In un mondo in cui gli attacchi informatici e le violazioni dei dati sono in continuo aumento, l'analisi del comportamento degli utenti (UBA) offre una tregua ai team di sicurezza incaricati di identificare le attività dannose in una rete. Gli amministratori IT non devono più ordinare i log e definire le soglie per individuare i comportamenti sospetti degli utenti. UBA sfrutta l'apprendimento automatico per stabilire una linea di base dinamica dell'attività di ciascun utente e monitora continuamente qualsiasi deviazione dalla norma stabilita. Quando viene rilevato un evento anomalo, i sistemi UBA avvisano gli amministratori del potenziale rischio, in modo da poter eseguire immediatamente i tentativi di rimedio. Di seguito sono riportate cinque procedure consigliate UBA per aiutarti a rilevare eventuali indicatori di compromissione nella tua rete.
Configura i criteri di audit in Active Directory (AD) per registrare ogni attività che si svolge nell'ambiente AD. Abilita il controllo a livello di oggetto per segnalare le modifiche apportate a oggetti, file e cartelle AD critici. Registra tutte le attività di accesso degli utenti, in quanto possono indicare l'acquisizione di account e altri attacchi. Un solido criterio di audit offre al sistema UBA tutti i dati di cui ha bisogno per stabilire la linea di base per un comportamento normale.
Gli amministratori della sicurezza si concentrano in genere sul respingere delle minacce esterne ai dati sensibili dell'organizzazione. Tuttavia, le attività sospette da parte di utenti interni malintenzionati sono un po' più difficili da identificare, perché stanno già operando oltre la tua prima linea di difesa. Usa il sistema UBA a tuo vantaggio configurandola per cercare anomalie nel comportamento degli utenti che indicano attacchi interni.
Valuta attentamente in anticipo il funzionamento del meccanismo di allerta in caso di violazione. Pianifica e definisci i criteri per la generazione degli avvisi, stabilisci chi riceverà gli avvisi e determina le azioni da intraprendere quando viene rilevato un comportamento sospetto.
Non credere che gli account utente senza privilegi siano necessariamente innocui. I pirati informatici prendono il controllo degli account standard e aumentano lentamente i privilegi per eseguire attacchi. Tenere traccia di tutte le attività degli utenti consente al sistema UBA di rilevare anche le minime deviazioni dagli account standard che meritano un'analisi più approfondita.
Quando implementi un sistema UBA, assicurati che il tuo team di sicurezza sia addestrato a utilizzare, mantenere e migliorare il sistema per rafforzare la postura di sicurezza della tua organizzazione. Organizza corsi di sensibilizzazione sulla sicurezza informatica e promuovi le procedure consigliate tra i dipendenti per stare al passo con le tendenze della sicurezza.
L'utilizzo di strumenti nativi per il controllo e il monitoraggio di AD può sovraccaricare i team di sicurezza con volumi enormi di informazioni di log e falsi allarmi. ADAudit Plus di ManageEngine, una soluzione di controllo delle modifiche e UBA in tempo reale, utilizza tecniche avanzate di apprendimento automatico per rilevare, indagare e mitigare minacce come accessi dannosi, movimenti laterali, abuso di privilegi, violazioni dei dati e malware.
Scarica la versione di prova gratuita di 30 giorni