“تجزیه و تحلیل رفتار کاربران و موجودیت‌ها”: موارد استفاده برتر

بررسی اجمالی

در دنیای امروز، حملات به سیستم‌های کامپیوتری به شدت در حال پیشرفت و پیچیده شدن هستند. متأسفانه اغلب راه‌کارهای سنتی امنیتی، قادر به کشف و تشخیص این حملات جدید نبوده و در نتیجه هر روز اخبار زیادی درباره  data breach  شنیده می‌شود. اگرچه تحلیل‌گران امنیت هر آن‌چه را که می‌توانند با استفاده از ابزارهای امنیتی سنتی انجام می‌دهند، اما این ابزارها آن‌ها را به باتلاقی از هشدارها فرو برده که به سختی قابل فهم بوده و در نتیجه اغلب در تشخیص سریع و مقابله با تهدیدات پیشرفته غیرقابل استفاده هستند.

“تجزیه و تحلیل رفتار کاربران و موجودیت‌ها” (UEBA) یک راه‌کار امنیت سایبری است که به رفتار عادی کاربران توجه داشته و به شناسایی رفتارهای غیرعادی که دارای انحراف از الگوهای طبیعی هستند، می‌پردازد. برای مثال، اگر یک کاربر مشخص معمولا روزانه ۱۰ مگابایت دانلود فایل داشته باشد اما به یک‌باره به میزان یک گیگابایت فایل دانلود کند، راه‌کارهای UEBA قادر به تشخیص این ناهنجاری بوده و بلافاصله اعلام هشدار می‌کنند. راه‌کارهای UEBA تمام داده‌های منابع مختلف را به منظور تجزیه و تحلیل و ترکیب خودکار نتایج با یکدیگر به کار می‌گیرند و با استفاده از ابزارهایی مانند یادگیری ماشین، هوش مصنوعی، تجزیه و تحلیل‌های پیشرفته، غنی‌سازی داده‌ها و علوم داده، رویکردی متفاوت برای مقابله‌ی موثر با تهدیدات پیشرفته اتخاذ می‌کنند. به دنبال استفاده از این راه‌کارها، تحلیل‌گران به جای غرق شدن در انبوهی از هشدارها، حجمی کمتر اما دقیق‌تر از هشدارها را دریافت می‌کنند. سیستم‌های مبتنی بر یادگیری ماشین به آسانی می‌توانند با مدل‌سازی رفتاری خود را تنظیم کنند. با توجه به این ویژگی، سربار نگهداری راه‌کارهای UEBA نیز برای سازمان مربوطه بسیار پایین بوده و سازمان به یک راه‌کار امن در برابر حملات ناشناخته (حتی حملاتی که در آینده طراحی می‌شوند) دست خواهد یافت که به جای جستجوی مجموعه‌ای محدود و از پیش تعریف شده از فعالیت‌ها به جستجوی فعالیت‌های غیرعادی می‌پردازد. در ادامه‌ی این مطلب، به توصیف مهم‌ترین موارد استفاده، که تنها راه موثر برای رسیدگی به آن‌ها راه‌کارهای UEBA هستند، پرداخته خواهد شد.

Credentialهای^[۲] به مخاطره افتاده^[۳]

credentialهای حساب‌های کاربری، کلید دسترسی قانونی به سیستم‌ها بوده و به سرقت رفتن آن‌ها اصلی‌ترین ابزار data breach است. زمانی که یک هکر از credentialهای سرقتی استفاده می‌کند، ابزارهای سنتی امنیت قادر به تشخیص دسترسی نامجاز نیستند. این سناریو به حمله‌کننده اجازه می‌دهد که به راحتی به داده‌های حساس و منابع داخلی دسترسی یابد. از آن‌جایی‌که ویران‌گر بودن نتیجه‌ی به مخاطره افتادن credentialها کاملا واضح است، در نظر گرفتن این مورد استفاده برای یک راه‌کار UEBA ضروری است. نحوه دستیابی حمله‌کننده به credentialها مساله‌ای نامهم بوده و یک راه‌حل UEBA باید با استفاده از اطلاعات موجود درباره credentialها، deviceها و آدرس‌های IP کاربران، قادر به تشخیص credentialهای به مخاطره افتاده باشد.

