User- und Entity-Verhaltensanalyse (UEBA)-Software ist eine Familie von Tools, die verwendet werden, um Basisverhaltensweisen für Personen und Hardware innerhalb eines Netzwerks zu entwickeln und zu modellieren, mit dem ultimativen Ziel, Abnormalitäten zu identifizieren und Sicherheitspersonal zu alarmieren. Diese Tools nutzen maschinelles Lernen, um Muster zu identifizieren und Benutzer- oder Maschinenverhalten zu überwachen, und benachrichtigen Interessengruppen über abnormale Aktivitäten, bösartiges Verhalten oder Leistungsprobleme, die aus Fehlern oder unsachgemäßen betrieblichen Maßnahmen resultieren.
Unternehmen verwenden UEBA-Technologie, um ihre sensiblen Informationen und geschäftskritischen Systeme sowohl vor externen als auch vor internen Bedrohungen zu schützen. Diese können Mitarbeiter oder Partner sein, die an bösartigen Aktivitäten wie Datendiebstahl, Privilegienanpassung oder Verletzung von Unternehmensrichtlinien teilnehmen. UEBA-Lösungen können auch kompromittierte Konten erkennen, die möglicherweise aus schwachen Passwörtern oder Phishing-Betrügereien resultieren, die unbefugten Parteien Netzwerkzugang gewähren. UEBA kann auch eine Reihe von externen Bedrohungstypen aufdecken; insbesondere Brute-Force-Angriffe und Privilegieneskalation.
UEBA funktioniert auf einer ähnlichen Basis wie risikobasierte Authentifizierungssoftware (RBA) und Zero-Trust-Netzwerksoftware. Beide dieser Tools verwenden maschinelles Lernen, um Risiken zu bewerten und Bedrohungsakteure zu identifizieren, aber keines ist darauf ausgelegt, das Benutzerverhalten innerhalb eines bestimmten Netzwerks ständig zu überwachen. RBA berücksichtigt Variablen wie historischen Zugriff, Standort und IP-Adresse, um das Risiko bei der Authentifizierung zu bestimmen. Zero-Trust-Netzwerkarchitekturen sind darauf ausgelegt, Netzwerke zu segmentieren und Netzwerkaktivitäten zu überwachen. Wenn Bedrohungen erkannt werden, wird ein Segment des Netzwerks oder ein einzelner Endpunkt vom Netzwerkzugang ausgeschlossen.
Um sich für die Aufnahme in die Kategorie User- und Entity-Verhaltensanalyse (UEBA) zu qualifizieren, muss ein Produkt:
Maschinelles Lernen verwenden, um Basisverhaltensweisen für einzelne Benutzer und Ressourcen innerhalb eines Netzwerks zu entwickeln
Die Benutzer und Ressourcen innerhalb eines Netzwerks auf Insider-Bedrohungen und andere Anomalien überwachen
Vorfallsdetails und Abhilfemaßnahmen bereitstellen oder sich mit Vorfallreaktionslösungen integrieren
Sich in bestehende Sicherheitssysteme integrieren, um Richtlinien durchzusetzen und automatisierte Vorfallmanagementprozesse zu entwickeln
