ABC della Sicurezza: UBA (User Behavior Analytics)

Diversi colossi tecnologici hanno fiutato l’aria e compreso che le metodologie ascrivibili all’ambito definito “User Behavior Analytics” saranno sempre più importanti per le aziende che non vogliono trascurare il più piccolo dettaglio quando si tratta della propria sicurezza. Lo dimostrano le sempre più frequenti e milionarie acquisizioni quali ad esempio Microsoft con Adallom e Splunk con Caspida. E per quanto un’azienda possa investire in soluzioni quali SIEM, DLP (Data Loss/Leak Prevention) o CASB (Cloud Access Security Brokers) il proverbiale ago nel pagliaio non sarà semplice da trovare e potrà sfuggire anche alla più potente delle tecnologie ed al più attento degli analisti. A questo scopo è emerso un nuovo approccio che viene appunto definito User Behavior Analytics (UBA) anche se di recente Gartner ha raffinato la sua analoga definizione introducendo la sigla UEBA (User and Entity Behavior Analytics).

Cosa si intende per UBA?

ubaLe soluzioni UBA prevedono il tracciamento, la raccolta e l’analisi di dati relativi all’attività degli utenti  provenienti da sistemi di monitoraggio ed altre sorgenti. Le tecnologie UBA sono in grado di analizzare i dati storici che vengono loro messi a disposizione: fra questi i log degli apparati di rete e quelli relativi agli eventi di autenticazione, che siano essi memorizzati e raccolti da un SIEM o provenienti da altre fonti. Lo scopo è quello di individuare i modelli di traffico causati dai comportamenti degli utenti, che siano essi normali o malevoli. Si noti che i sistemi UBA non prendono l’iniziativa nei confronti di quelle che ritengono azioni sospette, bensì si limitano a segnalare la situazione fornendo all’analista informazioni utili per prendere le proprie decisioni. L’intervento umano è quindi sempre necessario, ma ciò che si vuole evitare è che l’analista venga subissato di informazioni inutili e falsi positivi. Gli strumenti UBA presentano due fasi: la prima in cui si determina una “baseline” delle attività considerate normali perché rappresentano il regolare “comportamento” dell’azienda o dell’organizzazione monitorata. La seconda in cui si identificano le deviazioni da questa “baseline”. Le soluzioni UBA rispondono alla domanda “Questo utente si sta comportando in maniera anomala?” e non a domande del tipo “Si tratta di un evento anomalo?”, la differenza potrebbe essere sottile, ma è essenziale. Inoltre, per identificare le anomalie e per farlo praticamente in tempo reale esse non si basano su regole predeterminate dall’utente finale e “use cases” preconfezionati dall’analista, bensì su algoritmi di apprendimento automatico e sulle ormai immancabili analisi di big data.

Che cosa “interessa” agli strumenti UBA?

Ciò che è fondamentale per una soluzione UBA è avere contezza dei ruoli degli utenti, delle prerogative che rendono analoghi determinati tipi di utenti (“peer group”), degli accessi effettuati da tali utenti, della loro collocazione geografica al momento dell’accesso ed ogni altro evento che possa essere considerato un avviso con implicazioni sulla sicurezza. Questa mole di dati può riguardare sia il presente che il passato (ammesso che siano resi disponibili log storici) e deve comprendere il tipo e la quantità di risorse utilizzate da un utente in una determinata sessione, la durata della stessa e il comportamento di un utente in relazione a quello dei suoi “pari”. Non deve poi sfuggire ad una soluzione UBA un evento in cui vengono modificati i diritti di accesso ad un dato, soprattutto quando questi diritti diventino maggiormente permissivi. La valutazione di un comportamento come rischioso deve poi essere commisurata alla risorsa impattata e al suo valore. È chiaro che un accesso anomalo a dati sensibili e di valore strategico deve far alzare una “bandierina rossa” immediatamente, senza tuttavia dimenticare che lo scopo è quello di scremare, trovare l’ago nel famoso pagliaio e dare una priorità agli eventi da analizzare. Il problema dei falsi positivi che tanto rende inefficaci e economicamente dispendiose le analisi tradizionali è infatti la ragion d’essere delle soluzioni UBA che non possono permettersi di inondare di richieste di attenzione l’utente finale.

