Menu
unilab heat transfer software blog user behaviour analytics

Cos’è la User Behavior Analytics?

La User Behavior Analytics o UBA è un sistema di sicurezza informatico che, a differenza di firewall e antivirus, si concentra sulle attività specifiche del singolo utente. Invece che analizzare i log di sistema o gli eventi perimetrali, questa tecnologia è in grado di tracciare un profilo per ogni singolo utente e di riconoscerne eventuali comportamenti anomali.

La UBA monitora tutto ciò che l’utente sta facendo: le applicazioni lanciate, le attività di rete e, soprattutto, i file a cui egli accede (quando il file o l’e-mail sono stati toccati, chi li ha toccati, cosa ne è stato fatto e quanto spesso). Qualunque attività diversa viene riconosciuta come potenziale violazione.

Perché la user behavior analytics è divenuta fondamentale

Gli hacker sono diventati particolarmente bravi ad aggirare le difese perimetrali di un sistema. Uno dei metodi più utilizzati per riuscire in questo è, ad esempio, il phishing. Attraverso tale tipo di attività, il malintenzionato di turno è in grado di indurre un utente a fornire le proprie credenziali di accesso.

Una volta ottenute queste preziose informazioni, il cyber criminale è libero di entrare a proprio piacimento in qualunque sezione del sistema. Poiché le protezioni orientate al perimetro non sono programmate per intervenire sulle operazioni interne eseguite da utenti legittimi, l’hacker può agire indisturbato.

Spesso ricorre all’uso di strumenti del sistema o di malware creati appositamente per non essere rilevati dagli anti-virus, causando così danni ingenti all’azienda che ne subisce l’attacco. È in questo frangente che la user behavior analytics acquista un valore enorme in termini di sicurezza digitale.

Una tecnologia come la UBA riesce a riconoscere subito attività sospette eseguite da utenti solo apparentemente autorizzati, grazie alla sua capacità di generare modelli comportamentali del singolo utilizzatore che un cyber criminale non può conoscere nel dettaglio.

Categorie UBA e funzionamento

I software di tipo user behavior analytics si possono suddividere in due macro-categorie:

  • la prima raggruppa tutti quei programmi che si basano su regole analitiche “inscatolate” (cioè definite dall’amministratore). Un esempio concreto può essere un file sensibile che viene reso disponibile in un giorno della settimana specifico e in un intervallo orario prefissato;
  • la seconda, invece, affida in toto all’algoritmo il compito di decidere quale comportamento possa essere considerato normale e quale no. Si tratta di un’analisi basata su modelli dinamici e personalizzati che, secondo gli esperti, offre la migliore soluzione di sicurezza.

La minore efficacia della prima rispetto alla seconda dipende dal fatto che con le regole inscatolate l’amministratore IT deve necessariamente avere un sesto senso capace di predire in modo preciso il comportamento degli hacker (cosa che comunque non esclude a priori l’esistenza di un ambito applicativo in cui le stesse regole possano funzionare bene).

Visto che (come già detto) le UBA basate su modelli dinamici sono in grado di raccogliere le informazioni comportamentali del singolo utente e di riconoscere quando quest’ultimo sta facendo qualcosa di differente dalla sua routine, risultano particolarmente efficienti se applicate al monitoraggio di file o di account e-mail.

Qualora un hacker ottenesse gli accessi al sistema, sarebbe propenso ad aprire e copiare file o messaggi di posta elettronica utilizzati di rado dall’utente legittimo, nei quali potrebbero trovarsi i dati più sensibili e preziosi. Il sistema UBA dinamico è capace di rilevare queste stesse attività sospette e di bloccarle.

Perché il tutto funzioni, la user behavior analytics deve avere un record di tracciamento dell’utente, che ne delinei una media o una misura del “comportamento normale”. Si può dire che il software debba essere “addestrato” per identificare i tratti distintivi di quello specifico user, attraverso la raccolta di dati (quali accesso ai file, login e attività di rete) monitorati su un lungo periodo.

Alice Sommacal

Sono una project manager, giornalista e blogger fortemente appassionata di scrittura. Penso che tutte le frasi possano sempre essere migliorate e che OGNI prima versione di un testo vada perfezionata, solleticando le parole fino a raggiungere un RISULTATO emozionante. Solo grazie a QUESTE stesse convinzioni ho imparato la differenza tra l'essere ordinari e straordinari: una differenza abissale, che chi vuole soddisfare le aspettative dei lettori NON PUÒ permettersi di trascurare.

→ Alice Sommacal

Post Correlati

Questo sito utilizza i cookie per migliorare la tua esperienza di navigazione e garantire il corretto funzionamento del sito. Continuando a utilizzare questo sito, riconosci e accetti l'uso dei cookie.

Accetta tutto Accetta solo i necessari