Analityka behawioralna, od dawna kojarzona z wykrywaniem zagrożeń (tj. UEBA lub UBA), przeżywa swój renesans. Kiedyś używana głównie do identyfikacji podejrzanej aktywności, w tej chwili jest postrzegana jako potężna technologia typu respond i post-incident, która usprawnia procesy reagowania na zagrożenia. Wykorzystując spostrzeżenia behawioralne podczas segregacji alertów, SOC może przekształcić swoje przepływy pracy tak, aby stały się dokładniejsze, wydajniejsze i bardziej zintegrowane z systemami docelowymi. Na szczęście wiele nowych produktów cyberbezpieczeństwa jest w stanie włączyć te techniki do swoich możliwości inwestygacji, co pozwala zespołom IT wykorzystać je w procesach reagowania.
Analityka behawioralna wraca – ale dlaczego?
Analiza pod kątem zachowania była gorącym tematem około 10 lat temu, obiecując zrewolucjonizowanie statycznych detekcji SIEM i SOC dzięki dynamicznej detekcji anomalii w celu odkrycia „nieznanych ataków”. W ciągu roku platformy analizy zachowań użytkowników (ang. UBA) zostały gwałtownie przejęte przez dostawców SIEM, a niedługo koncepcja behawioralnej „nakładki” w danych bezpieczeństwa rozprzestrzeniła się na wiele innych kategorii produktów do wykrywania.
Dlaczego więc UBA już nie robi wrażenia?
Analityka behawioralna jest trochę jak kuchenka mikrofalowa. Chodzi o to, iż czasami pierwsze zastosowanie danej technologii nie jest najlepszym wyborem. Początkowo kuchenka mikrofalowa wcale nie miała służyć do podgrzewania potraw, ale jako fale radiowe o wysokiej częstotliwości. Podobnie analityka behawioralna została pierwotnie zaprojektowana jako narzędzie do wykrywania anomalii w cyberbezpieczeństwie. Jednak to wczesne zastosowanie wymagało rozległej konfiguracji i konserwacji oraz często przytłaczało zespoły ds. bezpieczeństwa fałszywymi alarmami. w tej chwili analityka behawioralna znalazła znacznie skuteczniejszą rolę w analizie po wykryciu. Poprzez zawężenie zakresu analizy w celu dostarczenia spostrzeżeń na temat konkretnych alertów bezpieczeństwa, dostarcza ona wartościowych informacji z mniejszą liczbą fałszywych alarmów, co czyni ją nieocenioną częścią procesu reagowania na incydenty, a nie stałym źródłem szumu.
Jak analiza behawioralna rewolucjonizuje odpowiedzi na incydenty?
Poniżej przedstawimy pięć kluczowych sposobów, w jakie analiza behawioralna usprawnia reagowanie na incydenty, pomagając zespołom ds. bezpieczeństwa reagować szybciej i precyzyjniej.
1. Nakierowywanie w inwestygacji
Jednym z największych wyzwań w reagowaniu na incydenty jest przesiewanie fałszywych alarmów w celu zidentyfikowania rzeczywistych zagrożeń. Dzięki analizie behawioralnej typu post-incident analitycy mogą odpowiedzieć na najważniejsze pytania kontekstowe, które wprowadzają jasność do badania incydentów. Bez zrozumienia, jak normalnie zachowuje się użytkownik, podmiot lub system, trudno jest rozróżnić, czy alert wskazuje na legalną aktywność czy potencjalne zagrożenie.
Na przykład alert w SOC nazwany „niemożliwa podróż”, który często okazuje się fałszywy, oznacza logowania z lokalizacji, do których człowiek nie może dotrzeć w krótkim czasie (np. logowanie w Warszawie, a następnie pięć minut później w Singapurze). Podstawowe linie behawioralne i aktywność dostarczają przydatnych danych do skutecznej oceny tych alertów, takich jak:
- Czy podróż do tej lokalizacji jest typowa dla tego użytkownika?
- Czy schemat logowania jest typowy?
- Czy urządzenie jest znane?
- Czy używa serwera proxy lub VPN? Czy to normalne?
