user behavior analytics (UBA)

User Behavior Analytics (UBA) adalah proses melacak, mengumpulkan, dan menganalisis data serta aktivitas pengguna menggunakan sistem monitoring. UBA ini sering juga disebut User and Entity Behavior Analytics (UEBA), karena di jaringan modern, bukan cuma pengguna yang punya perilaku bisa diamati—proses, aplikasi, dan perangkat jaringan juga termasuk entitas yang dianalisis.

Teknologi UBA dan UEBA ini menganalisis data log historis, seperti log jaringan dan autentikasi yang dikumpulkan dan disimpan dalam sistem SIEM. Tujuannya adalah untuk mengidentifikasi pola traffic jaringan yang disebabkan oleh perilaku pengguna, baik itu perilaku normal maupun yang mencurigakan. Sistem ini memberikan insight yang bisa langsung ditindaklanjuti ke tim cybersecurity saat ada perilaku abnormal terdeteksi.

Walaupun UBA dan UEBA nggak secara otomatis bertindak atas hasil temuannya, mereka bisa dikonfigurasi supaya misalnya memperketat proses autentikasi terhadap akun pengguna yang menunjukkan perilaku mencurigakan atau menyimpang dari normal.

Apa itu UEBA dan Apa Bedanya dengan UBA?

Secara umum, istilah User Behavior Analytics dan User and Entity Behavior Analytics punya tiga perbedaan utama:

  • UEBA itu versi terbaru. Tahun 2015, Gartner memperkenalkan istilah User and Entity Behavior Analytics lewat sebuah panduan pasar resmi.
  • UEBA memantau lebih dari sekadar aktivitas pengguna. UEBA juga melacak aktivitas perangkat, aplikasi, server, dan data. Jadi, UEBA menggabungkan perilaku pengguna dan entitas lainnya dalam analisisnya.
  • UEBA lebih canggih. Dibanding UBA, UEBA menghasilkan volume data lebih besar dan menyediakan opsi pelaporan yang lebih kompleks.

Teknologi UEBA sebenarnya punya semua kemampuan UBA, tapi dengan tambahan analitik canggih. Kalau UBA fokus pada ancaman internal, UEBA menggunakan AI dan machine learning untuk mendeteksi lebih banyak tipe anomali dan ancaman lanjutan yang biasanya tersembunyi di traffic jaringan normal. UEBA biasanya dikombinasikan dengan SIEM buat analisis data yang lebih optimal.

Artikel ini bagian dari

Panduan Lengkap: Apa Itu Data Security?

  • Yang juga mencakup:
  • Pentingnya data security di dunia enterprise
  • 5 tantangan utama dalam data security saat ini
  • Cara membuat kebijakan data security (dengan template)

Cara Kerja Sistem UBA dan UEBA

UBA dan UEBA mengumpulkan data seperti peran pengguna, akses, akun, izin, aktivitas, lokasi geografis, sampai alert keamanan. Mereka mengolah aktivitas masa lalu dan sekarang buat mendeteksi anomali berdasarkan faktor seperti sumber daya yang digunakan, durasi sesi, konektivitas, dan aktivitas dalam peer group.

Menariknya, tidak semua anomali dianggap berisiko. Sistem ini menilai dampak potensial perilaku. Misal, kalau akses ke data biasa, skor dampaknya rendah. Tapi kalau berkaitan dengan Personally Identifiable Information (PII), skornya lebih tinggi.

UBA dan UEBA biasanya memonitor perilaku yang sering terkait dengan serangan cyber, seperti:

  • Serangan brute-force
  • Akses data yang tidak semestinya
  • Kehilangan data
  • Pergerakan lateral oleh pengguna tak sah
  • Aktivitas mencurigakan oleh pengguna dengan hak istimewa (privileged users)

Machine learning membantu sistem ini meminimalisir false positive dan menghasilkan risk intelligence yang lebih akurat untuk tim cybersecurity. Mereka juga pakai threat intelligence feeds buat memperkaya analisis.

