در بخش اول مقاله راهکار UEBA چیست؟ به معرفی UEBA و اجزای آن پرداختیم و نحوه کار آن را مورد بررسی قرار دادیم. همچنین تفاوت راهکار UEBA با UBA را بیان کردیم و دلایل نیاز به وجود یک راهکار UEBA در سازمان را تشریح نمودیم. در بخش دوم مقاله به ببرسی مزایا و معایب راهکار UEBA و نقش یادگیری ماشین در این راهکار پرداختیم. در بخش سوم و پایانی این مقاله، به بررسی اصول مهم در راهکارهای UEBA پرداخته و نقش مهم آن را در کنار راهکار SIEM بررسی خواهیم کرد.
اصول مهم در راهکارهای تجزیهوتحلیل رفتار کاربر و موجودیت
وقتی که سیستم UEBA آمادهبهکار باشد، چندین اصل وجود دارد که به شما برای حصول اطمینان از میزان ایمن بودن سیستم کمک کرده و بهترین نتیجه را برای سرمایهگذاری شما دارد.
برخی از این راهنماییهای امنیتی هم در UEBA و هم انواع دیگر نرمافزارهای امنیتی متداول هستند. نحوهی استفاده از این سیستمها یکی از حیاتیترین عناصر در بالا بردن سطح امنیت است و بستگی به کارمندان شما و دانش آنها از بهترین راهکارهای امنیت سایبری دارد.
آموزش کارمندان
یکی از مهمترین عناصر در استفادهی درست از یک سیستم UEBA این است که اطمینان حاصل کنید کارمندان شما دارای دانش و مهارتهای ضروری برای کار با آن سیستمها هستند. نمونههای یادداشتهای (Memo Templates) در امنیت سایبری میتوانند اهمیت امنیت سایبری را به کارمندان شما نشان دهند و شما باید بتوانید آگاهی امنیتی و بهترین راهکارهای امنیت سایبری را در طول سال افزایش دهید. این امر هم برای سیستمهای UEBA و هم انواع دیگر نرمافزارهای امنیتی صدق میکند.
تهدیدات داخلی را در نظر بگیرید
یکی از نکات خاصتر در مورد کار کردن با سیستمهای UEBA این است که اطمینان حاصل کنید که در زمان ایجاد قواعد و سیاستها برای شناسایی حملات، کل وضعیت تهدید مدنظر قرار گرفته است. یکی از بزرگترین مزیتهای UEBA این است که میتوانید تهدیدات داخلی را بهخوبی تهدیداتی که از بیرون سازمان وارد میشوند شناسایی کنید، اما فقط به شرطی که سیستم خود را طوری پیکربندی کرده باشید که آنها را جستجو کنند.
محدودیت دسترسی
ایمنسازی سیستم UEBA، مثل هر سیستم دیگری بستگی به این دارد که سطح دسترسی مناسبی را به کارمندان مناسب ارائه کنید. نباید به هرکسی اجازه بدهید به سیستم UEBA دسترسی داشته باشد، بلکه فقط افراد ضروری باید بتوانند این دادهها را ببینند و همچنین فقط این افراد باید از سیستم هشدار دریافت کنند.
آگاهی از بالا رفتن سطح دسترسی
نباید حسابهای کاربری که سطح دسترسی بالا ندارند را بیضرر دانست. هکرها معمولاً این حسابها را هدف قرار میدهند و بعد سعی میکنند که سطح دسترسی را بالا ببرند تا به سیستمهای حساس نفوذ نمایند. سیستمهای UEBA میتوانند به شناسایی بالا رفتن سطح دسترسی غیرمجاز کمک کنند و شما باید نرمافزار خود را طوری پیکربندی کنید که نسبت به این رخداد به شما هشدار دهد.
استفاده از ابزار دیگر
نباید فرایندها و ابزار UEBA را جایگزینی برای سیستمهای مانیتورینگ ابتدایی مثل سیستمهای شناسایی نفوذ یا IDS دانست. سیستمهای UEBA مکملی بر زیرساخت مانیتورینگ قدیمی هستند تا جایگزین آنها.
راهکار UEBA با SIEM چه تفاوتی دارد
یکی دیگر از مواردی که باعث سردرگمی بسیاری از تحلیلگران امنیتی میشود، تفاوت بین UEBA و SIEM است. در این بخش نگاهی به تفاوت بین آنها خواهید انداخت.
تفاوت ساده این است که سامانه مدیریت وقایع و امنیت اطلاعات یا SIEM یعنی استفاده از مجموعهی پیچیدهای از ابزارها و تکنولوژیها، برای اینکه دیدگاه جامعی از امنیت سیستمهای IT به دست آید. این راهکار از اطلاعات رخداد و داده استفاده کرده و به شما این توانایی را میدهد که الگوها و روندهایی را ببینید که عادی هستند و همچنین وقتی که روندها و رخدادهای غیرعادی اتفاق بیافتد، به شما هشدار میدهد. UEBAنیز همانطور کار میکند، زیرا از اطلاعات رفتار کاربر و موجودیت استفاده مینماید تا مشخص کند که چه چیزی عادی و چه چیزی غیرعادی است.
