Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Verdacht gedrag detecteren met ueba

Dit artikel delen:

Computable Expert

Paul Visch
Account Manager, Lookout. Expert van Computable voor de topics Internet, Mobility en Security.

Veel organisaties maken nog altijd gebruik van een vpn om geautoriseerde gebruikers en devices toegang te geven tot het bedrijfsnetwerk. Nadeel van deze aanpak is dat wanneer eenmaal een beveiligde verbinding is gemaakt, er verder geen zicht meer is op wat die gebruiker of dat device doet op het netwerk. Dit is waar user and entity behaviour analytics (ueba) van betekenis kan zijn.

Welke data worden er benaderd? Welke toepassingen of apps worden er gebruikt? In de meeste gevallen zal dat correct en met de juiste intenties zijn. Maar wat als zo’n gebruiker of device minder goede bedoelingen heeft? Bij een vpn-verbinding is dat niet te detecteren. De gebruiker of het device is op de juiste wijze ingelogd aan de rand van het netwerk en kan vervolgens helemaal zijn gang gaan. 

Network access control (nac) is een iets meer geavanceerde securitytechnologie die bij veel organisaties op de projectlijst staat of al wordt gebruikt. Een nac-oplossing zorgt ervoor dat alleen geautoriseerde gebruikers en devices verbinding kunnen maken met het besloten deel van het netwerk, dat gasten bijvoorbeeld alleen internettoegang krijgen en dat onbekende gebruikers en devices worden geblokkeerd. Als een device of gebruiker eenmaal toegang heeft gekregen tot het netwerk, verdwijnt hij bij een pure nac-implementatie vervolgens uit het zicht. Wat voor verkeer genereert deze gebruiker? Gedraagt het (iot-)device zich wel normaal? Dit soort controles maakt geen deel uit van de meeste nac-oplossingen.

Bergen data

"In plaats van voortdurend te staren naar statische ‘ruis’, analyseert ueba automatisch het gedrag van gebruikers en device"

Maar wat nu als een gebruiker of (iot-)device verdacht verkeer genereert of afwijkend gedrag vertoont? Bijvoorbeeld een smartbuilding-sensor die gehackt is en vervolgens deel uitmaakt van een botnet dat wordt gebruikt voor een ddos-aanval. Hoelang duurt het voordat het securityteam dit soort afwijkend gedrag detecteert?

Medewerkers loggen op verschillende dagen in op cloud- of on-premises applicaties, downloaden en uploaden bestanden en reageren op authenticatieverzoeken. Het monitoren van al deze activiteiten levert bergen aan data op, vooral als je kijkt naar alle verschillende apparaten en apps die werknemers gebruiken voor hun werk, hun actuele locatie en de tijden waarop ze gewoonlijk met apps communiceren. Dit is waar de kracht van user and entity behaviour analytics (ueba) om de hoek komt kijken. In plaats van te vertrouwen op statische securitychecks of voortdurend te staren naar statische ‘ruis’, analyseert ueba automatisch het gedrag van gebruikers en devices. Daarmee kunnen zowel interne als externe dreigingen gedetecteerd worden en is het mogelijk om datalekken of ransomware-aanvallen te voorkomen.

Patronen signaleert

Simpel gezegd is ueba een securityproces dat normaal gebruikersgedrag monitort en afwijkingen van bekende patronen signaleert. Hoewel een dader relatief makkelijk de gebruikersnaam en het wachtwoord van een medewerker kan stelen, is het veel moeilijker om het normale gedrag van die persoon op het netwerk te imiteren. Zo helpt ueba ook bij het detecteren van bewuste of onbewuste interne dreigingen, waarbij een geautoriseerde gebruiker iets doet dat schadelijk kan zijn voor uw organisatie.

