사용자 및 엔터티 행동 분석(User and Entity Behavior Analytics), 즉 UEBA는 행동 분석, 머신 러닝 알고리즘 및 자동화를 사용하여 비정상적이며 잠재적으로 위험한 사용자와 디바이스 행동을 식별하는 보안 소프트웨어의 한 유형입니다. UEBA는 팀에 더 나은 보안 인사이트를 제공하고 제로 트러스트 보안 프로그램을 강화합니다.
2015년 Gartner가 처음 만든 용어인 UEBA는 사용자 행동 분석(User Behavior Analytics, UBA)에서 발전한 개념입니다. 최종 사용자의 행동 패턴만 추적하는 UBA와 달리 UEBA는 서버, 라우터, 사물 인터넷(IoT) 디바이스와 같은 비사용자 엔터티를 대상으로 보안 위협이나 공격일 수 있는 비정상적인 행동이나 의심스러운 활동을 모니터링합니다.
UEBA는 승인된 네트워크 트래픽을 모방하여 다른 보안 툴을 우회할 수 있는 내부자 위협(악의적인 내부자 또는 도용된 내부자 자격 증명을 사용하는 해커)을 식별하는 데 효과적입니다.
UEBA는 다른 엔터프라이즈 보안 툴과 함께 보안 운영 센터(SOC) 에서 사용되며,보안 정보 및 이벤트 관리(SIEM), 엔드포인트 탐지 및 대응(EDR), 확장 탐지 및 대응(XDR) , ID 및 액세스 관리(IAM) 와 같은 엔터프라이즈 보안 솔루션에 UEBA 기능이 포함되는 경우가 많습니다.
IBM Security X-Force Threat Intelligence Index를 통해 더 빠르고 효과적으로 사이버 공격에 대비하고 대응할 수 있는 인사이트를 확보하세요.
데이터 유출 비용 보고서 등록
UEBA 솔루션은 데이터 분석과 머신 러닝을 통해 보안 인사이트를 제공합니다. UEBA 시스템의 행동 분석 툴은 여러 소스에서 대량의 데이터를 수집하고 분석하여 권한이 있는 사용자와 엔터티의 일반적인 행동에 대한 기준을 생성합니다. 그런 다음 해당 기준을 구체화하기 위해 머신 러닝(ML)을 사용합니다. 머신 러닝이 점진적으로 학습함에 따라 정확한 기준을 생성하기 위해 UEBA 솔루션이 수집하고 분석할 정상 행동 샘플 수가 줄어듭니다.
UEBA는 기준 행동을 모델링한 후 동일한 고급 분석 및 머신 러닝 기능을 현재 사용자 및 엔터티 활동 데이터에 적용하여 기준에서 벗어난 의심스러운 편차를 실시간으로 식별합니다. UEBA는 가능한 많은 엔터프라이즈 소스의 데이터를 분석하여 사용자 및 엔터티 행동을 평가합니다. 이러한 소스는 많을수록 좋으며, 일반적으로 다음 사항이 포함됩니다.
네트워크 장비 및 네트워크 액세스 솔루션: 방화벽, 라우터, VPN, IAM 솔루션 등
보안 도구 및 솔루션: 바이러스 백신/멀웨어 방지 소프트웨어, EDR, 침입 탐지 및 방지 시스템(IDPS), SIEM 등
인증 데이터베이스: Active Directory(네트워크 환경, 시스템에서 활성화된 사용자 계정 및 컴퓨터, 허용된 사용자 활동에 대한 중요한 정보 포함) 등
위협 인텔리전스 피드 및 프레임워크: MITRE ATT&CK(제로데이 공격, 멀웨어, 봇넷, 기타 보안 위험 등 일반적인 사이버 위협 및 취약성에 대한 정보 제공) 등
전사적 자원 관리(ERP) 또는 인적 자원(HR) 시스템: 사직서를 제출했거나 불만을 품은 직원 등 잠재적인 위협이 되는 사용자에 대한 관련 정보가 포함된 시스템
UEBA는 학습한 내용을 사용하여 비정상적인 행동을 식별하고 해당 행동이 나타내는 위험에 따라 점수를 매깁니다. 예를 들어, 짧은 시간 내에 인증 시도가 여러 번 실패하거나 비정상적인 시스템 액세스 패턴을 보이는 경우 내부자 위협일 수 있으며 낮은 점수의 경고가 생성됩니다. 마찬가지로 사용자가 USB 드라이브 여러 개를 연결하고 비정상적인 다운로드 패턴을 보이는 경우 데이터 유출일 수 있으며 더 높은 위험 점수를 할당받게 됩니다.