به مخاطره افتادن کاربر ممتاز^[۴]

یک کاربر ممتاز به صورت مجاز به منابع با ارزش مانند پایگاه‌های داده حساس، سیستم مدیریت دسترسی کاربران یا سیستم احراز هویت دسترسی دارد. زمانی که یک حمله‌کننده به credential‌های یک کاربر ممتاز دسترسی پیدا کند، حمله می‌تواند مستقیما به سمت دارایی‌های ارزشمند سوق داده شود. در صورتی که از یک سیستم سنتی امنیت استفاده شده باشد و تشخیص آغاز و پیگیری اقدامات درباره یک کاربر ممتاز به مخاطره افتاده ممکن نباشد، نتیجه می‌تواند ویران‌گر باشد. هکرها نیز از این منفعت آگاه بوده و به همین دلیل سوء‌استفاده از حساب‌های کاربری ممتاز در رتبه چهارم بیشترین تاکتیک به کار رفته در data breach‌های گزارش شده می‌باشد. از آنجا که الگوی کاری یک کاربر ممتاز ممکن است در قالب یک الگوی منظم و قابل پیش‌بینی قرار نگیرد، تشخیص به مخاطره افتادن حساب کاربری ممتاز دشوارتر است. به عنوان مثال ممکن است یک کاربر ممتاز در پاسخ به موارد اورژانسی، اعمالی غیرمرتبط انجام دهد. توانایی بررسی این متغیرها و تشخیص به مخاطره افتادن یک کاربر ممتاز با اطمینان مناسب، یک مورد استفاده‌ی اساسی برای یک راه‌کار UEBA است. یک راه‌کار UEBA باید به نظارت بر فعالیت‌های مشکوک کارکنان و پیمان‌کاران جدا شده از سازمان پرداخته و خطاهای انسانی کاربرانی را که با داده‌های حساس سروکار داشته و آن‌ها را در معرض خطر قرار می‌دهند، شناسایی کند.

نظارت بر دارایی‌های مدیران

دستیابی به دارایی‌های محاسباتی مدیران (مانند لپ‌تاپ مدیرعامل یا مدیر مالی) اهدافی بدیهی برای هکرها است. این سیستم‌‌ها ممکن است حامل اطلاعات حساس در مورد درآمدها، برنامه‌ریزی بودجه، برنامه‌ریزی محصولات و خدمات، و یا اطلاعات رقابتی سازمان باشند. یک راه‌کار UEBA باید به طور خودکار برای شناسایی سیستم‌های مدیران و استفاده و کاربرد نامعمول از آن‌ها، مدل‌های دارایی و رفتار ایجاد کند. سوء‌استفاده یک کاربر مدیر قانونی از این دارایی‌ها در مورد استفاده ۵ یعنی “سوء‌استفاده از دسترسی داخلی” بررسی خواهد شد.

تشخیص سیستم/host/ device به مخاطره افتاده

به دست گرفتن کنترل سیستم‌ها، hostها یا deviceها در شبکه سازمانی و انجام حملاتی مخفیانه برای ماه‌ها یا سال‌ها از طریق آن‌ها روالی عادی برای حمله‌کنندگان است. بر اساس گزارشات، زمان تشخیص نقض داده پس از وقوع آن در شرکت‌ها به طور متوسط ۵۶۲ روز است. این زمان‌بندی عجیب خود تاکید دیگری دال بر اهمیت مورد استفاده سیستم /host/device به مخاطره افتاده در یک راه‌کار UEBA در راستای تشخیص و توقف سریع حملات ‌است. برای رسیدگی به این مورد استفاده، یک راه‌کار UEBA باید بر چند جهت نظارت کند:

• حساب‌های کاربری برای شناسایی فعالیت‌های غیرطبیعی، هشدار به تحلیل‌گران و فراهم کردن داده‌هایی موردنیاز توسط تحلیل‌گران برای آگاهی از به مخاطره افتادن یک حساب کاربری ممتاز؛

• سرورها برای تشخیص انحراف از فعالیت‌های مشخص شده در خط مبنا^[۵]؛

• deviceهای شبکه برای نظارت بر ترافیک شبکه در طول زمان، منبع ارتباط‌های نامعتمد، پروتکل‌های ناامن، و دیگر نشانه‌های رفتار خرابکارانه؛ و

• نظارت بر آنتی‌ویروس/بدافزارها برای تشخیص از کار افتادن آن‌ها.

