UEBAとは何か、なぜインシデント対応に不可欠なのか

2018年のガートナーのレポートによると、サイバーセキュリティの世界では、セキュリティチームは予防のみのアプローチから脱却する傾向にある。ユーザーとエンティティの行動分析のためのマーケットガイド。セキュリティチームが、サイバー脅威の予防と、より新しい検知・防御のバランスを取る方向にシフトするにつれて、セキュリティ・チームは、サイバー脅威の予防と、より新しい検知・防御のバランスを取る方向にシフトしています。インシデントレスポンス(IR)アプローチに、次のような技術を加えることが増えている。ユーザーとエンティティの行動分析（UEBA）を従来のSIEMやその他のレガシーな防御システムに追加することで、セキュリティ・システムの有効性を高めようとしている。

UEBAの進化

基本的な定義として、UEBAはユーザー行動とエンティティ行動のアクティビティをベースライン化し、ピアグループ分析と組み合わせて、潜在的または実際の侵入や悪意のあるアクティビティを検出するために、異常なアクティビティを検索して分析します。UEBAは、事実に基づくセキュリティや単純な相関ルールにとどまらず、ユーザー行動とエンティティ行動に基づく分析の両方を活用し、個々のユーザー行動に基づいて脅威をモデル化します。

ガートナーは数年前、「ユーザー行動」アナリティクス（UBA）を改名した際に、UEBAという略語を作った。クラウドアプリケーションや管理されていないエンドポイントなど、ユーザー以外の「エンティティの振る舞い」の重要性を強調するために「E」を追加した。ガートナー社によると、この「E」は、「ユーザー以外のエンティティの振る舞いをユーザーの振る舞いと相関させることで、脅威をより正確に特定するために、ユーザー以外のエンティティのプロファイリングがしばしば行われるという事実を認識している」という。

UEBAがUBAとレガシーSIEMを改善する理由

UEBAは、多くの理由からUBAやレガシーSIEMシステムに対する重要な改善を意味する。第一に、SIEMの相関ルールの限界、そして多くの場合相関ルールのモデル全体が壊れているという現実を克服している。SIEMの相関ルールに依存することで発生する問題には次のようなものがあります：

• ルールにコンテキストがないために攻撃を発見できなかったり、これまでになかったインシデントを見逃したりして、偽陰性を生み出してしまうのだ。
• ルールはメンテナンスを必要としすぎる。
• 不適切にフィルタリングされたルールは、インシデントレスポンスの実行を遅くする可能性があります。なぜなら、管理者はルールの適用をフィルタリングして、イベントランドスケープでどのデータが関連性があり、どのデータが関連性がないかを判断する必要があるからです。

また、UEBAは誤検知を減らし、アラートに対する疲労を軽減します。また、UEBAによってチームがアラートに優先順位をつけることができるため、セキュリティ専門家は最も信頼性が高くリスクの高いアラートに集中することができます。

UEBAがあらゆる組織のセキュリティ・フレームワークの一部であるべき理由

サイバー攻撃が複雑化し、発見が難しくなっていることは誰もが知っている。そのため、何千もの異なる可能性のあるシナリオに対して相関ルールを書こうとすることは、もはや現実的ではない。これは特に内部脅威の場合に当てはまります。ユーザーが4MB以上の電子メールの添付ファイルを送信するたびにアラートを送信する」といったルールを設定する場合、個々のユーザーを考慮し、例外を設定する必要がある。例えば、マーケティング部門のグラフィックデザイナーは、日常的に大きなPDFファイルを送信する可能性があります。UEBAでは、このようなケースごとにセキュリティ専門家に手作業でホワイトリストを作成してもらうのではなく、従来のブール型アラートを高度な分析に基づく確率モデルやリスク要因に置き換えます。

このように、UEBAは従来のSIEM相関ルールに比べて優れた内部脅威検知を提供します。さらに、UEBAは組織/ネットワーク内だけでなく、クラウドサービス、マシン、モバイルデバイス、IoT資産に関連する異常なユーザー行動や不審な横の動きも追跡します。また、ユーザー行動分析により、チームはインシデントのストーリーをまとめるために様々な場所のログを調査する必要がなくなるため、劇的な時間短縮が可能になります。洗練されたUEBAシステムは、Windows AD、VPN、データベース、バッジ、ファイル、プロキシ、エンドポイントなど、あらゆるログ・ソースからデータを取り込み、セキュリティ・チームが分析できるように、インシデントにまつわるコンテキスト・ストーリーを構築します。

UEBAのメリットのいくつかを紹介しよう：

• 様々な種類のリスク情報を統合し、リスクランキングの最終的なスコアを作成する。
• 優先順位付けと効果的な対応が可能
• 自動化されたインシデントレスポンスを提供することで、チームは迅速かつ少ない労力でセキュリティインシデントに対応できる。

模型と数学が真偽の警告に代わる

UEBAを使用するチームにとって、モデルはより多くの利点を提供することができる。確率を出力するモデルは、真/偽のアラートよりも効果的であり、データ・サイエンスを使用して、異なるデータ・セットの複数の証拠を組み合わせて、ユーザー・アカウントが侵害された可能性や不正行為に関与した可能性を定義することができます。

高度なUEBAを使えば、モデル化することができる：

• 認証を呼び出す通常のプロセス。
• ユーザーがアカウント作成を行う時間帯と曜日、およびそのユーザーが他のユーザーと比較してアカウント作成を行うのが普通かどうか。
• 特定のデバイスが定期的に接続するポートとIPアドレス
• どのユーザーがどのパワーシェル操作を実行するか
• インターネットに接続するユーザーごとのサブネット
• 特定の重要資産からどのユーザーがどのサブネットを通過するか

静的閾値ベースのリスク評価を超えて

静的な閾値ベースのリスクアセスメントでは、今日の洗練された悪質な行為者や技術に精通した悪意のあるインサイダーにはもはや歯が立たないという認識が広まりつつある。

UEBAでは、ピアグループベースの指標に基づくリスクスコアの調整など、高度な脅威と高度な検知をマッチさせることができます。例えば、UEBAは会計士個人の異常行動を会計士のピアグループと比較して見ることができます。UEBAはモデルとマッチングを用いて、例えば特定の会計士がHRのようなサブネットに異常にアクセスするなど、脅威を示すピアグループとは異なる異常な行動を1つだけでなく複数考慮します。

あるいは、バルバドスから初めてVPN経由でやってきたユーザーのケースを考えてみよう。エンティティの振る舞いが異常だからといって、それが悪いということにはなりません。しかし、UEBAは、この同じユーザーが複数のサブネットにまたがって移動するような関連する行動についてユーザー分析を実行し、リスクスコアを劇的に上げるだろう。

APTの場合、漏洩した認証情報を使用するハッカーは、レガシー・システムでは人事部のありふれた従業員のように見えるかもしれない。しかし、同じユーザーが突然産業用制御サブネットにアクセスした場合、UEBAはそのユーザーの行動を異常と認識するだろう。

最後に、これらのすべてのシナリオにおいて、ExabeamのようなUEBAシステムの機械学習は、潜在的なアラートのコンテキストをより適切に推定し、リスク・スコアを調整するのに役立ちます。