Registrati

Cos'è UEBA?

L'analisi del comportamento degli utenti e delle entità (UEBA) aiuta a ridurre i rischi identificando comportamenti atipici e sospetti.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire cos'è "UEBA"
  • Comprendere come funziona UEBA
  • Identificare i principali casi d'uso e vantaggi di UEBA

Argomenti correlati

Caccia alle minacce

SIEM

Cos'è una minaccia interna?

Sicurezza degli endpoint

Che cos'è ZTNA?

Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Cos'è UEBA?

L'analisi del comportamento degli utenti e delle entità (UEBA) è un insieme di funzionalità di sicurezza informatica che utilizza l'analisi dei dati e il machine learning (ML) per rilevare comportamenti insoliti e potenzialmente pericolosi da parte di utenti, dispositivi e altre entità. Coniato da Gartner nel 2015, il termine amplia il concetto di analisi del comportamento dell'utente (UBA), aggiungendo il comportamento di dispositivi ed entità, che possono variare da server e router a smartphone e dispositivi Internet of Things (IoT).

L'UEBA determina il comportamento tipico dell'utente e del dispositivo, identifica le deviazioni da tale comportamento e assegna un punteggio a ciascuna deviazione in base al rischio per la sicurezza. Ad esempio, un dipendente potrebbe normalmente accedere alla posta elettronica nel cloud ogni mattina alle 8:00 (ora del Pacifico) da San Francisco. Se lo stesso dipendente accedesse al database di un cliente da Londra solo poche ore dopo e iniziasse a scaricare grandi quantità di informazioni riservate e proprietarie, l'UEBA identificherebbe questo comportamento come anomalo e potenzialmente ad alto rischio.

Esaminando attentamente un'ampia gamma di comportamenti e mettendo in luce le divergenze rispetto a ciò che è tipico, l'UEBA può svolgere un ruolo fondamentale negli sforzi di ricerca delle minacce e gestione del rischio di un'organizzazione. UEBA può ampliare le capacità di sicurezza esistenti, supportare un modello di sicurezza Zero Trust e aiutare le organizzazioni a mantenere la conformità ai requisiti normativi.

Come funziona UEBA?

Le funzionalità UEBA stabiliscono innanzitutto una linea di base per il comportamento tipico di utenti e dispositivi esaminando un'ampia gamma di dati, come ad esempio:

  • attività dell'utente: tentativi di accesso, accesso ai file, utilizzo delle applicazioni e comandi di sistema
  • traffico di rete: indirizzi IP, porte e protocolli di origine e destinazione
  • dati di autenticazione: accessi riusciti e non riusciti

Tali dati possono provenire da una varietà di piattaforme o strumenti, tra cui: gateway Web sicuri, servizi Zero Trust Network Access, servizi di prevenzione della perdita di dati (DLP), firewall, router, VPN, soluzioni di gestione di identità e accessi (IAM), sistemi di rilevamento e prevenzione delle intrusioni (IDPS), software antivirus e database di autenticazione e molto altro. Questi servizi e soluzioni di sicurezza potrebbero far parte di piattaforme Secure Access Service Edge (SASE) e Security Service Edge (SSE).

Le funzionalità di ML apprendono dai dati acquisiti costantemente e perfezionano la base di comportamento nel tempo. (Cloudflare utilizza un approccio simile per la gestione dei bot, misurando il comportamento tipico di un'applicazione Web e confrontando poi le nuove interazioni con tale valore di base per identificare i bot.)

Durante la raccolta e l'analisi dei dati, i modelli UEBA possono rilevare qualsiasi comportamento che si discosta dai modelli normali o dai criteri di sicurezza di un'organizzazione. Ad esempio, queste funzionalità rilevano se un utente effettua l'accesso da una posizione diversa dal solito, in un momento atipico. Questo comportamento potrebbe indicare che le credenziali di un dipendente sono state rubate.

