• Grupa E Facebook
  • Grupa E Linkedin

Analiza behawioralna w systemach cyberbezpieczeństwa – omówienie

W jednym z ostatnich artykułów poruszyliśmy temat analizy behawioralnej jako jednej z technik sztucznej inteligencji (AI), wspierających ochronę systemów informatycznych.

Zachęcamy do jego przeczytania:

AI w cyberbezpieczeństwie – jak może usprawnić życie administratora? – Grupa E

Warto jednak zgłębić bardziej tę kwestię, bo jest to narzędzie, które zaimplementowane w postaci systemów SIEM, SOAR, EDR, XDR itp. może realnie usprawnić pracę adminów i zespołów SOC.

Dziś więc skupimy się na bardziej szczegółowym omówieniu podejścia do analizy behawioralnej.

Czym jest analiza behawioralna?

Dla powtórki, w dużym uproszczeniu – analiza behawioralna polega na monitorowaniu działań w systemach informatycznych w celu wykrywania odstępstw od „normy”. Istotnym okazuje się tutaj właśnie słowo „norma”, bo na niej opiera się całe podejście. Systemy opierające się na analizie behawioralnej tworzą profile standardowego zachowania (np. kiedy i gdzie użytkownik się loguje, jakich aplikacji używa), a następnie porównują bieżące działania w tychże systemach do tych wzorców, wskazując potencjalne nieprawidłowości.

Weźmy przykład, jeśli pracownik biurowy, który zwykle pracuje w godzinach 8-16, nagle zaczyna masowo pobierać dane o 3 w nocy z zupełnie innego kraju, dany system posiadający reguły UEBA ( User and Entity Behavior Analytics) może to oznaczyć jako anomalię. Jest to podejście pozwalające proaktywnie wykrywać zagrożenia, zapobiegając wcześnie ich dalszej eskalacji, które nie opierają się tylko na znanych sygnaturach, ale właśnie na nietypowym dla danego środowiska informatycznego zachowaniu.

Proces logiczny wdrożenia analizy behawioralnej zgodnie ze sztuką:

  1. Dane: Podstawą każdej analizy behawioralnej jest obszerna baza danych. Im więcej informacji o aktywności w systemie, tym lepiej, lecz standardowo będą to:
  • Dzienniki zdarzeń (logi systemowe),
  • Ruch sieciowy,
  • Dane z urządzeń końcowych,
  • Aktywność w chmurze.

Warto od razu pomyśleć o możliwości centralizacji zarządzania tymi danymi – zbieranie logów z różnych źródeł i możliwość analizy z poziomu jednej konsoli (np. w systemach SIEM) to jeden z najbardziej praktycznych aspektów efektywnej analizy.

  • Ustalanie „normy”: Zanim już zaczniemy wykrywać owe anomalie, musimy wiedzieć, co jest „normalnym” zachowaniem w naszym środowisku. Aby dany system mógł sprawnie przeprowadzić ten proces należy:
  • Monitorować ruch i aktywność użytkowników przez określony czas (zwykle kilka tygodni),
  • Zwrócić uwagę typowe na wzorce, takie jak np. typowe godziny pracy lub lokalizacje geograficzne logowań.
  • Detekcja anomalii Po ustaleniu wzorców normalnego zachowania można przejść do sedna, czyli identyfikacji odstępstw, takich jak np. wspomniane:
  • Logowania z nietypowych lokalizacji (np. logowanie z innego Kraju),
  • Aktywność poza godzinami pracy,
  • Zmiany w uprawnieniach użytkownika.
  • Odpowiednia reakcja Po wykryciu anomalii powinna nastąpić odpowiednia reakcja. W nowoczesnych systemach cyberbezpieczeństwa procesy reagowania są częściowo lub w pełni zautomatyzowane. Przykładowo:
  • System SIEM wykrywa podejrzane logowanie, a system SOAR automatycznie blokuje dostęp,
  • System SIEM wysyłana powiadomienie do zespołu cyberbezpieczeństwa, który analizuje dane zdarzenie.

Świetnie sprawdzają się tutaj wspomniane systemy SOAR (Security Orchestration, Automation, and Response), które mogą integrować się z SIEM i tym samym automatyzować wiele działań.

Popularne rozwiązania, które wykorzystują analizę behawioralną:

  • SIEM – centralizuje możliwość zarządzania logami i pozwala na ich analizę w czasie rzeczywistym.
  • SOAR – automatyzuje operacje związane z cyberbezpieczeństwem.
  • EDR – monitoruje aktywność na urządzeniach końcowych, wychwytując nietypowe zdarzenia.
  • UEBA – specjalizuje się w wykrywaniu nietypowych zachowań użytkowników i urządzeń. Może być odrębnym systemem, bądź zostać zaimplementowany w narzędzie typu SIEM/SOAR.

Typowe problemy:

  • False positives: Systemy analizy behawioralnej mogą generować sporo false positives, szczególnie na początku, dlatego nad jego obsługą powinien czuwać sztab specjalistów ds. cyberbezpieczeństwa.
  • Brak kontekstu: Sama anomalia nic nie znaczy bez jej kontekstu. Dlatego ważne jest, aby zadbać by dane były analizowane kompleksowo – np. logowanie z nietypowego kraju może być wynikiem podróży służbowej, a nie samego ataku.
  • Złożoność wdrożenia: Analiza behawioralna to proces wymagający czasu i zasobów, dlatego dobrym pomysłem jest zlecenie wdrożenia systemów, które korzystają z tej technologii odpowiedniej firmie z branży IT.

Specjaliści, którzy nadzorują cyberbezpieczeństwo naszych klientów w ramach świadczenia usługi Security Operations Center (SOC), spotykają się na co dzień z systemami, które wykorzystują tego typu mechanizmy, świetnie radząc sobie z zapobieganiem.

Jesteśmy w stanie zabezpieczyć Państwa firmę, optymalizując koszty, działania procesów biznesowych oraz minimalizując ryzyko wystąpienia incydentu.

Umów się z nami na bezpłatną konsultację!

Wróć