Datanet » NOUTĂȚI ȘI EVENIMENTE » Tendințe în industrie » Descoperiți amenințările necunoscute cu Splunk UBA
Descoperiți amenințările necunoscute cu Splunk UBA

aprilie 2021 – Amenințările ascunse, riscurile din interior și atacurile sofisticate sunt dificil de depistat folosind soluțiile de securitate tradiționale. Splunk UBA (User Behavior Analytics) ajută companiile să controleze acest tip de amenințări utilizând tehnologii avansate de analiză și Machine Learning și integrarea cu sistemul SIEM Splunk Enterprise. Detectarea timpurie a amenințărilor necunoscute și a celor venite din interior este din ce în ce mai dificilă pentru companii, ca urmare a creșterii volumului de atacuri informatice și diversificării metodelor de penetrare și propagare.

 

Amenințările interne, la rândul lor, sunt și ele tot mai numeroase. Potrivit datelor ENISA, anul trecut 88% dintre organizații considerau „insider threats“ un pericol real. Iar 40% apreciau că datele lor critice de business sunt vulnerabile la acest tip de riscuri. Dificultatea detectării amenințărilor se datorează însă și faptului că departamentele IT se luptă cu volume mari de alerte fals pozitive. Conform studiilor, în 2017 o companie mare primea, în medie, peste 10.000 de alerte pe lună. Mai mult de jumătate (52%) din acestea erau fals pozitive, în timp ce aproape două treimi (64%) erau redundante. Din acest motiv, organizațiile investigau doar 56% din alertele de securitate zilnice, potrivit raportului Cisco  din același an. După patru ani, situația nu a evoluat în bine.

 

Splunk UBA, răspunsul la amenințările ascunse

 

Soluția Datanet la acest cumul de probleme este Splunk Enterprise Security (ES), un sistem SIEM care ajută companiile să descopere, investigheze și răspundă rapid la amenințări și atacuri și orice activitate anormală care tinde să le afecteze activitatea. Capacitatea de detecție timpurie a sistemului SIEM este amplificată prin integrarea cu aplicația Splunk User Behavior Analytics (UBA). Soluția UBA depistează automat comportamentele anormale ale utilizatorilor, echipamentelor, aplicațiilor și conturilor privilegiate, le agregă în tipare și livreează informații acționabile.

Pentru aceasta, Splunk UBA utilizează metode avansate de modelare și analiză comportamentală, precum și algoritmi de Machine Learning (ML). Cu ajutorul datelor agregate din mai mult surse (via Splunk ES), soluția depistează și asociază în timp real identitatea utilizatorilor cu adresele IP și tiparele descoperite. Algoritmii ML și analizele de tip „Peer group“ – în care se utilizează categorii de utilizatori pentru a evalua și clasifica comportamentul acestora – asigură identificarea oricărei deviații de la tiparele stabilite.

Splunk UBA asigură astfel depistarea cazurilor de:

  • Folosire abuzivă a conturilor privilegiate și utilizare necorespunzătoare a permisiunilor de acces;
  • Furt de date confidențiale;
  • Compromitere a datelor de acces;
  • Comportament anormal (ca de exemplu, accesarea neautorizată a resurselor critice, tentative de acces din locații neobișnuite de conectare etc.)

Nu orice anomalie este și o amenințare

 

Chiar dacă depistează orice deviere de la tipare, Splunk UBA nu livrează un torent de alerte atunci când descoperă abaterile survenite. Tehnologia ML dezvoltată de Splunk folosește corelarea datelor, analize statistice și algoritmi de învățare pentru a reduce automat miile de evenimente decelate la câteva sute de potențiale comportamente anormale. Apoi, tot automat, cu ajutorul regulilor și modelelor dinamice de clasificare, în sutele de anomalii sunt recunoscute câteva zeci de amenințări, care sunt semnalate echipei de securitate informatică.

În plus, soluția Splunk are capacitatea de a depista, urmări, monitoriza și corela în timp mai multe anomalii care pot semnala o amenințare reală. Această caracteristică îi asigură o eficiență crescută în identificare atacurilor de tip „Low and Slow“, pe care metodele tradiționale de detecție nu reușesc să le depisteze, coniderand că au de a face cu trafic legitim. Un alt avantaj competitiv al tehnologiei ML dezvoltate de Splunk este dat de faptul că mecanismele de învățare nu necesită intervenția umană. Astfel, echipele SOC nu mai trebuie să creeze modele și să actualizeze și adapteze seturi de reguli și semnături în avans pentru a detecta o amenințare.

 

Beneficiile abordării integrate

 

Splunk UBA (User Behavior Analytics) atribuie un scor de risc fiecărei amenințări identificate. Responsabilii cu securitatea pot astfel nu doar să le analizeze, ci și să le proritizeze și să aloce resurse și să ia măsuri preventive în funcție de gravitatea lor. La rândul lor, și măsurile de răspuns pot fi automatizate folosind capabilitatea Splunk ES si UBA de a se integra cu numeroare sisteme de securitate informatică pentru companii. Împreună, Splunk SE și Splunk UBA pot adresa rapid cele mai sofisticate amenințări prin partajarea și corelarea datelor despre anomalii și amenințări cunoscute.

Prin integrarea fluxurilor de date despre abaterile de comportament depistate, sistemul SIEM Splunk își extinde capacitatea de identificare a amenințărilor necunoscute. Iar filtrarea alertelor înainte de a ajunge la echipa SOC, le asigură acestora timpul necesar pentru a se concentra asupra amenințărilor complexe cu adevărat urgente și de a le rezolva fără a fi nevoie de o armată de specialiști în securitate.

Specialiștii Datanet Systems vă pot ajuta să exploatați capacitățile ambelor soluții Splunk pentru a vă crește acuratețea proceselor de detecție timpurie, viteza de reacție și eficiența măsurilor de prevenție și remediere. Pentru mai multe detalii despre Splunk UBA, avantajele integrării cu Splunk SE și despre ofertă comercială Datanet, contactaţi-ne la sales@datanets.ro .