보안 팀은 이 점수 메트릭을 사용하여 오탐을 방지하고 가장 큰 위협에 우선순위를 지정하는 동시에 느리게 진행되지만 심각한 위협일 수 있는 낮은 수준의 경고를 시간 경과에 따라 문서화 및 모니터링할 수 있습니다.
UEBA는 기업이 의심스러운 행동을 식별하고 데이터 손실 방지(DLP) 노력을 강화하는 데 도움이 됩니다. UEBA는 이러한 전술적 용도 외에도 사용자 데이터 및 개인정보 보호와 관련된 규정을 준수하는 것을 입증하는 등 보다 전략적인 목적으로도 사용될 수 있습니다.
악의적인 내부자 – 기업 네트워크에 대한 승인된 권한, 심지어 특권을 가진 내부자들이 사이버 공격을 시도하는 경우입니다. 로그 파일이나 이벤트 기록과 같은 데이터만으로는 이러한 내부자를 항상 감지할 수 없지만 고급 분석은 감지할 수 있습니다. UEBA는 IP 주소가 아닌 특정 사용자에 대한 인사이트를 제공하기 때문에 보안 정책을 위반하는 개별 사용자를 식별할 수 있습니다.
도용된 자격 증명을 보유한 내부자 – 이러한 공격자는 피싱 수법, 무차별 공격 또는 기타 수단을 사용해 인증된 사용자나 디바이스의 자격 증명을 도용합니다. 도용된 합법적인 자격 증명을 사용하면 공격자가 권한이 있는 내부자로 보이므로 일반적인 보안 툴로는 이를 감지하지 못할 수 있습니다. 일단 내부에 침입한 공격자는 네트워크 전반에 걸쳐 수평 이동하며 새로운 자격 증명을 획득하여 권한을 확대하고 더 민감한 자산에 접근합니다. 합법적인 자격 증명을 사용하는 경우에도 UEBA는 이러한 공격자의 비정상적인 행동을 탐지하여 공격을 차단할 수 있습니다.
손상된 엔터티 – 특히 제조업체와 병원을 비롯한 많은 조직에서 보안 구성이 거의 없거나 전혀 없는 상태에서 IoT 디바이스와 같은 많은 수의 연결된 디바이스를 사용합니다. 이러한 엔터티는 보호 기능이 없기 때문에 해커의 주요 표적이 되며, 해커는 이와 같은 디바이스를 탈취하여 중요한 데이터 소스에 액세스하고 운영을 방해하거나 분산 서비스 거부(DDoS) 공격을 수행할 수 있습니다. UEBA는 공격을 받은 엔터티가 훼손되었음을 나타내는 동작을 식별할 수 있어 위협이 확산되기 전에 해결할 수 있도록 지원합니다.
데이터 유출 – 내부자 위협과 악의적인 공격자는 손상된 서버, 컴퓨터 또는 기타 디바이스에서 개인 데이터, 지적 재산 또는 비즈니스 전략 문서를 훔치려고 하는 경우가 많습니다. UEBA는 비정상적인 다운로드 및 데이터 액세스 패턴을 보안 팀에 알려 실시간으로 데이터 유출을 발견할 수 있도록 지원합니다.
