ANALISI AVANZATA SUI COMPORTAMENTI DEGLI UTENTI

Dopo aver fornito ai Clienti gli strumenti per definire “chi-può-fare-cosa”, andiamo ora a vedere “chi-fa-cosa” nella realtà.

I rischi di furti di dati o di esecuzione di azioni illegittime non vengono mai eseguite da una macchina che decide di farlo in autonomia, ma scaturiscono sempre da una mente umana che, per motivi diversi, intende deliberatamente delinquere.
E’ chiaro che dietro ad ogni azione – benevola o malevola – c’è sempre dietro un essere umano, una “identità”.

Dopo che noi di Net Studio abbiamo costruito anni di esperienza nella definizione granulare delle facoltà di accesso a dati o dell’esecuzione di attività concesse o meno alle Identità, abbiamo successivamente esteso la nostra esperienza alla verifica degli utenti, per capire se davvero fanno ciò che gli è concesso per le politiche della propria organizzazione o invece hanno… comportamenti “sospetti”.

La tecnica che utilizziamo è quella dell’UEBA (User and Entity Behavior Analytics) che, basandosi sulla raccolta dei log come fa un tradizionale sistema di Log management, aggiunge la capacità di Analisi correlando nativamente un’Identità IT alle azioni da essa compiute.
UEBA impara quindi a riconoscere le consuetudini quotidiane degli utenti e, soltanto quando si verifica un comportamento ritenuto sospetto (poiché anomalo rispetto alle abitudini), lo segnala al Security Analist che può provvedere in funzione delle politiche predefinite.

I punti che un sistema UEBA indirizza si possono riassumere in:

Correlation Rules – I tradizionali sistemi di SIEM consentono teoricamente di scrivere regole, ma è estremamente difficile prevedere correlation rules riguardo a comportamenti di utenti quando non si ha idea di quali questi potrebbero essere…

Alert overload – dalla raccolta dei Log si rilevano tutte le minacce ma la loro mole ne rende difficilissima, pressochè impossibile, la loro individuazione se non interviene l’aiuto di un software che le individua tra migliaia di falsi positivi;

Credential based attacks – La maggior parte degli attacchi oggi ha origine per un uso illegittimo delle credenziali  di accesso, ma le tecnologie basate su regole di correlazioni non riescono ad identificare se l’utente che sta compiendo azioni ne è davvero il proprietario o si tratta di un furto d’identità poichè non ne conosce le abitudini, lasciando quindi a rischio l’intera organizzazione;

Investigations – La selezione di eventi finalizzato al comprendere se siamo in presenza di un attacco può essere fatto soltanto ad alto livello da un SoC e richiede, normalmente, una gran quantità di tempo;

Visibility – Si dev‘essere in grado di collettare tutti i pezzi del puzzle altrimenti non posso chiedere che i Security Analysts possano eseguire una investigazione completa ed accurata;

Cloud – L’Analisi deve inoltre estendersi anche alle applicazioni cloud, altrimenti non posso comprendere le minacce in applicazioni come Office 365, Salesforce, Google etc…

I sistemi UEBA progettati da Net Studio e basati sulle tecnologie leader di mercato, estendono e completano un sistema di IGA (Identity Governance and Administration) aggiungendo il monitoraggio delle reali attività degli utenti IT incrementando così il livello di Security and Compliance.