR). Alat-alat ini memungkinkan tim keamanan untuk memahami dan menganalisis aktivitas sistem pada tingkat pengguna individu. Melacak entitas bukan manusia dapat menambahkan konteks, tetapi itu belum tentu tujuan inti dari alat ini.
Atau, mengutip Chuvakin: “‘U‘ adalah suatu keharusan, tetapi “melampaui ‘U‘ ke ‘E’ lainnya tidak.”
Alat analisis perilaku pengguna secara terus-menerus mengumpulkan data pengguna dari berbagai sumber di seluruh jaringan, yang digunakan untuk membuat dan menyempurnakan model dasar perilaku pengguna. Alat membandingkan aktivitas pengguna dengan garis dasar ini secara real time. Ketika mereka mendeteksi perilaku anomali yang menimbulkan risiko signifikan, mereka mengingatkan pemangku kepentingan yang sesuai.
Alat UBA mengumpulkan data tentang atribut pengguna (misalnya: peran, izin, lokasi) dan aktivitas pengguna (misalnya: perubahan yang mereka lakukan pada file, situs yang mereka kunjungi, data yang mereka pindahkan). UBA dapat mengumpulkan informasi ini dari berbagai sumber data, termasuk:
Direktori pengguna, seperti Microsoft Active Directory
Log lalu lintas jaringan dari sistem deteksi dan pencegahan intrusi (IDPS), router, VPN, dan infrastruktur lainnya
Data aktivitas pengguna dari aplikasi, file, titik akhir, dan basis data
Data login dan autentikasi dari sistem manajemen identitas dan akses
Data peristiwa dari SIEM, EDR, dan alat keamanan lainnya
Alat UBA menggunakan analisis data untuk mengubah data pengguna menjadi model dasar aktivitas normal.
Alat UBA dapat menggunakan metode analitik dasar seperti pemodelan statistik dan pencocokan pola. Banyak juga yang menggunakan analitik lanjutan, seperti kecerdasan buatan (AI) dan machine learning (ML).
AI dan ML memungkinkan alat UBA untuk menganalisis kumpulan data besar-besaran untuk membuat model perilaku yang lebih akurat. Algoritme machine learning juga dapat menyempurnakan model-model ini dari waktu ke waktu sehingga model-model ini dapat berevolusi seiring dengan perubahan operasi bisnis dan peran pengguna.
Alat UBA dapat membuat model perilaku untuk pengguna individu dan kelompok pengguna.
Untuk pengguna individu, model ini mungkin mencatat hal-hal seperti dari mana pengguna masuk dan jumlah rata-rata waktu yang mereka habiskan di berbagai aplikasi.
Untuk kelompok pengguna, seperti semua pengguna di sebuah departemen, model ini dapat memperhitungkan hal-hal seperti database yang diakses oleh para pengguna dan pengguna lain yang berinteraksi dengannya.
Seorang pengguna mungkin memiliki beberapa akun pengguna untuk berbagai aplikasi dan layanan yang mereka gunakan selama hari kerja. Banyak alat UBA dapat belajar untuk mengonsolidasikan aktivitas dari akun ini di bawah satu identitas pengguna terpadu.
Konsolidasi aktivitas akun membantu tim keamanan mendeteksi pola perilaku bahkan ketika aktivitas pengguna dipecah di berbagai bagian jaringan.
Setelah membuat model dasar, alat UBA memantau pengguna dan membandingkan perilaku mereka dengan model ini. Ketika mereka mendeteksi penyimpangan yang mungkin menandakan potensi ancaman, mereka mengingatkan tim keamanan.
UBA dapat mendeteksi anomali dalam beberapa cara berbeda, dan banyak alat UBA menggunakan kombinasi metode deteksi.
Beberapa alat UBA menggunakan sistem berbasis aturan di mana tim keamanan secara manual mendefinisikan situasi yang seharusnya memicu peringatan, seperti pengguna yang mencoba mengakses aset di luar tingkat izin mereka.
Banyak alat UBA juga menggunakan algoritma AI dan ML untuk menganalisis perilaku pengguna dan menemukan anomali. Dengan AI dan ML, UBA dapat mendeteksi penyimpangan dari perilaku historis pengguna.
Sebagai contoh, jika seorang pengguna hanya masuk ke sebuah aplikasi selama jam kerja di masa lalu dan sekarang login pada malam hari dan akhir pekan, hal ini mungkin mengindikasikan adanya akun yang disusupi.