Ueba maakt gebruik van machine learning en data-analyse om afwijkend gedrag te detecteren dat mogelijk een securityrisico vormt. Als ik bijvoorbeeld normaal iedere dag slechts enkele mb's aan data download via het netwerk, maar plotseling gigabytes download, zou een ueba-systeem deze afwijking detecteren en het it-securityteam van de onderneming waarschuwen. Ook de locatie waar vandaan een gebruiker of apparaat communiceert met het netwerk, kan een indicatie zijn van ongewoon of verdacht gedrag: als iemand zich vanuit Amsterdam aanmeldt bij een werkaccount en er enkele minuten later opnieuw een accountlogin wordt gedetecteerd vanuit China, zou een ueba-systeem deze anomalie detecteren en bijvoorbeeld automatisch actie kunnen ondernemen om de gegevens die toegankelijk zijn voor dit account af te schermen.

Ueba en siem

"Hoewel het op het eerste gezicht misschien lijkt alsof ueab en siem hetzelfde doen, zijn er een paar belangrijke verschillen"

Met een security information and event management (siem) kunnen securityteams verschillende datasets en grote volumes aan securitymeldingen en events uit meerdere bronnen samenvoegen voor verwerking en analyse. Workflows en rule-engines verwerken deze data en genereren vervolgens rapporten waarmee admins prioriteiten kunnen toekennen aan incidenten en meldingen, om daar vervolgens actie op te ondernemen. Met zoekopdrachten, query's, dashboards en rule-based engines geven de meeste siem's een volledig 360-gradenbeeld van de bedrijfssystemen. Ze helpen admins om sneller te reageren op incidenten en in sommige gevallen detecteren ze ook trends en creëren ze regels om de juiste stappen te starten.

Hoewel het op het eerste gezicht misschien lijkt alsof ueab en siem hetzelfde doen, zijn er een paar belangrijke verschillen. In tegenstelling tot een siem houdt ueba geen securityevents bij en bewaakt het geen devices. In plaats daarvan monitort ueba het gedrag van gebruikers, devices, applicaties en gegevens binnen het netwerk op afwijkingen die kunnen duiden op een dreiging. Hoewel ueba ook veel gegevens analyseert, gebruikt het machine intelligence voor automatische analyse van patronen en verdere escalatie, in plaats van alleen te vertrouwen op menselijke intelligentie.

Hooiberg

Ueba is ontwikkeld om de spreekwoordelijke speld in de hooiberg te vinden. Het is in staat om dreigingen in realtime te analyseren, te modelleren en te voorkomen. Als een gebruiker bijvoorbeeld een grote hoeveelheid gevoelige informatie van Office 365 downloadt en meerdere data loss prevention (dlp)--schendingen veroorzaakt, kunnen we op basis van die informatie automatisch de toegang tot verdere downloads blokkeren en ook de toegang tot andere applicaties, bijvoorbeeld Salesforce, afsluiten voor die specifieke gebruiker. Op deze manier kan gegevensdiefstal in realtime worden voorkomen.

Een ander voorbeeld is wanneer een gecompromitteerd device grote hoeveelheden gegevens downloadt en normale gedragsniveaus begint te overschrijden. Ook dan is de verdere datacommunicatie direct te blokkeren. In tegenstelling tot statische systemen, zijn deze drempelwaarden dynamisch en passen ze zich aan de normale activiteiten van de gebruiker aan. Daarbij kan ueba zowel in- als externe dreigingen monitoren. Gegevensdiefstal door ontevreden medewerkers, of toekomstige ex-werknemers, is een goed voorbeeld van een dreiging van binnenuit.

Ueba is ook goed in staat om externe dreigingen te detecteren door het gedrag van gekaapte accounts en gecompromitteerde inloggegevens en inloggegevens die worden gebruikt bij ‘credential stuffing’ te monitoren. Dit zijn bekende technieken die door criminelen worden gebruikt om bedrijfssystemen te infiltreren.

Een component

Het is hierbij belangrijk om te benadrukken dat ueba slechts een component is van een moderne securityarchitectuur. Er zijn nog twee andere belangrijke elementen waarmee rekening moet worden gehouden: het continu monitoren van de risicostatus van endpoints en de gevoeligheid van de apps en gegevens waartoe gebruikers en endpoints toegang hebben.

