Gli autori dei cyberattacchi sono diventati dei veri e propri camaleonti e fanno tutto il possibile per dissimulare attivit\u00e0 pericolose in modo che sembrino normali. Oltre a usare strumenti legittimi, comunicano con i server C&C (comando e controllo) attraverso servizi pubblici e mascherano il lancio di codici dannosi sotto forma di regolari azioni compiute dall\u2019utente. Questo genere di attacchi sfugge quasi sempre all\u2019attenzione delle soluzioni di sicurezza tradizionali. Tuttavia, \u00e8 possibile individuare determinate anomalie analizzando il comportamento di specifici utenti, account di servizi e altre entit\u00e0. \u00c8 proprio questa l\u2019idea alla base dell\u2019UEBA (acronimo di User and Entity Behavior Analytics, ossia analisi del comportamento di utenti ed entit\u00e0), un metodo particolare per la rilevazione delle minacce che abbiamo implementato nella versione pi\u00f9 recente del nostro sistema SIEM, Kaspersky Unified Monitoring and Analysis Platform.<\/p>\n
Per definizione<\/a>, l\u2019UEBA \u00e8 una tecnologia per la sicurezza informatica in grado di identificare le minacce attraverso l\u2019analisi del comportamento di utenti, dispositivi, applicazioni e altri oggetti in un sistema informatico. In teoria pu\u00f2 essere utilizzata con qualsiasi soluzione di sicurezza, ma a nostro parere \u00e8 pi\u00f9 efficace se viene integrata in una piattaforma SIEM. Grazie al machine learning, che stabilisce un quadro di riferimento relativo ai normali comportamenti di utenti od oggetti (che si tratti di computer, servizi o altre entit\u00e0), un sistema SIEM dotato di regole di rilevamento UEBA \u00e8 in grado di analizzare eventuali deviazioni e rilevare tempestivamente le minacce APT (Advanced Persistent Threats, minacce persistenti e avanzate), gli attacchi mirati e le minacce insider.<\/p>\n \u00c8 per questo motivo che abbiamo implementato nel nostro sistema SIEM un pacchetto di regole UEBA, progettato appositamente per individuare le anomalie nelle procedure di autenticazione, nelle attivit\u00e0 di rete e nell\u2019esecuzione di processi in server e workstation basati su Windows. L\u2019aggiunta del pacchetto rende pi\u00f9 efficace l\u2019identificazione degli attacchi di ultima generazione, che risultano difficili da scoprire utilizzando tecnologie standard come le regole di correlazione, le firme o gli indicatori di compromissione. Tutte le regole del pacchetto UEBA si basano sulla profilazione del comportamento di utenti e oggetti e sono suddivise in due categorie principali:<\/p>\n\n
\n