Che cos'è l'analisi del comportamento degli utenti (UBA)?

Gli strumenti UBA sono in grado di rilevare quando i singoli utenti fanno cose che normalmente non farebbero, come accedere da un nuovo indirizzo IP o visualizzare dati sensibili con cui in genere non hanno a che fare.

Queste anomalie di tipo minore potrebbero non attivare altri strumenti di monitoraggio della rete. Tuttavia, l'UBA può stabilire che questa attività è anomala per questo utente specifico e avvisare il team addetto alla sicurezza.

Dal momento che sono in grado di rilevare comportamenti leggermente sospetti, gli strumenti UBA possono aiutare i Security Operations Center (SoC) a individuare attacchi evasivi come minacce interne, minacce persistenti avanzate e hacker che utilizzano credenziali rubate.

Questa capacità è importante per i SOC moderni. L'abuso di account validi è il modo più comune con cui i criminali informatici riescono a infiltrarsi nelle reti, secondo l'IBM X-Force Threat Intelligence Index.

Gli strumenti e le tecniche UBA vengono utilizzati in vari campi. Ad esempio, gli operatori di marketing e i product designer spesso tracciano i dati comportamentali degli utenti per capire in che modo le persone interagiscono con le app e i siti web. Tuttavia, nel campo della cybersecurity, l'UBA viene utilizzato principalmente per il rilevamento delle minacce.

Definita per la prima volta dalla società di analisi Gartner nel 2015, l'analisi del comportamento degli utenti e delle entità (UEBA) è una classe di strumenti di sicurezza che si è evoluta dall'UBA.

Esattamente come l'UBA, gli strumenti UEBA monitorano l'attività della rete, stabiliscono le baseline per i comportamenti normali e rilevano le deviazioni da tali norme. La differenza fondamentale è che l'UBA traccia solo gli utenti umani, mentre i sistemi UEBA tracciano anche l'attività e le metriche di entità non umane, come app e dispositivi.

Si discute se i termini siano intercambiabili. Alcune aziende, come l'IDC, sostengono che si tratti di classi tecnologiche distinte.¹ D'altra parte, l'ex analista di Gartner Anton Chuvakin ha dichiarato di considerare UBA e UEBA più o meno sinonimi.

Tuttavia, l'attenzione rivolta agli utenti è quello che distingue UBA e UEBA rispetto a strumenti per la sicurezza simili, come i sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) e gli strumenti di rilevamento e risposta degli endpoint (EDR). Questi strumenti consentono ai team addetti alla sicurezza di comprendere e analizzare l'attività del sistema a livello di singolo utente. Il tracciamento delle entità non umane può aggiungere contesto, ma non è necessariamente lo scopo principale di questi strumenti.

Oppure, per citare Chuvakin: "'U' è un must," ma "andare oltre 'U' verso un'altra 'E' non lo è".

Gli strumenti di analisi del comportamento dell'utente raccolgono costantemente i dati degli utenti da fonti presenti in tutta la rete, che utilizzano per creare e perfezionare i modelli baseline per il comportamento dell'utente. Gli strumenti confrontano l'attività degli utenti con queste baseline in tempo reale. Quando rilevano un comportamento anomalo che rappresenta un rischio significativo, avvisano gli stakeholder interessati.

Gli strumenti UBA raccolgono dati sugli attributi degli utenti (ad esempio: ruoli, autorizzazioni, posizione) e sulle attività degli utenti (ad esempio: modifiche apportate a un file, siti visitati, dati spostati). Gli UBA possono raccogliere queste informazioni da varie fonti di dati, tra cui:

• Directory utente, ad esempio Microsoft Active Directory
   

• Registri del traffico di rete provenienti da sistemi di rilevamento e prevenzione delle intrusioni (IDPS), router, VPN e altre infrastrutture
  

• Dati sull'attività degli utenti da app, file, endpoint e database
  

• Dati di accesso e autenticazione provenienti dai sistemi di gestione delle identità e degli accessi
   

• Dati degli eventi da SIEM, EDR e altri strumenti di sicurezza

Gli strumenti UBA utilizzano l'analytics dei dati per trasformare i dati degli utenti in modelli baseline della normale attività.