Inmiddels gebruiken vrijwel alle medewerkers van een organisatie wel een of ander privé-apparaat, zodat ze overal en altijd kunnen werken. Zeker met de door corona veroorzaakte thuiswerktrend is 'breng uw eigen apparaat mee' bij veel organisaties geaccepteerd. Dit betekent dat it-securityteams continu zowel beheerde als de onbeheerde apparaten van medewerkers moeten monitoren om de bedrijfsgegevens optimaal te beschermen. Met goede beleidsregels rond gebruikersgedrag, de risicostatus van endpoints en de gevoeligheid van gegevens, is het zonder meer mogelijk om kostbare bedrijfsinformatie goed te beveiligen, zonder dat dit de productiviteit belemmert.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Ik krijg de kriebels van dit soort ontwikkelingen.
Pas de zeef iets aan en veel meer personen hebben een probleem, met een betrouwbaarheid van??
De toeslagen affaire is een duister voorbeeld, maar heel China is een afschrikwekkend voorbeeld.

Orwell heeft gelijk.

Hoi Marcel,

Dank voor je bericht. Van welke ontwikkeling precies krijg je de kriebels en wat bedoel je met 'de zeef aanpassen'? Ueba bestaat al behoorlijk aantal jaren inmiddels en Machine Learning technieken worden ook al jaren ingezet in verschillende oplossingen. Volgens mij heeft het verleden bewezen dat statische oplossingen (neem voorbeeld aan AV) totaal niet meer relevant zijn in deze huidige beveiligingsoplossingen en altijd achter de feiten aanlopen.

"Daarmee kunnen zowel interne als externe dreigingen gedetecteerd worden en is het mogelijk om datalekken of ransomware-aanvallen te voorkomen." Alles kan maar willen we het ook want aangaande het verleden is er ook nog zoiets als de telemetrie van Microsoft c.s. Dus ja, principe bestaat al enige jaren hoewel het beestje vaak een andere naam heeft. Misschien dat Paul daarom aan kan geven welke informatie er nu precies verwerkt wordt, waar dat gedaan wordt en hoe e.e.a. zich verhoudt tot de Europese regels.

Hallo 'oud-lid'. We verzamelen verschillende meta-data om dergelijke analyses te kunnen doen. We slaan geen file of content achtige documenten op, deze staan in een applicatie of bij een gebruiker op zijn/haar device. Het process van analyseren vindt plaats in ons cloud platform, welke in AWS EU wordt gehost en conform GDPR uitgangspunten is ingericht.

Dank Paul want de vraag kwam voort uit het lezen van de privacy policy, metadata is namelijk nietszeggend als ik kijk naar de informatie die hieruit te verkrijgen is. Zo kan ik me voorstellen dat een heleboel mensen het verzamelen van metadata zoals apparaat-, applicatie-, surf- en locatiegegevens als een inbreuk op hun privacy zien. Kortom, Lookout verkrijgt commercieel interessante informatie die naar eigen goeddunken gedeeld wordt met de hoogste bieder waardoor de klant het product is.

Hallo 'oud-lid'. Dankvoor de reactie. Goed date je op onze website hebt gekeken en de privacy policy hebt doorgenomen. Zoals je waarschijnlijk hebt gelezen, nemen wij privacy zeer serieus en hanteren een privacy-by-design uitgangspunt. Waarschijnlijk heb jij privacy ook hoog in het vaandel, aangezien je anoniem reageert als oud-lid ;-)

Persoonlijk vind ik het vergezocht is dat je suggereert dat wij commercieel interessant verkregen informatie naar goeddunken kan delen met de hoogste bieder. Dat zou impliceren dat elke (cloud)/security fabrikant dit zou kunnen doen. Dus ben wel benieuwd op basis van welke informatie jij deze conclusie trekt.

Paul,
Persoonlijk mag een ieder een mening hebben maar dat neemt niet weg wat er geschreven staat in punt 9:

Lookout is a San Francisco-based company with servers housed in the United States. Personal Data collected from users outside the United States is transferred to the United States.

Eerlijk, duidelijk en volgens mij niet vergezocht maar daarover kunnen de meningen verschillen want hoewel het gebruik van Lookout een vrije keus is moet je er dus rekening mee houden dat je (meta)data - of de data van je werknemers - op servers buiten de EU kan komen te staan. Het gaat dus meer om de kant van de tafel bij privacy-by-design want hoewel er ook wat staat over het EU-US privacy shield is deze als verwerkersovereenkomst onrechtmatig.