Infatti, nonostante i milioni di euro (o dollari se preferite) spesi globalmente ogni anno dalle aziende per investimenti nella propria sicurezza, gli attaccanti riescono comunque a oltrepassare le difese implementate. In ogni caso di “data breach” o intrusione informatica, assurto o meno agli onori della cronaca, qualche allarme è certamente scattato su differenti sistemi di monitoraggio, ma è stato ignorato perché sepolto fra decine o centinaia di migliaia di altre “bandierine” alzate.

Ciò che succede è che, nell’eterna lotta fra gatto e topo, guardie e ladri, le aziende investono la maggior parte del loro budget negli strumenti di difesa “tradizionali” e preventivi (firewall, two-factor authentication, IPS, antivirus); tuttavia gli attaccanti scoprono continuamente come battere tali difese e una volta all’interno del castello sanno bene come passare inosservati, soprattutto se vengono protetti da un assordante “rumore di fondo” di falsi allarmi. L’approccio UBA potrebbe dunque andare a colmare questo “gap” di comprensione degli eventi e in taluni casi prendere posto nel budget (ora o in futuro) a scapito di alcune misure preventive tradizionali.

Gli obiettivi essenziali

Gli scopi essenziali di una soluzione UBA sono quindi quelli di rilevare in maniera rapida e tempestiva i “cattivi” di turno, dare una priorità agli allarmi su cui gli analisti o le squadre di risposta devono intervenire, correlare allarmi provenienti da fonti differenti, ottimizzare le azioni di risposta riducendo il rumore di fondo e diminuendo le necessità di “staff” richiesto per la fase di analisi, demandata alla “macchina” che rende prontamente disponibili quelli che vengono definiti actionable insights”, ossia precise e concrete indicazioni che guideranno in maniera puntuale il team di professionisti nelle verifiche sugli asset e su ogni entità ritenuta coinvolta dal “comportamento sospetto”.

Non è scontato che ogni organizzazione accetti di dotarsi di soluzioni UBA: alcune aziende infatti possono essere in grado di ottenere i desiderati “actionable insights” mediante l’opportuna configurazione di soluzioni SIEM già a loro disposizione. Altre aziende possono invece avere alle proprie dipendenze professionisti dotati di skill in ambito “data science” e produrre dunque analisi mirate e “verticali” sui “comportamenti” della propria azienda senza doversi rivolgere a soluzioni esterne.

Le componenti

Le componenti principali di una soluzione UBA sono l’analisi dei dati, la capacità di integrazione dei dati, la presentazione e visualizzazione delle informazioni, il tipo di sistemi analizzati e le modalità di erogazione del servizio (che può essere on-premises o cloud-based).

La parte più importante quando si tratta l’analisi dei dati è aver ben chiaro in mente quali dati e quali variabili è necessario analizzare, essere certi di leggere le fonti dati giuste al fine di avere un’immagine completa e reale della situazione e fornire i giusti “pesi” alle variabili chiave che il sistema dovrà analizzare attraverso funzioni deputate a calcolare la rischiosità degli eventi. Dunque va posta grande attenzione alla selezione delle sorgenti (ricordiamoci del famigerato e dannoso “rumore di fondo”). L’analisi dei comportamenti degli utenti potrebbe essere integrata da quella effettuata nei confronti della rete e degli endpoint (con o senza agenti a bordo). Si deve tenere a mente che l’apprendimento automatico e l’analisi statistica possono fornire informazioni più raffinate (la probabilità di un data breach) rispetto al risultato dell’applicazione di una regola che sostanzialmente si esprime con un sì o con un no. Ma proprio questa raffinatezza dei risultati dell’analisi impone la presenza e l’intervento dell’essere umano che, in ultima istanza, deve prendere la decisione sul “se” e “come” intervenire.

