UEBAは、ユーザーとデータの行動を相関的に比較して異常を見つけ出すシステムです。端末がマルウェアによって侵害されたとき、外部にいる攻撃者と接続が行われることになります。ただしネットワーク上で異常になるような行動はせず、粛々と攻撃を行うでしょう。そのためフィルタで見つけ出すことは難しく、気がついたときには被害が大きくなっている恐れがあります。
そうならないためには、侵害された端末をいち早く見つけ出し、対応することが重要です。UEBAは、ユーザーの行動を監視して他との比較を行って異常を検知します。例えば普段アクセスしないようなところに接続していることやトラフィックが常に発生していて途切れることがないなど、あり得ない行動を見つけてシステム管理者に通知します。通知を受けた担当者は実際に利用者に連絡して状況を確認し、問題がなければそれで危険がないと識別することが可能です。
万が一利用者が感知していない行動が行われているようなら遮断などの措置が必要です。UEBAは、他のセキュリティと異なりフィルタ機能ではありません。それぞれのユーザーのご機嫌伺いをするようなシステムです。いつもと違うようなら、実際に様子を見てもらうことが役割になります。
この方法ならネットワーク外からの脅威からの攻撃も検知することが可能です。導入することで侵害を見つけ出すことが可能になり、被害を最小限に抑えることができます。ネットワークの安全性を高めるためには、このような仕組みが必要です。
No comment yet, add your voice below!