W jednym z ostatnich artykułów poruszyliśmy temat analizy behawioralnej jako jednej z technik sztucznej inteligencji (AI), wspierających ochronę systemów informatycznych.
Zachęcamy do jego przeczytania:
AI w cyberbezpieczeństwie – jak może usprawnić życie administratora? – Grupa E
Warto jednak zgłębić bardziej tę kwestię, bo jest to narzędzie, które zaimplementowane w postaci systemów SIEM, SOAR, EDR, XDR itp. może realnie usprawnić pracę adminów i zespołów SOC.
Dziś więc skupimy się na bardziej szczegółowym omówieniu podejścia do analizy behawioralnej.
Czym jest analiza behawioralna?
Dla powtórki, w dużym uproszczeniu – analiza behawioralna polega na monitorowaniu działań w systemach informatycznych w celu wykrywania odstępstw od „normy”. Istotnym okazuje się tutaj właśnie słowo „norma”, bo na niej opiera się całe podejście. Systemy opierające się na analizie behawioralnej tworzą profile standardowego zachowania (np. kiedy i gdzie użytkownik się loguje, jakich aplikacji używa), a następnie porównują bieżące działania w tychże systemach do tych wzorców, wskazując potencjalne nieprawidłowości.
Weźmy przykład, jeśli pracownik biurowy, który zwykle pracuje w godzinach 8-16, nagle zaczyna masowo pobierać dane o 3 w nocy z zupełnie innego kraju, dany system posiadający reguły UEBA ( User and Entity Behavior Analytics) może to oznaczyć jako anomalię. Jest to podejście pozwalające proaktywnie wykrywać zagrożenia, zapobiegając wcześnie ich dalszej eskalacji, które nie opierają się tylko na znanych sygnaturach, ale właśnie na nietypowym dla danego środowiska informatycznego zachowaniu.
Proces logiczny wdrożenia analizy behawioralnej zgodnie ze sztuką:
Warto od razu pomyśleć o możliwości centralizacji zarządzania tymi danymi – zbieranie logów z różnych źródeł i możliwość analizy z poziomu jednej konsoli (np. w systemach SIEM) to jeden z najbardziej praktycznych aspektów efektywnej analizy.
Świetnie sprawdzają się tutaj wspomniane systemy SOAR (Security Orchestration, Automation, and Response), które mogą integrować się z SIEM i tym samym automatyzować wiele działań.
Popularne rozwiązania, które wykorzystują analizę behawioralną:
Typowe problemy:
Specjaliści, którzy nadzorują cyberbezpieczeństwo naszych klientów w ramach świadczenia usługi Security Operations Center (SOC), spotykają się na co dzień z systemami, które wykorzystują tego typu mechanizmy, świetnie radząc sobie z zapobieganiem.
Jesteśmy w stanie zabezpieczyć Państwa firmę, optymalizując koszty, działania procesów biznesowych oraz minimalizując ryzyko wystąpienia incydentu.
Umów się z nami na bezpłatną konsultację!
Wróć