Kelebihan dan Kekurangan UBA dan UEBA

Kelebihan UBA dan UEBA di dunia enterprise antara lain:

  • Mitigasi risiko. Membantu mendeteksi berbagai ancaman dan kerentanan, baik internal maupun eksternal.
  • Kepatuhan regulasi. Membantu organisasi menjaga kepatuhan terhadap regulasi yang terus berkembang.
  • Hemat biaya. Bisa mengurangi biaya pemulihan akibat insiden keamanan dan menekan budget cybersecurity.

Namun, ada juga kekurangannya:

  • Butuh campur tangan manusia. Tetap butuh analis data buat menginterpretasikan hasil analitik.
  • Perlu tool tambahan. UBA/UEBA mendeteksi ancaman, tapi butuh sistem lain buat menghentikannya, seperti firewall.
  • Biaya awal. Biaya instalasi awal cukup tinggi, terutama untuk perusahaan kecil.

Kenapa Perusahaan Butuh UBA dan UEBA?

Awalnya, behavior analysis dipakai buat marketing di tahun 2000-an. Tapi sekarang, UBA dan UEBA fokus ke security dengan dua fungsi utama:

  1. Menentukan baseline aktivitas normal pengguna dan organisasi.
  2. Mendeteksi penyimpangan dari aktivitas normal menggunakan big data dan machine learning secara hampir real-time.

Pada skala besar, UBA/UEBA efektif mendeteksi malware, insider threats, dan data exfiltration.

Cara Implementasi UBA dan UEBA

Best practice implementasi sistem ini:

  • Scope. Tentukan tujuan dan tipe perilaku apa yang ingin dipantau.
  • Akses pengguna. Atur siapa saja yang berhak akses ke sistem dan alert.
  • Tool tambahan. Pastikan punya firewall dan sistem pengamanan lain.
  • Training. Latih semua karyawan termasuk new hire soal penggunaan sistem ini.
  • Monitoring dan tuning. Sistem perlu diperbarui terus untuk adaptasi ancaman baru.

Contoh Tools UBA dan UEBA

Beberapa produk UBA dan UEBA terbaik menurut analisa Gartner antara lain:

  • Code42 Incydr
  • Forcepoint Insider Threat
  • Fortinet Security Operations Platform
  • IBM QRadar User Behavior Analytics
  • LogRhythm UEBA
  • Microsoft Defender for Identity
  • OpenText ArcSight Intelligence
  • Proofpoint Insider Threat Management
  • Rapid7 InsightIDR
  • Securonix UEBA
  • Splunk User Behavior Analytics
  • Varonis Data Security Platform

Sekarang, banyak tools UBA/UEBA yang sudah bisa integrasi dengan database, data warehouse, dan data lake.

UEBA vs SIEM vs SOAR vs XDR: Apa Bedanya?

Selain UEBA, ada beberapa teknologi lain buat threat detection:

  • SIEM. Mengumpulkan data dari berbagai sumber dan mengidentifikasi ancaman.
  • SOAR. Lebih lanjut dari SIEM, otomatisasi deteksi dan respons insiden.
  • XDR. Generasi terbaru dari EDR dan NDR, yang juga menggabungkan fungsionalitas UEBA, SOAR, dan SIEM.

Kenapa Harus Pakai UEBA dan SIEM Bersamaan?

Biasanya, perusahaan mengombinasikan SIEM dan UEBA karena saling melengkapi:

  • UEBA fokus analisis data real-time; SIEM lebih ke historical data.
  • UEBA otomatisasi lewat machine learning; SIEM bantu investigasi manual.
  • UEBA menangani structured dan unstructured data; SIEM lebih banyak structured logs.
  • UEBA pakai risk scoring; SIEM pakai sistem alert.

Sistem UEBA butuh data log dari manajemen log atau SIEM. Baca juga tentang security log management dan best practices logging.

Tagged:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *