UEBA چیست؟

/در /توسط

< استفاده از مطالب سایت فراکنش با ذکر منبع مجاز است.>

UEBA چیست؟

UEBA، روشی است که رفتارهای معمول و غیر معمول انسان‌ها و تجهیزات را در داخل یک شبکه مدلسازی و شناسایی می‌کند. UEBAها دسته جدیدی از راه‌حل‌های امنیتی هستند که از فناوری‌های تجزیه و تحلیل نوآورانه ، از جمله یادگیری ماشین و یادگیری عمیق، برای کشف رفتارهای غیر عادی و مخاطره آمیز توسط کاربران ، ماشین‌ها و اشیاء در شبکه استفاده می‌کنند.

در UEBA ، رویدادهای امنیتی و تجهیزات به روش‌هاس سنتی ردیابی و رصد نمی‌شوند. در عوض کاربران و موجودیت‌های یک سامانه ردیابی می‌شود. همچنین سامانه‌های UEBA درکشف حملات ناشناخته کاربرد دارد. ممکن است نام کاربری و رمز ورود کارمندی سرقت شود، اما تقلید از رفتار عادی شخص در داخل شبکه تقریبا غیر ممکن است.

روش کار

  • جمع آوری اطلاعات از چندین منبع:

یکی از نقاط قوت سامانه‌های UEBA توانایی آن در عبور از مرزهای سازمانی، سیستم های IT، منابع داده و تجزیه و تحلیل تمام داده‌های موجود برای یک کاربر یا موجودیت خاص است.

برای مثال:

  • Active Directory
  • سیستم‌های دسترسی مانند VPN و پروکسی‌ها
  • سیستم‌های ضد بدافزار و آنتی ویروس‌ها، فایروال‌ها‌، سیستم‌های تشخیص و پیشگیری از نفوذ (IDPS)
  • داده‌های منابع انسانی

 

  • الگوی رفتاری

هکری که رمز عبور و نام کاربری شخصی را سرقت کرده است، نمی‌تواند دقیقاً مانند آن شخص در سیستم رفتار کند، مگر اینکه تحقیقات و تمرینات گسترده‌ای انجام داده باشد. بنابراین، هنگامی که با نام کاربری آن شخص به سیستم وارد می‌شود، و رفتار هکر متفاوت از رفتار معمول آن کاربر است، و این زمانی است که هشدارهای سامانه ناهنجاری شروع می‌شود.

  • در نظر گرفتن عدد ریسک برای هر فعالیت

به میزانی که، در مثال سرقت اکانت کاربر، انحراف از الگوی رفتاری ثبت شده کاربر وجود داشته باشد، سامانه پنترا به عدد ریسک آن کاربر یا ماشین می‌افزاید. هرچه این رفتار غیرمعمول تر باشد، میزان ریسک بالاتر خواهد بود

کاربردهای سامانه‌های تحلیل رفتاری

 شناسایی تهدیدات داخلی

 شناسایی حساب‌های به خطر افتاده

کشف حملات brute-force

 تشخیص تغییرات در مجوزها و ایجاد کاربران ارشد

 تشخیص نقض در داده‌های محافظت شده

 تشخیص حملات Zero-Day

 تشخیص حملات Fileless

 تشخیص حملات Data Exfiltration

 تشخیص تقلب و سو استفاده‌های مخابراتی

موارد فوق‌الذکر تنها بخشی از کاربردها و ویژگی‌های استفاده از سامانه‌های UEBA است. بر طبق گزارش گارتنر در سال ۲۰۱۵ “طی سه سال آینده ، سکو های کارآمد UEBA به سامانه‌های محبوبی برای عملیات امنیتی و کشف حملات تبدیل خواهد شد. کشف وقایع امنیتی و تجزیه و تحلیل حملات حتی در حال حاضر نیز با سامانه‌های UEBA، بسیار آسان تر از آنچه در بسیاری از سیستم های نظارت امنیتی فعلی وجود دارد، خواهد بود.

