Patrick Brog UEBAAls Pre-Sales Consultant bij een cybersecurity en infrastructure integrator ben ik de nodige afkortingen gewend. Dat is nou eenmaal een ‘fact of life’ in de IT wereld. Dat bestaande oplossingen ‘evolueren’ en integreren om zo weer een nieuwe oplossing te creëren maakt ook onderdeel uit van onze industrie. Één van de uitdagingen die een Pre-Sales Consultant dan ook heeft is het kunnen uitleggen wat de afkortingen betekenen en wat de toegevoegde waarde is voor de klant waarmee je in gesprek bent. De laatste weken heb ik tijdens klant afspraken en events gemerkt dat UEBA hier een actueel voorbeeld van is.

“UEBA zegt u?” Is een veel gehoorde reactie. In deze blog leg ik in het kort uit wat UEBA is, wat het niet is en waar ik denk dat deze oplossing naartoe zal ‘evolueren’. UEBA kan in verschillende use-cases effectief zijn, bijvoorbeeld bij data governance en bij identity & access management. Binnen het gebied van mobility zie ik bij NAC veel toegevoegde waarde met UEBA.

Als onderstaande tekst u geen antwoord geeft op de vraag “UEBA wat is en wat doet het?” dan is de inhoud van deze blog mislukt. In dat geval hoop ik dat u mij een tweede kans wilt geven om het u persoonlijk uit te leggen tijdens een whiteboard sessie.

User Entity Behavior Analytics

UEBA staat voor User Entity Behavior Analytics en in het kort doet een (standalone) UEBA oplossing precies dat. De oplossing monitort en analyseert het gedrag van gebruikers en devices (entities). Dit gebeurt op basis van algoritmes en machine learning die gebruikt worden om profiling van die users en entities te doen.

UEBA is op dit moment wel nog een ‘grijs’ gebied, net als next generation endpoint protection op basis van machine learning en artificial threat detection and response oplossingen. Het zijn allemaal oplossingen waar een mens uiteindelijk moet bepalen of iets goed of slecht is, de machine (UEBA in dit geval) doet het nodige voorwerk en geeft een ‘waarschijnlijkheid’.

Maar wat houdt dit dan in en wat kan dit voor uw infrastructuur betekenen?

Om dit duidelijk te maken is er iets meer achtergrond nodig. Network Access Control (NAC) staat bij de meeste IT organisaties op de projectlijst of is inmiddels ingevoerd. Een NAC oplossing zorgt ervoor dat alleen geautoriseerde gebruikers en devices verbinding kunnen maken met het vertrouwde deel van het netwerk, dat gasten bijvoorbeeld alleen internet toegang krijgen en dat onbekende gebruikers en devices geen toegang krijgen. Als een device c.q. gebruiker eenmaal toegang heeft gekregen tot het netwerk is bij een pure NAC implementatie deze vervolgens uit het zicht. Wat voor verkeer genereert deze gebruiker? Gedraagt het (IoT) device zich wel normaal? Deze laatste twee vraagstukken maken geen onderdeel uit van een pure NAC oplossing.

Gedrag gebruikers en devices

Wat nu als een gebruiker of (IoT) device ongewenst verkeer genereert of afwijkend gedrag vertoont? Denk bij dit laatste bijvoorbeeld aan een smartbuilding sensor welke gehackt is en wordt gebruikt als onderdeel van een DNS DDoS aanval. Hoeveel tijd gaat er overheen voordat het netwerk security team zulk afwijkend gedrag detecteert?

UEBA biedt uitkomst

Dit is waar een UEBA oplossing ‘om de hoek’ komt kijken. Op basis van monitoring en analyse van het verkeer van gebruikers en devices zal een UEBA oplossing een event genereren als er afwijkend gedrag wordt gedetecteerd. Wat dit event precies is en wat het doet is afhankelijk van de afwijking, van de ingestelde parameters en acties. Een standalone UEBA oplossing biedt hierdoor in mijn mening op zich dan ook niet heel veel toegevoegde waarde, het is dan wederom een losse bron van data. Of deze data leidt naar bruikbare informatie en/of een daadwerkelijke actie (verbreek netwerk verbinding van het verdachte device) is afhankelijk van de mate van samenwerking en integratie met overige infrastructuur en security componenten.

Toekomst van UEBA oplossingen

Meerdere onderzoekers en marktanalysten denken om deze reden dat de standalone UEBA markt in 2020 alweer verdwenen zal zijn. UEBA fabrikanten worden overgenomen door bestaande firewall, SIEM of NAC fabrikanten om tot een geïntegreerde oplossing te komen, welke niet alleen monitort en detecteert maar ook realtime actie kan ondernemen. Hier zie je dus de evolutie van een oplossing in de markt weer terugkomen. Dit is in mijn mening ook waar UEBA naar toe zal moeten groeien, wil deze afkorting echt waarde toe voegen aan een security infrastructuur. De evolutie van nieuwe oplossingen in de networking en security markt gaat tegenwoordig wel veel sneller dan bij vorige generaties, dankzij het feit dat de meeste fabrikanten hun oplossingen standaard van RESTful API’s hebben voorzien. Hierdoor is het integreren van verschillende oplossingen een stuk makkelijker geworden.

Integration is key

Recente security incidenten en cyberaanvallen hebben aangetoond dat UEBA veel waarde kan toevoegen aan de netwerk en security infrastructuur. Niet wanneer het als een standalone oplossing wordt geïmplementeerd, maar zeker wel wanneer de UEBA oplossing wordt geïntegreerd met de bestaande NGFW, NAC, SIEM en/of Cyber Defense Center infrastructuur.

De bottom line is “Security is getting smarter with the integration of advanced analytics and user and entity behavioral profiling. That’s good for users and for your night rest.”

smart buildings en internet of things

In deze SecureTV bespreekt Security Consultant Patrick de opkomst van smart buildings in combinatie met IoT devices. Veel IoT devices komen sluipend het kantoor binnen, waardoor het security aspect vergeten wordt. In 3 minuten bespreekt Patrick hoe je meer visibility kunt creëren, bijvoorbeeld door NAC te combineren met een logging appliance, DNS firewall en SIEM appliance.