제로 트러스트 보안 구현 – 제로 트러스트 보안 접근 방식은 네트워크 외부에 있든 이미 내부에 있든 모든 사용자 또는 엔터티를 절대 신뢰하지 않고 지속적으로 검증하는 방식입니다. 특히 제로 트러스트를 사용하려면 애플리케이션과 데이터에 대한 액세스 권한을 부여받기 전에 모든 사용자와 엔터티가 인증, 권한 부여 및 검증을 받아야 하며, 이후에도 세션 전체에서 해당 액세스를 유지하거나 확장하기 위해 지속해서 재인증, 재승인, 재검증을 받아야 합니다.
효과적인 제로 트러스트 아키텍처는 네트워크의 모든 사용자, 디바이스, 자산 및 엔터티에 대한 가시성을 최대한 확보해야 합니다. UEBA는 보안 분석가에게 네트워크에 연결을 시도하는 디바이스, 권한이 없는 활동을 시도하는 사용자 등 모든 최종 사용자 및 엔터티 활동에 대한 풍부한 실시간 가시성을 제공합니다.
GDPR 준수 – 유럽 연합의 일반 데이터 보호 규정(GDPR)은 민감한 데이터를 보호하기 위해 조직에 엄격한 요구 사항을 제시하고 있습니다. GDPR에 따라 기업은 액세스 된 개인 데이터를 추적하여 누가 액세스하고 어떻게 사용되며 언제 삭제되는지 추적해야 합니다. UEBA 툴은 사용자 행동과 사용자가 액세스하는 민감한 데이터를 모니터링하여 기업이 GDPR을 준수하는 데 도움을 줄 수 있습니다.
오늘날의 많은 보안 툴에는 UEBA 또는 UEBA 유사 기능이 포함되어 있습니다. UEBA는 독립형 제품으로 사용할 수도 있지만, 포괄적인 사이버 보안 툴 상자에 포함된 하나의 툴로 간주해야 합니다. 특히 UEBA는 다음 툴과 함께 사용되거나 기본으로 제공되는 경우가 많습니다.
보안 정보 및 이벤트 관리(SIEM) – SIEM 시스템은 서로 다른 내부 보안 툴의 보안 이벤트 데이터를 단일 로그에 집계하고 해당 데이터를 분석하여 비정상적인 행동과 잠재적 위협을 탐지합니다. UEBA는 내부자 위협 탐지 및 사용자 행동 분석 기능을 통해 네트워크에 대한 SIEM 가시성을 확장할 수 있습니다. 오늘날 많은 SIEM 솔루션에 UEBA가 포함되어 있습니다.
엔드포인트 탐지 및 대응(EDR) – EDR 툴은 노트북, 프린터, IoT 디바이스와 같은 시스템 엔드포인트에서 위협을 의미하는 비정상적인 행동의 징후가 있는지 모니터링합니다. 위협이 감지되면 EDR이 자동으로 확산을 차단합니다. UEBA는 이러한 엔드포인트에서 사용자의 행동을 모니터링하여 EDR 솔루션을 보완하며 종종 EDR 솔루션의 일부로 사용되기도 합니다. 예를 들어 의심스러운 로그인은 EDR에 낮은 수준의 경고를 발생시킬 수 있지만, 엔드포인트를 사용해 기밀 정보에 액세스하려는 행동을 탐지하면 UEBA가 경고 수준을 적절히 높여 신속하게 처리할 수 있습니다.
ID 및 액세스 관리(IAM) – ID 및 액세스 관리 도구는 권한이 있는 사용자와 디바이스가 필요할 때 적절한 애플리케이션과 데이터를 사용할 수 있도록 보장합니다. IAM은 사전 예방적 방식으로 무단 액세스를 방지하는 동시에 승인된 액세스를 용이하게 합니다. UEBA는 자격 증명이 손상된 징후나 권한이 있는 사용자의 권한 남용을 모니터링하여 보호 수준을 한 단계 더 높입니다.