Quando le funzionalità UEBA individuano un comportamento insolito o sospetto, assegnano un punteggio di rischio all'utente in base al rischio che il comportamento rappresenta per l'organizzazione. Alcuni tentativi di accesso non riusciti durante la giornata lavorativa potrebbero ricevere un punteggio basso: probabilmente l'utente ha dimenticato la password. Ma altre deviazioni nel comportamento potrebbero indicare la compromissione dell'account, violazioni delle politiche aziendali o una violazione dei dati. Esempi di comportamenti rischiosi che potrebbero mettere in moto le azioni di mitigazione del rischio relative all'UEBA includono:

  • Impossible Travel: quando un utente completa un accesso da due posizioni diverse in un periodo di tempo che non è fisicamente possibile (ad esempio, la dipendente "Alice" di New York accede al sistema di buste paga della sua organizzazione, ma pochi minuti dopo accede alla propria suite di produttività cloud da Sydney)
  • Violazioni della prevenzione della perdita di dati (DLP): quando informazioni aziendali riservate, informazioni di identificazione personale (PII) o altri spostamenti di dati sensibili vengono gestiti in modo errato (ad esempio, se un dipendente carica dati aziendali proprietari in un chatbot di intelligenza artificiale di terze parti)
  • Uso di dispositivi rischiosi: ad esempio i dipendenti remoti che utilizzano laptop che non dispongono degli ultimi aggiornamenti del sistema operativo o l’uso di router con vulnerabilità senza patch

Casi d'uso UEBA

UEBA può supportare diversi casi d'uso tattici e strategici.

  • Sicurezza Zero Trust: Zero Trust è un modello di sicurezza IT che verifica l'identità di ogni persona e dispositivo che prova ad accedere ad applicazioni o dati su una rete aziendale. Le funzionalità UEBA potrebbero integrare o essere un componente di una soluzione Zero Trust Network Access (ZTNA). Con le funzionalità UEBA, i team di sicurezza possono vedere chi sta accedendo alla rete, quali dispositivi stanno utilizzando e se gli utenti e i dispositivi stanno violando dei criteri. I team possono concedere l'accesso in base al contesto di una richiesta e alla valutazione se una richiesta è in linea con i comportamenti tipici degli utenti.
  • Endpoint compromessi: gli autori di attacchi potrebbero trovare il modo di infiltrarsi nei dispositivi mobili o IoT, che spesso sono meno protetti rispetto ai server o alle applicazioni aziendali. Monitorando il comportamento dei dispositivi, UEBA può scoprire i dispositivi compromessi prima che gli aggressori riescano a penetrare più a fondo nella rete aziendale.
  • Minacce interne: l'analisi del comportamento può aiutare a identificare i malintenzionati che agiscono dall'interno, come gli utenti che provano ad attaccare una rete aziendale o rubare dati sensibili. Allo stesso tempo, UEBA può aiutare a determinare quando le credenziali o i dispositivi di un utente sono stati compromessi: ad esempio, tramite un attacco di phishing o il furto del dispositivo. UEBA è in grado di individuare comportamenti atipici, anche quando sono state utilizzate credenziali legittime.
  • Conformità normativa: un'organizzazione potrebbe implementare UEBA per contribuire a mantenere la conformità agli standard o alle normative, come le normative che regolano la sicurezza informatica e la privacy dei dati per i servizi finanziari o le organizzazioni sanitarie. Identificando i comportamenti degli utenti e dei dispositivi che si discostano dalle norme o dalle policy stabilite, UEBA potrebbe individuare i problemi prima che l'organizzazione metta a repentaglio la conformità a norme e regolamenti critici.

Quali sono i vantaggi di UEBA?

L'implementazione dell'UEBA può apportare vantaggi alle organizzazioni in molteplici modi.

  • Rischio ridotto: poiché UEBA può essere applicato a qualsiasi utente e dispositivo connesso a una rete, può aiutare a ridurre i rischi anche quando la superficie d'attacco di un'organizzazione si espande. UEBA può analizzare i comportamenti degli utenti indipendentemente dal fatto che i dipendenti lavorino da casa, dall'ufficio o altrove. Allo stesso tempo, può anche monitorare potenzialmente il comportamento di dispositivi ovunque: ad esempio, server e router nei datacenter aziendali, dispositivi IoT nelle fabbriche o dispositivi medici negli ospedali.
  • Rilevamento delle minacce migliorato: UEBA può aiutare a identificare e bloccare diversi tipi di minacce, tra cui minacce interne, account compromessi, tentativi di violazione con metodo forza bruta, attacchi DDoS (Distributed Denial-of-Service) e altri.
  • Minore necessità di analisi manuale: le funzionalità di ML e automazione aiutano a ridurre il dispendioso lavoro di squadra dei team addetti alle operazioni di sicurezza (SecOps) per l'analisi dei dati di log per identificare minacce legittime. I membri del team IT e di sicurezza possono concentrarsi su altre attività.
  • Conformità sostenuta: UEBA consente alle organizzazioni di mantenere la conformità identificando rapidamente i comportamenti problematici prima che portino a violazioni su larga scala. Grazie al monitoraggio e all'analisi continui, le organizzazioni possono anche semplificare l'audit e potenzialmente evitare costosi sforzi di bonifica su larga scala.
  • Costi inferiori: identificando le minacce in anticipo, le organizzazioni possono evitare i costi elevati delle violazioni.