Alat UBA juga dapat menggunakan AI dan ML untuk membandingkan pengguna dengan rekan-rekan mereka dan mendeteksi anomali dengan cara itu.
Sebagai contoh, ada kemungkinan besar bahwa tidak ada seorang pun di departemen pemasaran yang perlu menarik catatan kartu kredit pelanggan. Jika pengguna pemasaran mulai mencoba mengakses catatan tersebut, itu mungkin menandakan upaya eksfiltrasi data.
Selain melatih algoritma AI dan ML tentang perilaku pengguna, organisasi dapat menggunakan feed intelijen ancaman untuk mengajarkan alat UBA untuk menemukan indikator aktivitas berbahaya yang diketahui.
Skor risiko
Alat bantu UBA tidak memunculkan peringatan setiap kali pengguna melakukan sesuatu yang tidak biasa. Bagaimanapun, orang sering memiliki alasan yang sah untuk terlibat dalam perilaku “anomali”. Sebagai contoh, pengguna mungkin berbagi data dengan pihak yang sebelumnya tidak dikenal karena mereka bekerja sama dengan vendor baru untuk pertama kalinya.
Alih-alih menandai peristiwa individual, banyak alat UBA menetapkan skor risiko kepada setiap pengguna. Setiap kali pengguna melakukan sesuatu yang tidak biasa, skor risiko mereka meningkat. Semakin berisiko anomali, semakin tinggi peningkatannya. Ketika skor risiko pengguna melewati ambang batas tertentu, alat UBA memperingatkan tim keamanan.
Dengan cara ini, alat UBA tidak membanjiri tim keamanan dengan anomali kecil. Namun, itu masih akan menangkap pola ketidaknormalan reguler dalam aktivitas pengguna, yang lebih mungkin mengindikasikan ancaman siber. Satu anomali signifikan juga dapat memicu peringatan jika menimbulkan risiko yang cukup tinggi.
Ketika skor risiko pengguna cukup tinggi, alat UBA memberi tahu SOC, tim respons insiden, atau pemangku kepentingan lainnya.
Beberapa alat UBA memiliki dasbor khusus di mana tim keamanan dapat memantau aktivitas pengguna, melacak skor risiko, dan menerima peringatan. Banyak alat UBA juga dapat mendorong peringatan ke SIEM atau alat keamanan lainnya.
Meskipun alat UBA biasanya tidak memiliki kapasitas untuk merespons ancaman secara langsung, alat ini dapat berintegrasi dengan alat lain yang memiliki kapasitas tersebut.
Misalnya, beberapa platform manajemen identitas dan akses (IAM) menggunakan data UBA untuk autentikasi adaptif. Jika skor risiko pengguna melewati ambang batas tertentu, mungkin karena mereka masuk dari perangkat baru, sistem IAM mungkin meminta faktor autentikasi tambahan.
Karena fokus pada aktivitas pengguna di dalam jaringan, alat UBA dapat membantu tim keamanan menangkap aktor jahat yang berhasil melewati pertahanan perimeter mereka.
Baik sengaja atau karena kelalaian, ancaman orang dalam adalah pengguna yang menyalahgunakan atau menyalahgunakan hak istimewa mereka yang sah untuk membahayakan perusahaan. Karena pengguna ini sering memiliki izin untuk berada di sistem yang mereka rusak, banyak alat keamanan dapat melewatkannya.
Di sisi lain, UBA dapat melihat ketika pengguna berperilaku tidak normal. Seorang pengguna mungkin memiliki hak untuk bekerja dengan data sensitif, tetapi jika mereka mentransfer banyak data tersebut ke perangkat yang tidak dikenal, UBA dapat menandai hal ini sebagai potensi pencurian.
Peretas dapat menggunakan phishing atau malware untuk mencuri kredensial dan menyamar sebagai pengguna yang sah. Seperti halnya ancaman orang dalam, alat keamanan dapat melewatkan penyerang ini karena mereka tampak seperti pengguna resmi.
Namun, para peretas pasti akan melakukan sesuatu yang berbahaya yang tidak akan dilakukan oleh pengguna nyata, seperti mengeksploitasi kerentanan atau membuat gerakan lateral. Alat UBA dapat menangkap anomali ini.