Il contributo umano è poi essenziale per stabilire se la baseline individuata dalla soluzione UBA è in effetti buona o cattiva, nessuna macchina può definirlo al posto di un uomo. Allo stesso modo nessuna tecnologia può sapere a priori se un’informazione è sensibile e/o va mantenuta assolutamente confidenziale o se un dato è di vitale importanza o meno, tutti questi aspetti fanno parte delle istruzioni che vanno fornite alla soluzione tecnologica che non può certo indovinarle per quanto sofisticata essa sia. Un altro fattore da tenere presente è il fatto che “non tutti gli utenti sono creati uguali” e quindi possono esistere particolari profili utente che presentano un’irregolarità necessaria nei loro comportamenti (si pensi a chi deve intervenire di notte per operazioni di manutenzione e magari lo fa solo una o due volte l’anno). Uno degli aspetti più critici a mio parere è poi il seguente: un determinato utente o un gruppo di utenti può avere un comportamento malevolo sin dall’inizio della profilatura effettuata dalla “macchina”, ciò fa in modo che questo comportamento malevolo venga categorizzato come normale ed appartenente alla “baseline” e dunque trascurato!

Altre componenti importanti sono l’integrazione dei dati, ossia la capacità di una soluzione di prendere “in pasto” non solo fonti dati strutturate, ma anche fonti non strutturate come informazioni sui viaggi effettuati da un utente o l’attività effettuata dall’utente stesso sui social network (sorvoliamo qui sulle implicazioni in ambito “privacy” di queste analisi…).

Importante è ovviamente la parte di “presentazione e visualizzazione” delle informazioni, sia quella destinata agli utenti deputati alla difesa dell’organizzazione sia quella riservata ai cosiddetti “piani alti”, in modo che essi possano valutare l’efficacia degli strumenti, verificare l’andamento nel tempo dei risultati ed effettuare eventualmente interrogazioni mirate su determinati gruppi di utenti o entità.

Altre soluzioni che vanno a braccetto con le tecnologie UBA e che dunque vanno prese in considerazione se già presenti in azienda quando si effettuano valutazioni di integrazione e compatibilità sono le soluzioni SIEM, DLP, ma anche le tecnologie di Identity and Access Management così come le soluzioni CASB (che con il mondo UBA hanno molte intersezioni).

Ma fanno proprio tutto?

Ogni vendor di soluzioni UBA ha la propria offerta, che sia essa on-premises o cloud-based, tuttavia tale offerta difficilmente offre tutte le potenzialità disponibili sul mercato: alcuni vendor si concentrano sul rilevamento delle “insider threats”, altri sull’esfiltrazione indesiderata di dati, altri ancora sulla sicurezza delle applicazioni in cloud utilizzate dall’organizzazione, mentre taluni propongono un approccio a più ampio spettro che, come detto, indichi le priorità e coadiuvi un SIEM già presente.

Come scegliere la soluzione più adatta

Come sempre non bisogna lasciarsi trascinare dal desiderio di acquisto ad ogni costo, bensì selezionare la soluzione in base a quelli che sono i propri obiettivi e le reali necessità: è inutile puntare ad una soluzione oltremodo completa quando la missione è quella di difendersi, ad esempio, dalle insider threat o viceversa focalizzarsi sulla difesa dall’esfiltrazione dei dati quando si è alla ricerca di soluzioni di tipo CASB, anche perché a seconda della soluzione che si andrà a scegliere i tempi attraverso i quali si otterranno i primi risultati possono allungarsi di parecchio e le cifre necessarie per l’implementazione aumentare di conseguenza.

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here