ORSYS le mag 2025 logo

Het medium voor training en vaardigheden

Home > Woordenlijst cyberbeveiliging > UEBA 🟢 Bescherming

UEBA 🟢 Bescherming

UEBA (User and Entity Behavior Analytics) is een geavanceerde categorie cyberbeveiligingsoplossingen die gebruikmaken vankunstmatige intelligentie en demachinaal leren om abnormaal en mogelijk kwaadaardig gedrag van gebruikers en entiteiten binnen een computernetwerk te detecteren.

Eenvoudig gezegd zoekt UEBA niet eenvoudigweg naar handtekeningen van bekende aanvallen (zoals traditionele antivirussoftware doet) of controleert vooraf gedefinieerde regels (zoals traditionele firewalls). DE UEBA leren wat "normaal" is voor elke gebruiker en elke entiteit (machines, applicaties, servers, enz.) en waarschuwt je wanneer gedrag afwijkt van deze norm.

Kenmerken

UEBA is een proactieve aanpak van cyberbeveiliging die :

  • Vaststellen van basisregels voor normaal gedrag : Door het continu analyseren van activiteitsgegevens (logs, netwerkstromen, enz.) creëert UEBA een 'typisch' gedragsprofiel voor elke gebruiker en entiteit. Dit profiel omvat verschillende aspecten zoals verbindingstijden, gebruikte toepassingen, geraadpleegde gegevens, verbindingslocaties, enz.
  • Detecteert gedragsafwijkingen: De UEBA controleert de activiteit in realtime en vergelijkt elke actie met het vastgestelde normale gedrag. Elke significante afwijking van deze basislijn wordt beschouwd als een anomalie en сигналиé voor onderzoek.
  • Geeft een contextuele risicoscore : UEBA doet meer dan alleen ruwe afwijkingen detecteren. Het contextualiseert elke waarschuwing door rekening te houden met meerdere factoren: de ernst van de anomalie, de geschiedenis van de gebruiker/entiteit, het type bron dat is aangetast, etc. Vervolgens kent het een risicoscore toe, zodat beveiligingsteams prioriteit kunnen geven aan de meest kritieke waarschuwingen. Vervolgens wordt een risicoscore toegekend, zodat beveiligingsteams de meest kritieke waarschuwingen kunnen prioriteren.
  • Past zich voortdurend aan en leert: Dankzij machinaal leren verfijnt de UEBA voortdurend de basislijnen van normaal gedrag naarmate de gewoonten van gebruikers en entiteiten veranderen. Dit maakt het nauwkeuriger en vermindert fout-positieven na verloop van tijd.

 

Voorbeelden van UEBA-toepassingen

Stel je de volgende scenario's voor en hoe de UEBA ze detecteert:

  1. Gecompromitteerd gebruikersaccount :
    • Normaal gedrag : Medewerker 'John Smith' logt meestal tussen 9.00 en 18.00 uur in vanuit zijn kantoor in Parijs, opent marketingdocumenten en gebruikt CRM- en e-mailtoepassingen.
    • Abnormaal gedrag gedetecteerd door de UEBA: Plotseling logde "Jean Dupont" om 3 uur 's nachts in vanuit China, probeerde toegang te krijgen tot vertrouwelijke R&D-bestanden en downloadde een enorme hoeveelheid gegevens.
    • UEBA-waarschuwing: UEBA сигналиe een sterke gedragsafwijking voor de "John Smith"-account met een hoge risicoscore, сигналиant een mogelijke compromittering van de account en een poging tot exfiltratie van gegevens.
  2. Interne bedreiging kwaadaardig :
    • Normaal gedrag : Een systeembeheerder voert onderhoudstaken uit op servers, configureert gebruikersaccounts en controleert systeemlogs.
    • Abnormaal gedrag gedetecteerd door de UEBA: De beheerder begint gebruikersaccounts aan te maken met buitensporige privileges, schakelt auditlogs uit en krijgt toegang tot databases. gevoelige data zonder duidelijke reden.
    • UEBA-waarschuwing: de UEBA detecteert een significante verandering in het gedrag van de systeembeheerder, wat duidt op mogelijke interne kwaadaardige activiteiten, zoals de voorbereiding van een toekomstige aanval of de exfiltratie van gegevens voor persoonlijk gebruik.
  3. Watering hole-aanval op een webserver :
    • Normaal gedrag : Een webserver beantwoordt standaard HTTP-verzoeken, host openbare webpagina's en werkt samen met een database om dynamische inhoud weer te geven.
    • Abnormaal gedrag gedetecteerd door de UEBA: De webserver begint uitgaande verbindingen te initiëren naar verdachte IP-adressen, voert ongebruikelijke processen uit en verbruikt abnormale hoeveelheden geheugen en CPU.
    • UEBA-waarschuwing: De UEBA detecteert abnormaal gedrag op de webserver, een mogelijke compromittering en het gebruik van de server als startpunt voor aanvallen op andere systemen (rebound-aanval).
  4. Gecompromitteerde toepassing :
    • Normaal gedrag : Een bedrijfsapplicatie gebruikt standaard SQL-query's om te communiceren met de database, transacties te verwerken en rapporten te genereren.
    • Abnormaal gedrag gedetecteerd door de UEBA: De applicatie begint abnormaal lange en complexe SQL queries te genereren, probeert toegang te krijgen tot databasetabellen die nog nooit eerder zijn geopend en initieert netwerkverbindingen met niet-standaard poorten.
    • UEBA-waarschuwing: de UEBA afwijkend applicatiegedrag detecteert, wat wijst op een mogelijke kwetsbaarheid uitgebuit (als een SQL-injectie) of een compromittering van de applicatie zelf.