تفاوت UEBA و SIEM

سامانه‌های مدیریت رویداد و اطلاعات امنیتی یا SIEM، مجموعه‌ای پیچیده از ابزارها و فناوری‌هایی است که نمایی کلی از امنیت سیستم فناوری اطلاعات را نمایش می‌دهد. این سامانه با استفاده از داده‌ها و اطلاعات رویدادها ، به سازمان امکان می‌دهد الگوها و روندهای طبیعی را مشاهده کرده و در صورت وجود روندها و رویدادهای غیرطبیعی به شما هشدار می‌دهد. جالب اینجاست که UEBA نیز همان کار را انجام می‌دهد، با این تفاوت که از اطلاعات رفتار کاربر (و موجودیت‌ها) برای تشخیص موارد نرمال و غیر نرمال استفاده می‌کند.

نکته اصلی آن است که SIEM مبتنی بر قوانین بوده و هکرهای پیشرفته به راحتی می‌توانند از این قوانین سوء استفاده کنند و یا آنها را دور بزنند. علاوه بر این، قوانین SIEM برای تشخیص بلافاصله تهدیدهای رخ داده در زمان واقعی طراحی شده است، در حالی که حملات پیشرفته معمولاً در طی چند ماه یا چند سال انجام می‌شوند. ولی، UEBA مبتنی بر قوانین شامل امضای حمله نیست. در عوض، از تکنیک‌های محاسبه میزان ریسک و الگوریتم‌های پیشرفته، جهت تشخیص ناهنجاری‌ها در طول زمان  استفاده می‌کند.

یکی از بهترین روش‌ها برای امنیت IT استفاده همزمان از SIEM و UEBA برای داشتن امنیت بیشتر و توانایی تشخیص بهتر ناهنجاری‌ها است.

سکوی تحلیل رفتاری پنترا (Panthera)

با تعاریف ارائه شده سکوی تحلیل رفتاری «پنترا»ی شرکت فراکنش یک UEBA به حساب می‌آید. نکته‌ی حائز اهمیت در سامانه‌های مبتنی بر رفتار آن است که، با توجه به آنکه تشخیص رفتار نرمال و غیر نرمال وابستگی شدیدی به کسب و کار هر سازمان دارد. رفتار کاربران، سامانه‌ها و اشیاء‌ را نمی‌توان مستقل از ماهیت کاری سازمان در نظر گرفت. به عبارتی رفتار نرمال در حوزه مخابرات با رفتار نرمال در حوزه بانکی متفاوت است. در واقع تکنیک‌های تحلیل رفتار تکنیک‌های داده محور هستند که برای تجزیه و تحلیل آن‌ها نیازمند تولید مدل رفتاری هستیم.

اهداف پشت طراحی سکوی پنترا عبارتند از:

  1. فراهم سازی بینش عمیق از الگوهای رفتاری کاربران و سامانه‌های موجود در شبکه‌، بخصوص با رویکرد تحلیل امنیتی
  2. کمک به ارتقاء دقت تشخیص ناهنجاری در حوزه‌هایی که سامانه‌های امنیتی مبتنی بر قاعده موجود بدان‌ها کمتر پرداخته اند
  3. هدفگیری حوزه‌های تحلیلی غیرقابل دسترسی توسط سامانه‌های تحلیل امنیتی مبتنی بر قاعده
  4. بهره گیری از روش‌های نوین هوش مصنوعی در تحلیل امنیتی داده‌ها و تشخیص حملات
  5. ایجاد زیرساخت تجمیع و تحلیل داده‌های باارزش امنیتی در شبکه‌

تولید مدل رفتاری بر اساس نیازمندی هر سازمان و هر سامانه و با توجه به جنس داده‌ها، ساختار کسب و کار و جنس کاربران، توسط تیم‌های شرکت فراکنش متشکل از متخصصان علم داده، مهندسان داده، متخصصین حوزه کاری و کسب و کار و کارشناسان امنیت، یکبار تولید شده و پس از آن مورد استفاده قرار می‌گیرد.