سوء‌استفاده از دسترسی داخلی

درحالی‌که تعداد زیادی از شناخته‌شده‌ترین data breach‌ها به وسیله خرابکاران بیرونی انجام شده است، اما کاربران داخلی نیز منبعی اصلی برای از دست رفتن داده‌های حساس هستند. با توجه به گزارشات، بازیگران اصلی داخلی در breachهای گزارش شده عبارت‌اند از مدیران سیستم‌ها، کاربران نهایی و توسعه‌دهندگان سیستم. با این وجود، تشخیص تهدیدات داخلی مساله‌ای چالشی است؛ زیرا در اغلب ابزارهای امنیتی یک رفتار مورد اعتماد منجر به هشدار نخواهد شد و در نتیجه، تهدیدگر یک کاربر مشروع به نظر خواهد رسید. کارکنان فعلی، کارکنان سابق، پیمانکاران، شرکای تجاری و همکاران می‌توانند از جمله خراب‌کاران بالقوه در این‌جا باشند. در این مورد، یک راه‌کار UEBA باید قادر به تشخیص فعالیت‌های ریسکی خارج از خط مبدا عادی کاربران باشد. راه‌کار UEBA با تحلیل رفتار می‌تواند به تیم‌های امنیتی در شناسایی کشف نشانه‌های تهدیدات داخلی و شناسایی و رفع حملات کمک کند. بررسی ورود به سیستم در ساعات نامتعارف، به دفعات نامتعارف و دستیابی به سیستم‌ها و داده‌هایی نامعمول توسط کاربر؛ بررسی تغییر مجوزهای دسترسی به سیستم‌های حیاتی؛ مرتبط کردن ترافیک شبکه با هوش تهدید برای کشف بدافزارهای در ارتباط با حمله‌کننده بیرونی؛ و تشخیص انتقال غیرمجاز اطلاعات^[۶] با ارتباط دادن وقایع نامربوط به یکدیگر (مانند وارد کردن یک usb، استفاده از یک سرویس ایمیل شخصی، یا فضای ابری نامجاز یا چاپ بیش از حد) می‌تواند برخی از تکنیک‌های استفاده شده توسط UEBA باشد. تشخیص و جلوگیری از رمزگذاری حجم زیادی از داده‌ها و lateral movement برخی دیگر از راه‌های کشف سوء‌استفاده داخلی هستند.

تشخیص lateral movement

فرایند lateral movement شامل حرکت سیستماتیک در یک شبکه در جستجوی داده‌ها و دارایی‌های حساس می‌باشد. با استفاده از lateral movement، یک breach می‌تواند از طریق بی‌ضررترین نقطه‌ی ورودی شبکه‌ی یک سازمان به سرعت تبدیل به فاجعه شود. در یک فرایند lateral movement، حمله با دسترسی به یک حساب کاربری سطح پایین شروع شده و سپس، هکر سایر دارایی‌ها را (با هدف یافتن نقاط ضعف در راستای تغییر حساب‌های کاربری، ماشین‌ها و آدرس‌های IP) جستجو می‌کند. حمله‌کننده در صورت دستیابی به اختیارات مدیریتی، به هدف نهایی خود خواهد رسید. با توجه به پراکندگی حمله lateral movement‌ در طول محیط IT‌، حساب‌های کاربری متفاوت، آدرس‌های IP و ماشین‌های مختلف، کشف این نوع حمله توسط سیستم‌های سنتی امنیت به شدت سخت است. بنابراین مورد استفاده‌ی تشخیص lateral movement توسط یک راه‌کار UEBA برای تشخیص breach‌های این‌چنینی ضروری است. راه‌کار UEBA، با استفاده از تحلیل رفتار، ارتباط میان فعالیت‌های به ظاهر نامرتبط را مشخص کرده و قبل از هر آسیبی از وقوع این‌گونه حملات جلوگیری خواهد کرد.

تشخیص انتقال غیرمجاز اطلاعات

انتقال غیرمجاز اطلاعات همان‌طور که مشخص است به معنی انتقال داده‌ها به صورت غیرقانونی به خارج از سازمان است. انتقال غیرمجاز اطلاعات می‌تواند به صورت دستی با کپی داده‌ها روی deviceهای فیزیکی یا از طریق اینترنت، یا به صورت خودکار و با آلوده کردن سیستم‌های محلی به بدافزارها روی دهد. درباره‌ی این مورد استفاده، راه‌کار UEBA بر ترافیک شبکه نظارت کرده تا بتواند مراکز را کنترل کرده و سیستم‌های آلوده که داده‌ها را به افراد غیرمجاز ارسال می‌کنند، شناسایی کند. UEBA بر روی پروتکل‌هایی که امکان انتقال حجم عظیمی از داده را فراهم کرده به جستجوی مقادیر نامعمول ترافیک شبکه که متغایر با خط مبدا کاربر یا ماشین انتقال‌دهنده باشد، خواهد پرداخت. همچنین، استفاده از web applicationهای سازمان توسط عوامل بیرونی و web applicationهای بیرونی توسط عوامل داخلی نیز در اینجا مورد نظارت قرار می‌گیرد. علاوه‌براین، UEBA ایمیل‌های فوروارد شده یا ارسال شده به سایر موجودیت‌ها غیر از موجودیت‌های دریافت‌کننده‌ی اصلی را بررسی می‌کند. این راه‌کار بر mobile workforce نیز برای شناسایی اقدامات نامتعارفی که ممکن است نشان‌دهنده‌ی نشت اطلاعات از طریق deviceهای موبایل باشد، نظارت می‌کند.