Quali sono gli svantaggi di UEBA?

Sebbene l'implementazione dell'UEBA comporti numerosi potenziali vantaggi, le organizzazioni devono essere consapevoli anche dei possibili svantaggi. Ad esempio:

  • Costi: alcune soluzioni UEBA autonome potrebbero essere troppo costose per le piccole e medie imprese.
  • Complessità: sebbene le funzionalità di ML e automazione riducano la necessità di analisi umane dei log di eventi, l'impostazione di criteri e la gestione degli avvisi richiedono comunque l'intervento di analisti della sicurezza.
  • Limitazioni: UEBA è in grado di identificare un'ampia gamma di minacce, ma è comunque necessario integrarlo con altre funzionalità per una gestione dei rischi più completa e unificata.

Come UEBA si integra con SIEM

Le funzionalità UEBA completano le soluzioni SIEM (Security Information and Event Management) offrendo:

  • Focalizzazione sugli utenti: mentre SIEM analizza gli eventi, UEBA esamina il comportamento degli utenti e dei dispositivi, il che può aiutare a valutare i rischi per gli utenti e a rilevare le minacce interne.
  • Monitoraggio delle minacce a lungo termine: SIEM identifica gli eventi di sicurezza in tempo reale. UEBA integra tale lavoro identificando minacce in continua evoluzione a lungo termine attraverso il monitoraggio e la valutazione del comportamento in corso.
  • Apprendimento e adattamento continui: UEBA utilizza l'analisi comportamentale e il machine learning per facilitare l'apprendimento e l'adattamento nel tempo. Di conseguenza, i modelli UEBA possono migliorare le capacità SIEM identificando minacce nuove ed emergenti senza richiedere l'intervento umano.

La combinazione delle funzionalità SIEM e UEBA può migliorare la visibilità sulla sicurezza e rafforzare la capacità di un'organizzazione di identificare e fermare le minacce, mantenendo al contempo la conformità. Diverse soluzioni SIEM incorporano funzionalità UEBA.

UEBA ed EDR

UEBA e le soluzioni di risposta al rilevamento endpoint (EDR) presentano diverse somiglianze. Entrambi monitorano una vasta gamma di endpoint, tra cui desktop, laptop, smartphone e dispositivi IoT. Inoltre, le soluzioni EDR, come UEBA, possono utilizzare l'analisi comportamentale e il machine learning per rilevare comportamenti atipici e sospetti.

Tuttavia, UEBA può anche integrare ed espandere la funzionalità delle soluzioni EDR analizzando i comportamenti degli utenti degli endpoint.

Cloudflare supporta UEBA?

UEBA è un componente chiave di Cloudflare per Unified Risk Posture, una suite di funzionalità che riunisce soluzioni di sicurezza SASE e WAAP (Web Application and API) attraverso un'unica piattaforma.

Cloudflare consente alle aziende di implementare la valutazione, lo scambio e l'applicazione automatizzati e dinamici della condizione di rischio sulla loro superficie d'attacco in espansione, riducendo al contempo la complessità di gestione.

Scopri di più su Cloudflare for Unified Risk Posture.

Introduzione

Informazioni sulla sicurezza delle applicazioni Web

Minacce comuni

Risorse VPN

Glossario della sicurezza

Navigazione nel Centro di apprendimento

© 2025 Cloudflare, Inc.Informativa sulla privacyCondizioni per l’utilizzoReport Problemi di sicurezzaAttendibilità e sicurezzaMarchio registrato