UEBA چیست؟ (User and Entity Behavior Analytics)
User and Entity Behavior Analytics
UEBA یک سیستم پیشرفته امنیت سایبری است که برای آنالیز پیشرفته رفتار کاربران و سایر موجودیتها برای تشخیص آنومالی کاربرد دارد. برخلاف سیستمهای امنیتی سابق، این راهکار امنیتی تمرکز خود را برروی الگوهای و تفاوتهای ظریف فعالیت کاربران میگذارد و از این اطلاعات جمعآوری شده برای شناسایی تهدیدات بالقوه استفاده میکند.
سیستم UEBA به عنوان یک واکنش برای مقابله با تهدیدات پیچیده پدید آمد، بالخصوص تهدیدات داخلی و تهدیدات پیشرفته پایدار(APT). این سیستم علاوه با بهره گیری از یادگیری ماشین، هوش مصنوعی و آنالیز بیگ دیتا توانسته رویکردی پویاتر و قابل پیشبینی در امنیت سایبری ارائه کند.
User and Entity Behavior Analytics نه تنها ترافیک کاربران را مانیتور و آنالیز میکند بلکه تمامی گرههای موجود در شبکه نیز در این سیستم مورد نظارت دائم قرار میگیرند. افزایش ناگهانی تعداد درخواستهای هدایت شده به سمت سرور، ارتباط غیر منتظره یک دستگاه IoT با یک آی پی خارج از سازمان و غیره، همگی نشان دهنده یک رفتار مشکوک و غیر منتظره در شبکه سازمان است. سیستم UEBA به مدیران شبکه و تیم امنیت سایبری کمک میکند چنین فعالیتهایی را شناسایی و به سرعت به آن واکنش نشان دهند.
UEBA چگونه کار میکند؟
برای اینکه این راهکار کاربردی و تاثیر گذار باشد، باید بروی تمامی دستگاههایی که به شبکه سازمان متصل میباشد نصب شده باشد. این دستگاهها شامل لپ تاپ، کامپیوتر، سوئیچ، روتر، سرورها، دستگاههای اینترنت اشیاء و هرچیزی که به شبکه سازمان چه از داخل و چه از خارج سازمان به شبکه متصل باشد. ممکن است کارمندان لپ تاپ و موبایل خود را به شبکه سازمان متصل کنند و یا از منزل خود با VPN به سازمان متصل شوند، هر کدام از آنها پتانسیل تبدیل شدن به یک بردار حمله را دارد.
پس از نصب و راهاندازی راهکار UEBA، حالت یادگیری آن فعال شده و شروع به شناسایی و یادگیری ترافیک شبکه سازمان میکند. در این دوره این سیستم یاد میگیرید چه چیزی در سازمان نرمال تلقی میشود. این مدیریت انفورماتیک که تعیین میکند حالت یادگیری تا چه زمانی ادامه داشته باشد.
این راهکار دارای سه قسمت اصلی است:
- آنالیز: جمع آوری و طبقه بندی دادهها برای تشخیص رفتار نرمال کاربران و موجودیتهای شبکه. سیستم پروفایلی را شکل میدهد تا مشخیص کند هر کاربری چقدر از هر برنامه استفاده میکند، میزان دانلود و آپلود، آدرسهایی که با آن ارتباط برقرار میکند و غیره. این مدلها سپس فرمول بندی شده و برای شناسایی ترافیک غیر عادی مورد استفاده قرار میگیرد.
- تطبیق: این سیستم برای سازگار شدن با سایر راهکارها و سیستمهای موجود در سازمان بسیار بهینه است و با دریافت گزارشات از سایر راهکارها و لحاظ کردن آن در تشخیصات، شناساییهای دقیقتری انجام خواهد داد. این ویژگی کمک خواهد کرد کمترین تغییرات را برای کارکرد صحیح این سیستم در سایر راهکارها انجام دهید و سازگاری و تطابق UEBA با سایر محصولات امنیتی بیشتر شود.
- نمایش: فرآیند نمایش شناساییهای سیستم UEBA و ایجاد واکنشهای مناسب با تهدیدات یکی از اصلیترین قسمتهای این سیستم است. واکنش به تهدیدات در سازمانها میتواند متفاوت باشد، به همین دلیل برخی از راهکارهای سیستم UEBA با ایجاد هشدارهایی تهدیدات را به اطلاع کاربر رسانده وبه کارشناس امنیت پیشنهاد میکنند موضوع را بیشتر بررسی کنند.
