User Behavior Analytics

User Behavior Analytics

DearBytesBlogUser Behavior Analytics

donderdag 4 juni 2015

In de security monitoring wereld is er wat gaande. De afgelopen jaren is steeds meer duidelijk geworden dat security monitoring van belang is om de organisatie te bewaken tegen aanvallen en deze snel te detecteren. Security monitoring is echter complex omdat er gigantisch veel verschillende invalshoeken zijn. De huidige generatie SIEMs zijn voornamelijk gebaseerd op regels en thresholds om ons te alarmeren. Een aanval die echter niet voldoet aan de opgestelde regels of thresholds valt niet op omdat er geen alarmen afgaan. Een analist moet zelf op zoek gaan naar deze informatie. Niet efficiënt uiteraard. Wat we willen is een systeem dat zelf inziet als er aanvallen plaatsvinden die niet door regels zijn gebonden. En dit systeem begint nu langzaam aan volwassen te worden.

esm siem banner

 

Machine Learning

Als we kijken naar de financiële wereld en de commerciële wereld dan zien we dat Big Data en automatische analyse daarop als jarenlang gemeengoed is. Als u een creditcard heeft en deze alleen voor kleine uitgaven gebruikt in Nederland en er vindt opeens een grote transactie plaats vanuit Rusland, dan zal uw bank dit direct detecteren en contact met u opnemen voordat de transactie wordt voltooid. Banken hebben systemen die uw creditcard gedrag monitoren en alarm slaan als dit gedrag afwijkt van wat normaal voor u is. Dit soort systemen zijn gebaseerd op Big Data en machine learning. Machine learning houdt in dat een systeem zelf links en relaties tussen data gaat leggen. Het gaat patronen herkennen op basis van historische gegevens en kan dus ook zien wanneer dit opeens afwijkt van wat gebruikelijk is. Hiermee voorkomen banken al jarenlang fraude en misbruik van gestolen creditcards.

Ook commerciële partijen zetten Big Data en machine learning in om patronen te herkennen. Zo heeft Amazon eigen machine learning engines die koopgedrag monitoren en daarop adviezen geven aan kopers. Hierdoor kan men gerichte aanbiedingen doen of wanneer u een boek toevoegt aan uw mandje een ander boek adviseren wat u nog niet heeft. Dit alles op basis van uw klikgedrag, wat u koopt en hoe lang u naar een pagina kijkt.

In de security wereld werd de afgelopen jaren duidelijk dat de inzet van dit soort systemen van toegevoegde waarde kan zijn in security monitoring. Want als een systeem kan analyseren of een creditcard wordt misbruikt, kan het dan ook analyseren als een gebruiker in mijn netwerk opeens misbruik van mijn assets maakt?

User Behavior Analytics

Het afgelopen jaar zijn de threat/user behavior analytics engines als paddenstoelen uit de grond geschoten. Met als meest recent Microsoft die hun Advanced Threat Analytics systeem heeft aangekondigd. Maar ook Amazon stelt inmiddels hun machine learning engine beschikbaar voor klanten. Wat houden deze platformen exact in?

fortscale tbv user behavior analytics siem

User Behavior Analytics (UBA) kan worden gezien als een add-on brein voor SIEM. Uw SIEM is al de spil in het netwerk als het gaat om security logging en monitoring. Deze UBA add-ons gebruiken SIEM data om een neuraal netwerk van relaties op te bouwen tussen alle events. Hierdoor worden patronen opgebouwd en op die manier kan afwijkend gedrag worden geïdentificeerd. UBA is (zoals de naam al doet vermoeden) gefocust op de gebruiker in een netwerk. Het systeem leert hoe vaak een gebruiker inlogt, op welke systemen, hoe laat en welke activiteiten een gebruiker uitvoert. Mogelijk gaat het systeem vragen stellen aan de beheerder of bepaald gedrag wel of niet verdacht is. Op basis van deze antwoorden leert UBA verder en bouwt zo voor iedere gebruiker een risicoprofiel op. Het systeem waarschuwt vervolgens als er plotseling teveel afwijkingen ontstaan.

Toepassing

Een voorbeeld: Denk aan een medewerker die ontevreden is en op zoek is naar een andere baan. Als er opeens wordt gedetecteerd dat deze gebruiker veel meer mails stuurt dan gebruikelijk of veel meer data upload naar het internet dan kan dat een alarm afgeven richting SIEM en kan een analist onderzoeken wat er aan de hand is. Uiteraard kan het ook zijn dat een gebruiker een mail heeft ontvangen met een URL, daarop klikt en opeens allemaal exploits ontvangt, malware installeert en connecties naar buiten opzet. Ook dit is dan gedrag wat buiten het normale gedrag valt en wordt er een alarm afgegeven richting SIEM. UBA neemt eigenlijk een groot stuk handmatig werk over van een hunter en kan door historische data over langere tijd patronen leren herkennen wat voor een hunter vaak lastiger is.

De toekomst

Deze systemen klinken te mooi om waar te zijn, maar doen echt wat ze zeggen. Zonder regels en zonder kennis van de omgeving zijn ze in staat om in kaart te brengen of er verdachte activiteiten plaatsvinden en er geen gevoelige informatie wordt gelekt of een aanval plaatsvindt. 2015 is het jaar dat UBA volwassen is geworden en ik verwacht dat in 2016 UBA en machine learning gemeengoed zullen worden in de wereld van security monitoring.