Gli strumenti UBA possono utilizzare metodi di analytics di base, quali la modellazione statistica e la corrispondenza dei pattern. Molti utilizzano anche analisi avanzate, come l'intelligenza artificiale (AI) e il machine learning (ML).

AI e ML consentono agli strumenti UBA di analizzare enormi serie di dati per creare modelli di comportamento più accurati. Gli algoritmi di machine learning possono anche perfezionare questi modelli nel tempo in modo che si evolvano insieme alle modifiche alle operazioni aziendali e ai ruoli degli utenti.

Gli strumenti UBA possono creare modelli comportamentali sia per singoli utenti, che per gruppi di utenti.

Per un singolo utente, il modello potrebbe prendere nota di elementi come la posizione da cui l'utente accede e la quantità media di tempo trascorso in app diverse.

Per i gruppi di utenti, come tutti gli utenti di un reparto, il modello potrebbe tenere conto di elementi come i database a cui questi utenti accedono e gli altri utenti con cui interagiscono.

Un singolo utente potrebbe avere diversi account utente per le diverse app e servizi che utilizza durante una tipica giornata di lavoro. Numerosi strumenti UBA possono imparare a consolidare l'attività di questi account sotto un'unica identità utente unificata.

Il consolidamento dell'attività dell'account aiuta i team di sicurezza a rilevare i modelli di comportamento anche quando l'attività dell'utente è suddivisa in parti eterogenee della rete.

Dopo avere creato i modelli baseline, gli strumenti UBA monitorano gli utenti e confrontano il loro comportamento con questi modelli. Quando rilevano anomalie che potrebbero segnalare potenziali minacce, avvisano il team addetto alla sicurezza.

Gli UBA possono rilevare le anomalie in diversi modi e numerosi strumenti UBA utilizzano una combinazione di metodi di rilevamento.

Alcuni strumenti UBA utilizzano sistemi basati su regole in cui i team addetti alla sicurezza definiscono manualmente le situazioni che devono attivare gli avvisi, ad esempio gli utenti che tentano di accedere agli asset al di fuori dei loro livelli di autorizzazione.

Numerosi strumenti UBA utilizzano inoltre algoritmi di AI e apprendimento automatico (ML) per analizzare il comportamento degli utenti e individuare le anomalie. Con l'AI e l'apprendimento automatico (ML), UBA è in grado di rilevare le anomalie rispetto al comportamento tipico di un utente.

Ad esempio, se in passato un utente ha effettuato l'accesso a un'app solo durante l'orario di lavoro e ora accede di notte e nei fine settimana, questo potrebbe indicare un account compromesso.

Gli strumenti UBA possono inoltre utilizzare l'AI e l'apprendimento automatico (ML) per mettere a confronto gli utenti con i loro pari e rilevare così le anomalie.

Ad esempio, è molto probabile che nessuno del reparto marketing necessiti di estrarre i dati delle carte di credito dei clienti. Se un utente di marketing inizia a provare ad accedere a quei record, ciò potrebbe segnalare un tentativo di esfiltrazione dei dati.

Oltre ad addestrare gli algoritmi di AI e ML sui comportamenti degli utenti, le organizzazioni possono utilizzare i feed di threat intelligence per insegnare agli strumenti UBA a individuare indicatori noti di attività dannose.

Gli strumenti UBA non emettono avvisi ogni volta che un utente compie qualcosa di insolito. Dopotutto, le persone spesso hanno motivi legittimi per adottare comportamenti "anomali". Ad esempio, un utente potrebbe condividere i dati con un soggetto precedentemente sconosciuto perché sta lavorando per la prima volta con un nuovo fornitore.

Invece di contrassegnare i singoli eventi, numerosi strumenti UBA assegnano a ciascun utente un punteggio di rischio. Ogni volta che un utente fa qualcosa di insolito, il suo punteggio di rischio aumenta. Più è rischiosa l'anomalia, maggiore è l'aumento. Quando il punteggio di rischio dell'utente supera una determinata soglia, lo strumento UBA avvisa il team addetto alla sicurezza.

In questo modo, lo strumento UBA non inonda il team addetto alla sicurezza di piccole anomalie. Tuttavia, potrebbe comunque rilevare un pattern di anomalie costanti nell'attività di un utente, il che è più probabile che indichi una minaccia informatica. Una singola anomalia significativa potrebbe anche attivare un avviso se questa rappresenta un rischio sufficientemente elevato.

