Regole UEBA integrate un sistema SIEM

Rilevamento delle minacce informatiche in base alle anomalie riscontrate nel comportamento di utenti, dispositivi, applicazioni e altre entità.

Gli autori dei cyberattacchi sono diventati dei veri e propri camaleonti e fanno tutto il possibile per dissimulare attività pericolose in modo che sembrino normali. Oltre a usare strumenti legittimi, comunicano con i server C&C (comando e controllo) attraverso servizi pubblici e mascherano il lancio di codici dannosi sotto forma di regolari azioni compiute dall’utente. Questo genere di attacchi sfugge quasi sempre all’attenzione delle soluzioni di sicurezza tradizionali. Tuttavia, è possibile individuare determinate anomalie analizzando il comportamento di specifici utenti, account di servizi e altre entità. È proprio questa l’idea alla base dell’UEBA (acronimo di User and Entity Behavior Analytics, ossia analisi del comportamento di utenti ed entità), un metodo particolare per la rilevazione delle minacce che abbiamo implementato nella versione più recente del nostro sistema SIEM, Kaspersky Unified Monitoring and Analysis Platform.

Come funziona la tecnologia UEBA in un sistema SIEM

Per definizione, l’UEBA è una tecnologia per la sicurezza informatica in grado di identificare le minacce attraverso l’analisi del comportamento di utenti, dispositivi, applicazioni e altri oggetti in un sistema informatico. In teoria può essere utilizzata con qualsiasi soluzione di sicurezza, ma a nostro parere è più efficace se viene integrata in una piattaforma SIEM. Grazie al machine learning, che stabilisce un quadro di riferimento relativo ai normali comportamenti di utenti od oggetti (che si tratti di computer, servizi o altre entità), un sistema SIEM dotato di regole di rilevamento UEBA è in grado di analizzare eventuali deviazioni e rilevare tempestivamente le minacce APT (Advanced Persistent Threats, minacce persistenti e avanzate), gli attacchi mirati e le minacce insider.

È per questo motivo che abbiamo implementato nel nostro sistema SIEM un pacchetto di regole UEBA, progettato appositamente per individuare le anomalie nelle procedure di autenticazione, nelle attività di rete e nell’esecuzione di processi in server e workstation basati su Windows. L’aggiunta del pacchetto rende più efficace l’identificazione degli attacchi di ultima generazione, che risultano difficili da scoprire utilizzando tecnologie standard come le regole di correlazione, le firme o gli indicatori di compromissione. Tutte le regole del pacchetto UEBA si basano sulla profilazione del comportamento di utenti e oggetti e sono suddivise in due categorie principali:

  • Regole statistiche, che sfruttano lo scarto interquantile per individuare le anomalie in base ai dati attuali sul comportamento.
  • Regole che rilevano le deviazioni dai normali comportamenti, stabiliti analizzando le attività pregresse di un account o di un oggetto.

Quando viene riscontrato un discostamento da una norma basata sulla cronologia o da un valore atteso, il sistema emette una notifica e aumenta il punteggio di rischio dell’oggetto pertinente (utente o host). Maggiori informazioni sulle modalità con cui la nostra soluzione SIEM utilizza l’IA per determinare il punteggio di rischio sono disponibili in questo articolo.

Struttura del pacchetto di regole UEBA

Per questo pacchetto di regole, ci siamo concentrati sugli ambiti in cui la tecnologia UEBA dà i risultati migliori, come la protezione degli account, il monitoraggio delle attività di rete e l’autenticazione sicura. Al momento sono incluse le seguenti sezioni:

Controllo delle autorizzazioni e dell’autenticazione

Queste regole individuano i metodi di accesso insoliti, un aumento improvviso e considerevole di errori durante l’autenticazione, l’aggiunta di account a gruppi locali eseguita in computer differenti e i tentativi di autenticazione effettuati al di fuori del consueto orario lavorativo. Ciascuna deviazione viene contrassegnata e concorre all’aumento del punteggio di rischio.

Profilazione tramite DNS

Questa sezione riguarda specificamente l’analisi delle query DNS inviate dai computer nella rete aziendale. Le regole raccolgono dati cronologici che consentono di individuare una serie di anomalie, come query per tipi di record sconosciuti, nomi di dominio troppo lunghi, aree insolite o frequenze atipiche nell’invio delle query. Inoltre, monitorano la quantità di dati restituiti tramite il DNS. Qualsiasi deviazione di questo genere è considerata come una potenziale minaccia e quindi aumenta il punteggio di rischio dell’host.

Profilazione dell’attività di rete

Questa sezione si riferisce al monitoraggio delle connessioni tra computer sia all’interno della rete che in risorse esterne. Le regole contrassegnano le connessioni a nuove porte effettuate per la prima volta, i contatti con host in precedenza sconosciuti, i volumi insoliti di traffico in uscita e l’accesso ai servizi di gestione. Tutte le azioni che si discostano dal normale comportamento generano notifiche e aumentano il punteggio di rischio.

Profilazione dei processi

In questa sezione vengono monitorati i programmi avviati dalle cartelle di sistema in Windows. Se un nuovo file eseguibile viene avviato per la prima volta nelle directory System32 o SysWOW64 di uno specifico computer, l’attività viene contrassegnata come anomala e aumenta il punteggio di rischio associato all’utente che ha dato inizio al processo.

Profilazione di PowerShell

Questa sezione serve per tracciare l’esecuzione di script PowerShell. Se uno script viene eseguito per la prima volta da una directory non standard (ossia diversa da File di programma, Windows o da un’altra posizione consueta), l’attività viene contrassegnata come sospetta e contribuisce ad aumentare il punteggio di rischio dell’utente.

Monitoraggio della rete VPN

Questa regola contrassegna come rischiosa una serie di eventi, come l’accesso eseguito da paesi non associati in precedenza al profilo dell’utente, spostamenti impossibili a livello geografico, volumi insoliti di traffico su una rete VPN, modifiche al client VPN e un numero elevato di tentativi di accesso non riusciti. Ciascuna di queste attività determina un aumento del punteggio di rischio correlato all’account dell’utente.

Grazie all’analisi del contesto relativo ai comportamenti, queste regole UEBA consentono di rilevare gli attacchi sofisticati e ridurre i falsi positivi, rendendo l’identificazione più precisa e riducendo il carico di lavoro degli analisti di sicurezza. L’assegnazione di un punteggio di rischio a un oggetto in base alla tecnologia UEBA e all’intelligenza artificiale assicura tempi di risposta più rapidi ed efficienti, perché gli analisti possono assegnare priorità agli incidenti con maggiore esattezza. Se a questo si aggiunge la creazione automatica di un quadro di riferimento relativo ai normali comportamenti, la produttività complessiva dei team di sicurezza aumenta notevolmente, perché non è più necessario eseguire task di routine e si ottiene un contesto più preciso e completo che migliora le attività di rilevamento e reazione in caso di minacce.

L’impegno di Kaspersky è quello di rendere sempre più semplice l’utilizzo del nostro sistema SIEM. Visita la pagina ufficiale del prodotto per restare sempre al corrente degli aggiornamenti di Kaspersky Unified Monitoring and Analysis Platform.

Consigli
  • Tutti gli altri paesi