قفل شدن حساب‌های کاربری

قفل شدن حساب‌های کاربری یک ویژگی امنیتی است که تلاش می‌کند از دسترسی به یک حساب کاربری با حدس‌های پیاپی نام کاربری و گذرواژه جلوگیری کند. قفل شدن حساب‌های کاربری بعد از آن‌که تعداد دفعات ورود ناموفق به حساب از مقداری مجاز بیشتر شد روی می‌دهد. به طور معمول، پس از قفل شدن یک حساب کاربری، کاربر باید مقدار زمانی مشخص تا امکان تلاش مجدد صبر کند. در برخی موارد، کاربر باید به یک مدیر درخواست دهد تا مجددا حق ورود به سیستم را برای او فراهم کند. قفل شدن حساب‌های کاربری مقدار قابل توجهی از زمان مدیریتی را مصرف می‌کند. در برخی سازمان‌های بزرگ، به طور معمول از یک سرپرست تمام وقت در طول سال برای بررسی قفل شدن حساب‌های کاربری برای تعیین سهوی یا عمدی بودن قفل شدن‌ها به دلایلی ساده مانند انگشت‌های بزرگ یک کاربر یا نشانه‌ای از یک تلاش برای به دست گرفتن کنترل یک حساب کاربری، استفاده می‌شود. برای تعیین میزان ریسک، مدیران اغلب ۴ الی ۵ ساعت به جستجوی شرایط و حساب‌های مرتبط با هر قفل شدن خواهند پرداخت. این مورد استفاده UEBA به خودکارسازی فرایند ارزیابی ریسک انجام اقدام متقابل کمک می‌کند. در صورت انجام مناسب، راه‌کار UEBA می‌تواند نیاز به وجود یک سرپرست تمام وقت سالانه در شرکت‌های بزرگ برای بررسی حساب‌های کاربری قفل شده را حذف کند.

سوء‌استفاده از service account

service accountها به جای حساب‌های سیستمی معمولی و برای اجرای application serviceهای خاص استفاده می‌شوند. ابزارهای امنیتی معمولی هیچ شفافیتی نسبت به service accountهای موجود در شبکه ارائه نکرده یا نهایتا شفافیت محدودی نسبت به آن‌ها ارائه می‌کنند. امتیازات بالایی که service accountها در اختیار دارند، آن‌ها را به اهدافی ارزشمند برای حمله‌کنندگان تبدیل می‌کند. سوء‌استفاده از service accountها یک مورد استفاده‌ی ارزشمند برای UEBA است. با به‌کار بردن قابلیت‌های تحلیل رفتاری، راه‌کار UEBA‌ به طور خودکار service accountها را شناسایی کرده و در صورت وقوع هر رفتار نامتعارفی در آن‌ها اعلام هشدار خواهد کرد.

بررسی هشدار امنیتی

کار کردن با ابزارهای امنیتی یک فرایند طاقت‌فرسا است. هشدارها به طور معمول شامل داده‌هایی محرمانه در فایل‌های log خام هستند که حتی برای تحلیل‌گران حرفه‌ای نیز به آسانی قابل درک نیستند. انجام تحقیقات در زمینه‌ی هشدارها نیازمند ایجاد وابستگی مابین فایل‌های log مختلف به صورت دستی، تفسیر معنی و جمع‌آوری دستی منابع داده‌ی کمکی برای به دست آوردن سرنخ‌ها، و صرف زمانی قابل توجه برای ریشه‌یابی وقوع هشدار است. مورد استفاده‌ی بررسی هشدار امنیتی، راه دیگری است که UEBA می‌تواند به طرز چشمگیری بهره‌وری تحلیل‌گران SOC را افزایش دهد. UEBA همراه با یک راه‌کار SIEM مدرن از جداول زمانی ساخت ماشین استفاده کرده و رابط^[۷] بهتری برای کشف تهدیدات حتی توسط تحلیل‌گران تازه‌کارتر ارائه می‌کند. یک جدول زمانی ساخت ماشین، به جای نمایش رویدادهای گسسته، نتایج را همراه با مفهوم و امتیاز ریسک برای کمک به دستیابی سریع به ریشه‌ی تهدید و نحوه‌ی سریع برطرف کردن آن (در صورت نیاز) ارائه می‌کند.

[۱] User and Entity Behavior Analytics

[۲] منظور از credentialها، ابزارهای احراز هویت مانند نام‌های عبور و گذرواژه‌ها هستند.

[۳] Compromised

[۴] Privileged user

[۵] Baseline

[۶] Data exfiltration

[۷] Interface