Het is de compliance die ik hoog in het vaandel heb staan want uit bovenstaande komt dus de vraag of een werkgever mag eisen dat werknemers Lookout installeren op hun mobiele devices. En uiteraard geldt die vraag in zijn algemeenheid als het om user and entity behaviour analytics en opslag op servers buiten de EU gaat.

https://legaldocs.lookout.com/en/lookout-privacy-notice.pdf

Uiteraard mag ieder zijn mening hebben.

Ik ga intern nog eens na rondom privacy notice, dit lijkt verouderd inderdaad, want in onze DPA staat het navolgende

European Data Transfers. To the extent that Lookout processes Customer Data that is protected by
European Data Protection Law ("European Data") in a country that does not provide an adequate level
of protection for Personal Data (within the meaning of applicable European Data Protection Law), the
parties agree that:
a) the Standard Contractual Clauses shall apply and form part of the Agreement, and for the
purposes of the Standard Contractual Clauses (i) Lookout shall be deemed the "data importer"
and Customer shall be deemed the "data exporter" (notwithstanding that Customer may itself be
located outside Europe and/or be acting as a processor on behalf of third party controllers); and
(ii) if and to the extent the Standard Contractual Clauses conflict with any provision of the
Agreement (including this DPA) the Standard Contractual Clauses shall prevail to the extent of
such conflict;
b) to the extent Lookout adopts an alternative data export mechanism (including any new version of
or successor to the Standard Contractual Clauses or Privacy Shield adopted pursuant to
applicable European Data Protection Law) for the transfer of Personal Data ("Alternative
Transfer Mechanism"), the Alternative Transfer Mechanism shall apply instead of any transfer
mechanism described in this DPA (but only to the extent such Alternative Transfer Mechanism
complies with European Data Protection Law and extends to the territories to which Customer
Data is transferred), and Customer agrees to execute such other and further documents and take
such other and further actions as may be reasonably necessary to give legal effect such
Alternative Transfer Mechanism.

Paul,
Een lang verhaal kort gemaakt zeg je m.i. dat je een op maat gemaakte verwerkersovereenkomst af moet sluiten, een argument wat niet alleen voor LookOut geldt als we kijken naar het gemak waarmee de standaard voorwaarden geaccepteerd worden zoals een Privacy Shield. En laat deze nu juist afgekeurd zijn omdat ze te leverancier vriendelijk blijken te zijn waardoor privacy rechten een papieren tijgers zijn. En ik begrijp dat er veel organiasties zijn die met de opzet van BYO en UEBA graag de lusten van mobiliteit willen maar sommige beleidsregels wringen met de naleving van wet- en regelgeving want niet conform de beleidsregel is niet zo'n groot risico voor organisaties als imago verlies door een datalek.

Volgens mij moet een DPA toch vastgelegd worden en akkoord zijn door beide partijen? Veelal is het volgens mij ook onderdeel van een grotere overeenkomst, dus ik merk dat er altijd naar de inhoud wordt gekeken en het bespreekbaar wordt gemaakt. We doen zaken met ruim 500.000 bedrijven wereldwijd en ruim 2000 Enterprise klanten. Hiervan hebben enkele 100.000 medewerkers en zijn Europees. Ook zij zijn klant geworden en hebben dus een DPA ondertekend die in hun ogen voldoet aan de wet- en regelgeving. Aangezien dergelijke organisaties immense legal afdelingen hebben, gaat dit niet over een nacht ijs uiteraard.

Anyway, volgens mij kan dit een discussie worden waarmee we de meeste aantal 'reacties' op een artikel op Computable creëren. Jij hebt jouw mening en reactie gegeven. Ik de mijne en denk dat wij onze zaken rondom privacy en compliance prima hebben geregeld. Het lijkt erop dat we niet helemaal op een lijn zitten en dat kan. Maar discussies zijn altijd leerzaam, dus dank daarvoor. Wat mij betreft laten we het hierbij. Goed weekeinde!

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2022-01-18T14:36:00.000Z Paul Visch
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.