مزایای استفاده از UEBA
راهکارهای User and Entity Behavior Analysis به میزان قابل توجهی در شناسایی تهدیدات پیچیده سایبری تاثیر گذار هستند به خصوص آنهای که به راحتی میتوانند راهکارهای سنتی امنیت سایبری را دور بزنند. آنالیز رفتاری این راهکار در برابر تهدیدات داخلی و APTها بسیار تاثیر گذار است. در ادامه به چند مورد از مزایای این راهکار اشاره خواهیم کرد:
- شناسایی تهدیدات داخلی: این سیستم در شناسایی تهدیدات داخلی بسیار خوب عمل میکند. به دلیل اینکه بازیگران تهدیدات داخلی دسترسی معتبری به سیستمها دارند، شناسایی عملیات مخربانه آنها با استفاده از راهکارهای سنتی میتواند سخت و پیچیده باشند.
- پروفایل رفتاری و امتیازدهی ریسک: ایجاد پروفایل رفتاری کاربران و امتیازدهی ریسک به اولویت بندی هشدارهای امنیتی کمک میکند.
- شناسایی تهدیدات پیشرفته: استفاده از روشهای آنالیز پیشرفته برای شناسایی رفتارهای غیر معمول آنومالی در فعالیتهای کاربران، به این سیستم توانایی شناسایی تهدیدات پیشرفته و APT را میدهد.
- جلوگیری از نشت اطلاعات: لو رفتن و از درست رفت اطلاعات با استفاده از این سیستم که به طور دائمی ترافیک کاربران را زیر نظر میگیرد کاهش خواهد یافت.
- پاسخ بهینه به وقایع امنیتی: گزارشات دقیق از فعالیت کاربران که منجر به بروز وقایع امنیتی میشود، منجر به اتخاذ پاسخ بهینه در برابر وقایع امنیتی و بهبود چرخه پاسخ به وقایع خواهد دش.
- آنالیز طولانی مدت: نگهداری و آنالیز طولانی مدت اطلاعات در فرآیند فارنزیک و بررسی وضعیت امنیت سایبری سازمان بسیار مفید است.
- تطبیق سریعتر با تهدیدات جدید: با توجه به طراحی این سیستمها، آنها دائما در حال یادگیری الگوهای جدید هستند و این به معنی سازگاری و تطابق بیشتر با تهدیدات جدید است.
تفاوت UEBA و SIEM و EDR
سیستم SIEM یکی دیگر از راهکارهای امنیت سایبری است که با استفاده از ابزارها و تکنولوژیهای پیشرفته، یک دید جامع از وضعیت امنیتی فناوری اطلاعات سازمان میدهد. این سیستم با استفاده از دادهها و اطلاعات وقایع، الگوهای نرمال را شفاف کرده و در صورت مشاهده وضعیتهای غیر عادی هشدارهای مناسب را تولید کند. با این توصیفات شباهتهای بسیاری بین SIEM و UEBA به چشم میخورد. اما یک تفاوت اساسی بین این دو وجود دارد و آن هم نحوه شناسایی وقایع نرمال و غیر نرمال آن است. سامانههای SIEM ممکن است دارای تعدادی الگوی پیش فرض باشند و مابقی دادههای نرمال باید توسط کارشناسان امنیت تعریف شوند. مزیت این راهکار راه اندازی و بهره برداری سریع آن است.
اما سیستم UEBA نیاز به یادگیری ترافیک و رفتار کاربران دارد تا بتواند الگوی نرمال سازمان را شکل دهد و پس از آن با یادگیری مدوام خود به طور مکرر این الگو را بهبود دهد. از معایب این راهکار زمانبر بودن یادگیری بوده و راهکار سریعی برای افزایش امنیت سایبری نمی باشد. اما نیاز به پیکربندی اولیه کمتر و انطابق بیشتر و راحتتر با سایر راهکارهای فناوری اطلاعات یکی از نکات مثبت بسیار مهم این سیستم میباشد.
نوبت به EDR یا Endpoint Detection and Response میرسد که راهکار آغازین شناسایی براساس رفتار مشکوک است. این راهکار ابزاری برای مانیتورینگ نقاط پایانی برای شناسایی رفتارهای غیر معمول و واکنش سریع به این وقایع است. سامانه UEBA مکمل و در برخی مواقع قسمتی از EDR است تا شناسایی رفتارهای کاربران و ایجاد پروفایل رفتار کاربران با دقت بیشتری انجام شود. در واقع یکی از مهمترین و تاثیر گذارترین قابلیتهای که در انتخاب EDR باید به آن توجه کنید وجود سیستم UEBA در کنار سایر ویژگیهای آن میباشد.
0 دیدگاه