Quando il punteggio di rischio di un utente è sufficientemente alto, lo strumento UBA avvisa il SOC, il team di risposta agli incidenti o altri stakeholder.

Alcuni strumenti UBA hanno dashboard dedicate dove i team addetti alla sicurezza possono monitorare l'attività degli utenti, tenere traccia dei punteggi di rischio e ricevere avvisi. Numerosi strumenti UBA possono inoltre inviare avvisi ai SIEM o ad altri strumenti di sicurezza.

Sebbene gli strumenti UBA in genere non abbiano la capacità di rispondere direttamente alle minacce, possono integrarsi con altri strumenti che lo fanno.

Ad esempio, alcune piattaforme di gestione delle identità e degli accessi (IAM) utilizzano i dati UBA per l'autenticazione adattiva. Se il punteggio di rischio di un utente supera una determinata soglia, magari perché accede da un nuovo dispositivo, il sistema IAM potrebbe richiedere dei fattori di autenticazione aggiuntivi.

Poiché si concentrano sull'attività degli utenti all'interno della rete, gli strumenti UBA possono aiutare i team addetti alla sicurezza a catturare gli autori malintenzionati che superano le loro difese perimetrali.

Inoltre, monitorando i modelli a lungo termine nel comportamento degli utenti, UBA è in grado di rilevare le tracce quasi impercettibili lasciate dagli attacchi informatici più sofisticati.

In alcune circostanze, gli strumenti UBA possono produrre falsi positivi e falsi negativi. Le organizzazioni possono mitigare queste possibilità utilizzando punteggi di rischio e addestrando algoritmi di AI e ML sui modelli unici dei loro utenti, ma potrebbero non eliminare completamente il rischio.

Supponiamo che un utente inizi a trasferire enormi quantità di dati sensibili da un cloud a un altro, nell'ambito di una migrazione pianificata. Il modello baseline dell'UBA potrebbe non tenere conto di questa attività approvata ma rara e, quindi, fa scattare un campanello d'allarme.

I falsi negativi si verificano quando uno strumento UBA impara a trattare potenziali minacce come comportamenti accettabili. Questo può accadere quando le anomalie si verificano ripetutamente senza correzione.

Consideriamo ad esempio un fornitore che dimostra le capacità di rilevamento delle minacce del suo UBA simulando violazioni dei dati per i clienti durante le demo. Lo strumento UBA vedrà la stessa violazione ripetersi più e più volte. Lo strumento potrebbe quindi stabilire che questa violazione è un comportamento normale, perché si verifica molto regolarmente, e smettere di emettere avvisi al riguardo.

Mentre alcuni fornitori offrono soluzioni UBA indipendenti, il mercato si sta spostando sempre più verso la fornitura di funzionalità UBA sotto forma di integrazione o aggiunta ad altri strumenti di sicurezza. Nello specifico, le funzionalità UBA sono spesso integrate nei SIEM, negli EDR e nelle piattaforme IAM.

I SIEM aggregano i dati sugli eventi di sicurezza provenienti da strumenti di sicurezza interni eterogenei in un unico registro e li analizzano per rilevare eventuali attività insolite. Numerosi SIEM ora includono funzionalità UBA o si integrano facilmente con gli strumenti UBA, che possono aiutare le organizzazioni a ottimizzare i propri dati SIEM.

La combinazione dei dati sul comportamento degli utenti con i dati sugli eventi di sicurezza può aiutare le organizzazioni a individuare tempestivamente le minacce e ad assegnare priorità alle anomalie più rischiose su cui indagare.

Gli UBA completano gli strumenti EDR aggiungendo dati sul comportamento degli utenti ai dati sulle attività degli endpoint. In questo modo il team addetto alla sicurezza offre maggiori insight su quello che gli utenti stanno facendo sui loro endpoint, il che può semplificare l'individuazione di modelli di comportamento sospetto tra i dispositivi.

Le organizzazioni utilizzano gli strumenti IAM per controllare quali utenti possono accedere a quali risorse. Come accennato in precedenza, l'integrazione degli strumenti UBA con i sistemi IAM consente alle organizzazioni di progettare processi di autenticazione adattivi intelligenti che rafforzano i requisiti di autenticazione all'aumentare del punteggio di rischio dell'utente.