APT dapat mengintai di jaringan selama berbulan-bulan atau bertahun-tahun, diam-diam mencuri data atau menyebarkan malware. Mereka sering kali menghindari deteksi dengan menyamar sebagai pengguna yang sah dan mengambil banyak langkah kecil dari waktu ke waktu daripada membuat langkah besar yang berisiko. UBA unggul dalam mendeteksi pola perilaku mencurigakan jangka panjang ini.
Alat UBA dapat menghasilkan hasil positif palsu dan hasil negatif palsu dalam beberapa keadaan. Organisasi dapat mengurangi kemungkinan tersebut dengan menggunakan skor risiko dan melatih algoritma AI dan ML berdasarkan pola unik penggunanya, tetapi hal itu mungkin tidak menghilangkan risiko sepenuhnya.
Katakanlah seorang pengguna mulai mentransfer data sensitif dalam jumlah besar dari satu cloud ke cloud lainnya sebagai bagian dari migrasi yang direncanakan. Model dasar UBA mungkin tidak memperhitungkan aktivitas yang disetujui tetapi langka ini dan, oleh karena itu, memicu lonceng alarm.
Negatif palsu muncul ketika alat UBA belajar memperlakukan potensi ancaman sebagai perilaku yang dapat diterima. Hal ini dapat terjadi ketika anomali terjadi berulang kali tanpa koreksi.
IDC membagikan salah satu kisah di mana sebuah vendor memamerkan kemampuan deteksi ancaman UBA-nya dengan mensimulasikan pelanggaran data untuk pelanggan. Pada akhirnya, alat UBA melihat pelanggaran data yang sama terjadi berkali-kali sehingga alat ini memutuskan bahwa ini adalah perilaku normal yang tidak memerlukan peringatan.1
Meskipun beberapa vendor menawarkan solusi UBA mandiri, pasar semakin bergeser ke arah penyediaan fungsionalitas UBA sebagai integrasi dengan atau tambahan ke alat keamanan lainnya. Secara khusus, kemampuan UBA sering kali tertanam dalam platform SIEM, EDR, dan IAM.
SIEM mengumpulkan data peristiwa keamanan dari alat keamanan internal yang berbeda dalam satu log dan menganalisis data tersebut untuk mendeteksi aktivitas yang tidak biasa. Banyak SIEMS sekarang menyertakan kemampuan UBA atau siap berintegrasi dengan alat UBA, yang dapat membantu organisasi mengoptimalkan data SIEM mereka.
Menggabungkan data perilaku pengguna dengan data peristiwa keamanan dapat membantu organisasi menemukan ancaman lebih cepat dan memprioritaskan anomali paling berisiko untuk diselidiki.
UBA melengkapi alat EDR dengan menambahkan data perilaku pengguna ke data aktivitas titik akhir. Hal ini memberikan tim keamanan lebih banyak wawasan tentang apa yang dilakukan pengguna di titik akhir mereka, yang dapat mempermudah untuk mengidentifikasi pola perilaku mencurigakan di seluruh perangkat.
Organisasi menggunakan alat IAM untuk mengontrol pengguna mana yang dapat mengakses sumber daya mana. Seperti disebutkan sebelumnya, mengintegrasikan alat UBA dengan sistem IAM memungkinkan organisasi untuk merancang proses autentikasi adaptif cerdas yang memperkuat persyaratan autentikasi saat skor risiko pengguna meningkat.
Gunakan solusi deteksi dan respons ancaman IBM untuk memperkuat keamanan Anda dan mempercepat deteksi ancaman.
Prediksi, cegah, dan respons ancaman modern, Tingkatkan ketahanan bisnis.
Tingkatkan kecepatan, akurasi, dan produktivitas tim keamanan dengan solusi yang didukung AI.
Keamanan karyawan, data, dan infrastruktur bergantung pada pemahaman Anda mengenai muslihat penyerang. Belajar dari tantangan dan keberhasilan tim keamanan di seluruh dunia.
Dapatkan gambaran umum tentang pasar layanan deteksi dan respons terkelola, dan pelajari mengapa IBM dinobatkan sebagai pemimpin secara keseluruhan.
Analisis perilaku pengguna dan entitas, atau UEBA, adalah jenis perangkat lunak keamanan yang menggunakan analisis perilaku dan otomatisasi untuk mengidentifikasi perilaku pengguna dan perangkat yang berpotensi berbahaya.
Catatan kaki
1 A CISO's Guide to Artificial Intelligence (tautan berada di luar ibm.com). Penelitian IDC.