Beheer

Dit is een bijdrage van Matrix42
Security
UEBA biedt slimme IT-beveiliging op basis van gebruikersgedrag

UEBA biedt slimme IT-beveiliging op basis van gebruikersgedrag

User en Entity Behavior Analytics: goed beveiligd én een goede gebruikerservaring

6 juli 2020
Door: Matrix42, partner

User en Entity Behavior Analytics: goed beveiligd én een goede gebruikerservaring

Door: Daniel Doering, Technical Director Security and Strategic Alliances bij Matrix42

Ongeveer drie op de vier cyberaanvallen richt zich op endpoints. Daarom hebben IT-afdelingen alle reden om elke aanval zorgvuldig te onderzoeken. Veel IT-beveiligingsoplossingen gebruiken whitelists en blacklists om toegang te geven of te blokkeren, met als doel een end-to-end systeembeveiliging te bieden. Deze twee benaderingen worden vaak in één adem genoemd, maar ze hanteren tegengestelde strategieën. Bij whitelisting wordt de toegang geblokkeerd voor alle entiteiten die niet expliciet in een lijst worden genoemd. Bij blacklisting wordt de tegenovergestelde benadering gehanteerd: de software maakt gebruik van een lijst om te beslissen of er toegang wordt verleent. Hierbij krijgen alleen software en data die expliciet op die blacklist staan géén toegang.

Whitelisting en blacklisting zijn intensief, maar er zijn alternatieven
Hoewel beide methoden in principe efficiënt en effectief zijn, kleven er een aantal nadelen aan het rigide systeem van regels dat wordt opgelegd door whitelists en blacklists. Ten eerste zorgen ze voor veel administratief werk voor de IT-afdeling. Ten tweede is het erg moeilijk om de juiste balans te vinden tussen het hebben van een veilig systeem en een systeem dat soepel werkt. Beheerders nemen een groot risico als de toegang te breed wordt verleend. Zelfs als er goede IT-beveiligingsoplossingen worden ingezet, bestaat nog steeds de kans dat data verloren gaat of systemen worden geïnfecteerd met malware. Aan de andere kant, als IT-managers een benadering hanteren met veel beperkingen dan zal dit de gebruikerservaring nadelig beïnvloeden. Ze moeten dus constant een balans vinden tussen deze twee benaderingen. Kiezen ze voor een minder beperkende aanpak, dan zijn er te veel cyberaanvallen en dan is data niet volledig veilig. Als de tegenovergestelde strategie wordt gekozen, bestaat het risico dat de IT-activiteiten tot stilstand komen.

Als de lijst niet correct geconfigureerd is kunnen medewerkers hun werk bovendien niet goed uitvoeren. Ze zouden kunnen proberen de beveiligingsmaatregelen te omzeilen, wat de IT-gerelateerde risico's aanzienlijk zou vergroten. Een van de belangrijkste oorzaken van dataverlies is nalatigheid. Medewerkers zijn vaak de oorzaak van het probleem, in de meeste gevallen door een fout van hun kant. Een reden hiervoor is dat VIP-gebruikers zich niet hoeven te houden aan een aantal interne IT-beveiligingsregels.

User en Entity Behavior Analytics
User entity en behavior analytics (UEBA) is een IT-beveiligingsstrategie waarmee IT-afdelingen security events of incidenten kunnen detecteren op basis van gebruikersgedrag. Het systeem analyseert automatisch gedragspatronen en controleert tegelijkertijd op mogelijke afwijkingen. UEBA combineert data over gebruikersgedrag met andere variabelen zoals IP-adressen, locaties, apparaten en datatransfers. Op deze manier kunnen er sneller en specifieker conclusies worden getrokken over mogelijke beveiligingsincidenten – zonder dat gebruikers het merken. Gebruikers zijn beschermd, maar kunnen gewoon doorwerken zoals ze normaal zouden doen.

UEBA kan helpen bij het beantwoorden van vragen over standaard processen, zonder dat er tijdens de configuratie een complexe set vooraf gedefinieerde regels gemaakt moet worden. Daarom is dit een nuttige strategie als u IT-beveiliging in uw organisatie gaat implementeren én het brengt niet veel administratief werk met zich mee. Beheerders kunnen maximale waarde behalen door UEBA volledig en automatisch te integreren met IT-beveiligingsprocessen en -applicaties.

Om het activiteitenpatroon van de gebruiker te beoordelen, is het belangrijk om logging en data monitoring tools te gebruiken. Daarnaast moeten beheerders oplossingen voor afwijkingsdetectie gebruiken die statistieken en analyses toepassen om afwijkingen van normaal gedrag te identificeren en rapporteren. Het hele proces draait op de achtergrond. Waar mogelijk moeten de oplossingen automatisch aanvullende acties uitvoeren als er een security event is. Ze moeten in ieder geval op zijn minst andere applicaties op de hoogte stellen van de aanwezigheid van een non-compliant status, zodat de gebeurtenis snel handmatig kan worden afgehandeld door de beheerder.

Goed beveiligd én een goede gebruikerservaring
UEBA biedt slimme IT-beveiliging zonder de problemen waar gebruikers zich aan ergeren. Door die problemen te vermijden, wordt IT-beveiliging niet langer gezien als een noodzakelijk kwaad. De slimme IT-beveiligingsoplossing draait op de achtergrond en biedt een beschermingsniveau dat gebruikers nodig hebben, zonder beperkingen die de gebruikerservaring zouden kunnen verminderen. Op deze manier kunnen ze echt plezier hebben van de voordelen van de digitale werkplek.

Reactie toevoegen