AI-toepassingen in de UEBA: het hart van intelligente detectie

L'IA en meer specifiek de aAutomatisch leren (Machinaal leren - ML) vormen de kern van de activiteiten van UEBA. Dit zijn de belangrijkste toepassingen van AI in oplossingen van UEBA:

  • Unsupervised learning voor normaal gedrag baseline : ML-algoritmen zonder supervisie worden gebruikt om grote hoeveelheden activiteitsgegevens te analyseren en automatisch typische gedragspatronen te identificeren voor elke gebruiker en entiteit. Deze algoritmen kunnen complexe correlaties en trends detecteren die onmogelijk handmatig te identificeren zijn. Voorbeelden van gebruikte algoritmen: clustering, principale componentenanalyse (PCA), op dichtheid gebaseerde algoritmen voor het opsporen van afwijkingen (DBSCAN, Isolation Forest).
  • Gesuperviseerd leren voor anomaliedetectie en risicoclassificatie : Zodra de basislijnen zijn vastgesteld, kunnen ML-algoritmen onder supervisie worden getraind om anomalieën te herkennen en deze te classificeren op basis van hun risiconiveau. Deze algoritmen leren van feedback van beveiligingsanalisten (waarschuwingen die als legitiem of vals-positief zijn gevalideerd) om hun nauwkeurigheid in de loop van de tijd te verbeteren. Voorbeelden van gebruikte algoritmen: beslisbomen, random forests, support vector machines (SVM), neurale netwerken.
  • Natuurlijke taalanalyse (NLP) voor logboek- en tekstanalyse: Sommige UEBA-oplossingen gebruiken NLP om tekstlogs, e-mails of andere ongestructureerde gegevens te analyseren. Hierdoor wordt extra contextuele informatie geëxtraheerd en wordt de detectie van anomalieën op basis van taalinhoud verbeterd (bijv. detectie van verdachte communicatie, spam, etc.). phishing intern).
  • Geautomatiseerde reactie en onderzoek (SOAR - Beveiligingsorkestratie, -automatisering en -respons) : AI kan ook worden gebruikt om bepaalde acties te automatiseren als reactie op incidenten die door de UEBA zijn gedetecteerd. Een UEBA-waarschuwing met een hoog risico kan bijvoorbeeld automatisch leiden tot de isolatie van een gecompromitteerd werkstation of het opnieuw instellen van het wachtwoord van een gebruikersaccount. AI kan ook helpen bij het automatiseren van het onderzoek naar waarschuwingen door een samenvatting te geven van de gedetecteerde afwijkingen, de betrokken entiteiten en aanbevelingen voor maatregelen.

Terug naar Woordenlijst

gebied van opleiding

Cyberbeveiliging

bijbehorende opleiding

Systeem- en netwerkbeveiliging, niveau 1

Hacking en beveiliging, niveau 1

Beveiliging van informatiesystemen, samenvatting

BEST

Op weg naar de ORSYS Cyber Academy: een gratis ruimte gewijd aan cyberbeveiliging