2. Eliminacja konieczności kontaktowania się z użytkownikami końcowymi
Niektóre alerty, szczególnie te związane z zachowaniem użytkowników, wymagają od analityków SOC skontaktowania się z użytkownikami końcowymi w celu uzyskania dodatkowych informacji. Takie interakcje mogą być powolne, frustrujące, a czasami bezowocne, jeżeli użytkownicy wahają się nad odpowiedzią lub nie są pewni, o co zostali zapytani. Dzięki wykorzystaniu modeli behawioralnych, które rejestrują typowe wzorce, narzędzia SOC oparte na sztucznej inteligencji mogą automatycznie odpowiadać na wiele z tych kontekstowych pytań, np. „Czy w tej chwili podróżujesz?” lub „Czy używasz Chrome?” – system już to wie, co pozwala analitykom działać bez zakłócania pracy użytkownikom końcowym.
3. Ulepszony kontekst w dochodzeniach
Analityka behawioralna umożliwia SOC-om przechwytywanie szerokiego zakresu spostrzeżeń, które w przeciwnym razie mogłyby zostać pominięte. Na przykład zrozumienie zachowania aplikacji, wzorców wykonywania procesów lub interakcji użytkowników może zapewnić cenny kontekst podczas dochodzeń. Podczas gdy te spostrzeżenia są często trudne lub czasochłonne do manualnego zebrania, narzędzia SOC z wbudowaną analizą behawioralną po wykryciu mogą automatycznie analizować i włączać te informacje do dochodzeń. Daje to analitykom wgląd, którego w przeciwnym razie nie mieliby, umożliwiając podejmowanie bardziej świadomych decyzji podczas segregacji alertów i reagowania na incydenty.
4. Szybszy średni czas reakcji
Prędkość reakcji na incydent jest dyktowana przez najwolniejsze zadanie w procesie. Tradycyjne przepływy pracy często obejmują powtarzalne, manualne zadania dla wszystkich alertu, takie jak zagłębianie się w dane historyczne, weryfikacja normalnych wzorców lub komunikacja z użytkownikami końcowymi. Dzięki narzędziom AI zdolnym do wykonywania analizy behawioralnej po wykryciu pytania i kontrole są zautomatyzowane, co oznacza, iż analitycy nie muszą już uruchamiać powolnych ręcznych zapytań, aby zrozumieć wzorce zachowań. W rezultacie zespoły SOC mogą sortować i badać alerty w krótszym czasie, znacznie skracając średni czas reakcji (MTTR) – z kilku dni do kilku minut!
5. Lepsze wykorzystanie zasobów
Budowanie i utrzymywanie modeli behawioralnych to proces wymagający dużych zasobów, a często także przechowywania dużej ilości danych, mocy obliczeniowej i czasu analityka. Wiele zespołów SOC po prostu nie ma wiedzy, zasobów ani możliwości wykorzystania spostrzeżeń behawioralnych do zadań wykonywanych postincydentalnie. Jednak rozwiązania SOC AI wyposażone w zautomatyzowaną analizę behawioralną pozwalają organizacjom uzyskać dostęp do tych korzyści bez zwiększania kosztów infrastruktury lub obciążenia pracą ludzką. Taka możliwość eliminuje potrzebę dodatkowego przechowywania i złożonych zapytań, dostarczając spostrzeżeń behawioralnych dla wszystkich alertu w ciągu kilku minut i uwalniając analityków, aby mogli skupić się na zadaniach o wyższej wartości.
Podsumowanie
Analityka behawioralna, UBA i UEBA, na nowo definiują sposób, w jaki SOC-i podchodzą do reagowania na incydenty. Przechodząc od narzędzia wykrywania na pierwszej linii do kombajnu postincydentalnego, analityka behawioralna zapewnia kontekst potrzebny do odróżnienia rzeczywistych zagrożeń od szumu, unikania zakłóceń dla użytkowników końcowych i przyspieszenia czasu reakcji. Zespoły SOC korzystają z szybszych, dokładniejszych dochodzeń, ulepszonych spostrzeżeń i zoptymalizowanego przydziału zasobów, jednocześnie zyskując proaktywną przewagę w wykrywaniu zagrożeń.
