UEBA چیست؟
< استفاده از مطالب سایت فراکنش با ذکر منبع مجاز است.>
UEBA چیست؟
UEBA، روشی است که رفتارهای معمول و غیر معمول انسانها و تجهیزات را در داخل یک شبکه مدلسازی و شناسایی میکند. UEBAها دسته جدیدی از راهحلهای امنیتی هستند که از فناوریهای تجزیه و تحلیل نوآورانه ، از جمله یادگیری ماشین و یادگیری عمیق، برای کشف رفتارهای غیر عادی و مخاطره آمیز توسط کاربران ، ماشینها و اشیاء در شبکه استفاده میکنند.
در UEBA ، رویدادهای امنیتی و تجهیزات به روشهاس سنتی ردیابی و رصد نمیشوند. در عوض کاربران و موجودیتهای یک سامانه ردیابی میشود. همچنین سامانههای UEBA درکشف حملات ناشناخته کاربرد دارد. ممکن است نام کاربری و رمز ورود کارمندی سرقت شود، اما تقلید از رفتار عادی شخص در داخل شبکه تقریبا غیر ممکن است.
روش کار
- جمع آوری اطلاعات از چندین منبع:
یکی از نقاط قوت سامانههای UEBA توانایی آن در عبور از مرزهای سازمانی، سیستم های IT، منابع داده و تجزیه و تحلیل تمام دادههای موجود برای یک کاربر یا موجودیت خاص است.
برای مثال:
- Active Directory
- سیستمهای دسترسی مانند VPN و پروکسیها
- سیستمهای ضد بدافزار و آنتی ویروسها، فایروالها، سیستمهای تشخیص و پیشگیری از نفوذ (IDPS)
- دادههای منابع انسانی
- الگوی رفتاری
هکری که رمز عبور و نام کاربری شخصی را سرقت کرده است، نمیتواند دقیقاً مانند آن شخص در سیستم رفتار کند، مگر اینکه تحقیقات و تمرینات گستردهای انجام داده باشد. بنابراین، هنگامی که با نام کاربری آن شخص به سیستم وارد میشود، و رفتار هکر متفاوت از رفتار معمول آن کاربر است، و این زمانی است که هشدارهای سامانه ناهنجاری شروع میشود.
- در نظر گرفتن عدد ریسک برای هر فعالیت
به میزانی که، در مثال سرقت اکانت کاربر، انحراف از الگوی رفتاری ثبت شده کاربر وجود داشته باشد، سامانه پنترا به عدد ریسک آن کاربر یا ماشین میافزاید. هرچه این رفتار غیرمعمول تر باشد، میزان ریسک بالاتر خواهد بود
کاربردهای سامانههای تحلیل رفتاری
شناسایی تهدیدات داخلی
شناسایی حسابهای به خطر افتاده
کشف حملات brute-force
تشخیص تغییرات در مجوزها و ایجاد کاربران ارشد
تشخیص نقض در دادههای محافظت شده
تشخیص حملات Zero-Day
تشخیص حملات Fileless
تشخیص حملات Data Exfiltration
تشخیص تقلب و سو استفادههای مخابراتی
موارد فوقالذکر تنها بخشی از کاربردها و ویژگیهای استفاده از سامانههای UEBA است. بر طبق گزارش گارتنر در سال ۲۰۱۵ “طی سه سال آینده ، سکو های کارآمد UEBA به سامانههای محبوبی برای عملیات امنیتی و کشف حملات تبدیل خواهد شد. کشف وقایع امنیتی و تجزیه و تحلیل حملات حتی در حال حاضر نیز با سامانههای UEBA، بسیار آسان تر از آنچه در بسیاری از سیستم های نظارت امنیتی فعلی وجود دارد، خواهد بود.
تفاوت UEBA و SIEM
سامانههای مدیریت رویداد و اطلاعات امنیتی یا SIEM، مجموعهای پیچیده از ابزارها و فناوریهایی است که نمایی کلی از امنیت سیستم فناوری اطلاعات را نمایش میدهد. این سامانه با استفاده از دادهها و اطلاعات رویدادها ، به سازمان امکان میدهد الگوها و روندهای طبیعی را مشاهده کرده و در صورت وجود روندها و رویدادهای غیرطبیعی به شما هشدار میدهد. جالب اینجاست که UEBA نیز همان کار را انجام میدهد، با این تفاوت که از اطلاعات رفتار کاربر (و موجودیتها) برای تشخیص موارد نرمال و غیر نرمال استفاده میکند.
نکته اصلی آن است که SIEM مبتنی بر قوانین بوده و هکرهای پیشرفته به راحتی میتوانند از این قوانین سوء استفاده کنند و یا آنها را دور بزنند. علاوه بر این، قوانین SIEM برای تشخیص بلافاصله تهدیدهای رخ داده در زمان واقعی طراحی شده است، در حالی که حملات پیشرفته معمولاً در طی چند ماه یا چند سال انجام میشوند. ولی، UEBA مبتنی بر قوانین شامل امضای حمله نیست. در عوض، از تکنیکهای محاسبه میزان ریسک و الگوریتمهای پیشرفته، جهت تشخیص ناهنجاریها در طول زمان استفاده میکند.
یکی از بهترین روشها برای امنیت IT استفاده همزمان از SIEM و UEBA برای داشتن امنیت بیشتر و توانایی تشخیص بهتر ناهنجاریها است.
سکوی تحلیل رفتاری پنترا (Panthera)
با تعاریف ارائه شده سکوی تحلیل رفتاری «پنترا»ی شرکت فراکنش یک UEBA به حساب میآید. نکتهی حائز اهمیت در سامانههای مبتنی بر رفتار آن است که، با توجه به آنکه تشخیص رفتار نرمال و غیر نرمال وابستگی شدیدی به کسب و کار هر سازمان دارد. رفتار کاربران، سامانهها و اشیاء را نمیتوان مستقل از ماهیت کاری سازمان در نظر گرفت. به عبارتی رفتار نرمال در حوزه مخابرات با رفتار نرمال در حوزه بانکی متفاوت است. در واقع تکنیکهای تحلیل رفتار تکنیکهای داده محور هستند که برای تجزیه و تحلیل آنها نیازمند تولید مدل رفتاری هستیم.
اهداف پشت طراحی سکوی پنترا عبارتند از:
- فراهم سازی بینش عمیق از الگوهای رفتاری کاربران و سامانههای موجود در شبکه، بخصوص با رویکرد تحلیل امنیتی
- کمک به ارتقاء دقت تشخیص ناهنجاری در حوزههایی که سامانههای امنیتی مبتنی بر قاعده موجود بدانها کمتر پرداخته اند
- هدفگیری حوزههای تحلیلی غیرقابل دسترسی توسط سامانههای تحلیل امنیتی مبتنی بر قاعده
- بهره گیری از روشهای نوین هوش مصنوعی در تحلیل امنیتی دادهها و تشخیص حملات
- ایجاد زیرساخت تجمیع و تحلیل دادههای باارزش امنیتی در شبکه
تولید مدل رفتاری بر اساس نیازمندی هر سازمان و هر سامانه و با توجه به جنس دادهها، ساختار کسب و کار و جنس کاربران، توسط تیمهای شرکت فراکنش متشکل از متخصصان علم داده، مهندسان داده، متخصصین حوزه کاری و کسب و کار و کارشناسان امنیت، یکبار تولید شده و پس از آن مورد استفاده قرار میگیرد.