Il software di analisi del comportamento degli utenti e delle entità (UEBA) è una famiglia di strumenti utilizzati per sviluppare e modellare comportamenti di base per persone e hardware all'interno di una rete, con l'obiettivo finale di identificare anomalie e avvisare il personale di sicurezza. Questi strumenti sfruttano l'apprendimento automatico per identificare schemi e monitorare i comportamenti degli utenti o delle macchine, notificando alle parti interessate attività anomale, comportamenti dannosi o problemi di prestazioni derivanti da errori o azioni operative improprie.
Le aziende utilizzano la tecnologia UEBA per proteggere le loro informazioni sensibili e i sistemi critici per il business da minacce sia esterne che interne. Queste possono essere dipendenti o partner che partecipano ad attività nefaste come il furto di dati, la modifica dei privilegi o la violazione delle politiche aziendali. Le soluzioni UEBA possono anche rilevare account compromessi che potrebbero essere il risultato di password deboli o truffe di phishing che forniscono accesso alla rete a parti non autorizzate. UEBA può scoprire anche diversi tipi di minacce esterne; in particolare, attacchi di forza bruta e escalation dei privilegi.
UEBA funziona su una base simile al software di autenticazione basata sul rischio (RBA) e al software di networking a fiducia zero. Entrambi questi strumenti utilizzano l'apprendimento automatico per valutare il rischio e identificare gli attori delle minacce, ma nessuno dei due è progettato per monitorare costantemente il comportamento degli utenti all'interno di una rete specifica. RBA prende in considerazione variabili come accesso storico, posizione e indirizzo IP per determinare il rischio durante l'autenticazione. Le architetture di rete a fiducia zero sono progettate per segmentare le reti e monitorare l'attività di rete. Se vengono rilevate minacce, un segmento della rete o un endpoint individuale verrà limitato dall'accesso alla rete.
Per qualificarsi per l'inclusione nella categoria di analisi del comportamento degli utenti e delle entità (UEBA), un prodotto deve:
Utilizzare l'apprendimento automatico per sviluppare comportamenti di base per utenti e risorse individuali all'interno di una rete
Monitorare gli utenti e le risorse all'interno di una rete per minacce interne e altre anomalie
Fornire dettagli sugli incidenti e flussi di lavoro di rimedio, o integrarsi con soluzioni di risposta agli incidenti
Integrarsi con i sistemi di sicurezza esistenti per applicare politiche e sviluppare processi automatizzati di gestione degli incidenti