اگر در حال حاضر از یک ابزار SIEM جهت مانیتور کردن فعالیت کاربر برای مدیریت تهدید و تطبیقپذیری قانونی استفاده میکنید، عالی است. این یعنی از بقیه جلوتر هستید. SIEM نقطهی شروعی عالی برای تجزیهوتحلیل امنیتی است، زیرا رخدادهای سیستم را که در فایروالها، Logهای سیستمعامل، Logهای ترافیک شبکه و غیره ثبت میشوند، مانیتور میکند.
اگر یک SIEM دارید، ممکن است از خودتان بپرسید که چه نیازی به UEBA وجود دارد؟ در نگاه اول UEBA و SIEM خیلی شبیه به هم به نظر میرسند، اما با بررسی دقیقتر متوجه میشویم که عملکردشان متفاوت است.
با وجود SIEM، چه نیازی به UEBA است؟
سؤال بسیار مهمی است که پاسخ آن به بزرگ کسبوکار بستگی دارد و اینکه انتظار میرود سیستمهای شناسایی نفوذ چه کاری انجام دهد.
جواب نهایی این است. SIEMها یک ابزار مدیریت امنیتی قدرتمند هستند، اما معمولاً دارای قابلیت شناسایی تهدید و پاسخ به آن بهطور هوشمند نیستند. مهاجمان پیشرفته، نسبتاً بهآسانی میتوانند آنها را دور بزنند زیرا تمرکز این ابزارها بیشتر روی تهدیدات Real-Time است تا حملات گسترده. راهکارهای UEBA توانایی شناسایی تهدیداتی را دارند که ممکن است در مدت زمان طولانیتری رخ دهند و بسیار پیشرفتهتر باشند. با استفاده از هر دو ابزار کنار هم، سازمانها میتوانند با کارآمدی بسیار بیشتری در مقابل تهدیدات از خود دفاع کنند.
UEBA با تمرکز کمتر روی رخدادهای سیستم و تمرکز بیشتر روی فعالیتهای بهخصوص کاربر، پروفایلی از یک کاربر براساس الگوهای استفادهی وی میسازد و اگر رفتاری غیرعادی ببیند، هشداری را صادر میکند. معمولاً هشدارهای UEBA میتوانند از طریق ایمیل و SMS ارسال شوند یا حتی در SIEM شما نمایش داده شوند.
بااینوجود، ملاحظاتی وجود دارند که در هنگام تصمیمگیری در مورد اضافه کردن UEBA به SIEM باید به آنها فکر کرد:
- مشخص کردن اینکه آیا میخواهید SIEM دادههای رخداد امنیتی که توسط دستگاههای امنیتی، زیرساخت شبکه، سیستمها و برنامههای کاربردی ایجاد شدهاند را تجزیهوتحلیل کند یا اینکه UEBA بینش عمیقی نسبت به اینکه کاربران در یک سیستم چه کاری انجام میدهند (فعالیت و الگوهای دسترسی به فایل آنها) پیدا کند یا خیر.
- موارد کاربرد نیز به تیم امنیت کمک میکنند الزامات تصمیمگیری در مورد اینکه از چه راهکارهایی استفاده شود را شناسایی، تصریح و اولویتبندی کنند. همچنین راه خوبی است برای اینکه تفاوت بین این تکنولوژیهای مکمل بهدرستی درک شود.
اگر پروژهای در مورد تطبیقپذیری دارید و میخواهید فعالیت مرتبط با دسترسی را پیگیری کنید، در ادامه چندین مورد کاربرد SIEM در این مورد مطرح میگردد:
- گزارشگیری تطبیقپذیری
- مانیتورینگ رخدادها: فعالیت دسترسی، دسترسی به داده، فعالیت برنامه کاربردی و مدیریت رخداد
از طرف دیگر اگر نگران تهدیدات داخلی و حفاظت از داراییهای دیجیتال سازمان هستید، بهتر است به UEBA فکر کنید. چندین مورد کاربرد در ادامه مطرح میگردد:
- امنیت سازمان در مقابل تهدیدات داخلی
- حفاظت از سازمانهایی که IP ارزشمند یا دادههای حساسی دارند که نیاز به حفاظت دارد، مثل دادههای مالی، دولتی، مربوط به مخابرات، آموزش، بیمارستانها، خردهفروشی و غیره.
اگر قبلاً SIEM را پیادهسازی کردهاید، پیش از روی آوردن به تکنولوژی UEBA، قابلیتهای آن برای مانیتورینگ کاربر، ایجاد پروفایل و شناسایی ناهنجاریها را بسنجید تا مشخص شود که آیا میتوانید آنها را برای موارد کاربرد خود تطبیق دهید یا خیر.
بهطور خلاصه میتوان گفت که هم SIEM و هم UEBA موارد کاربرد مهمی دارند که به یک سازمان کمک میکند به نیازهای کسبوکار و امنیت خود پاسخ دهد. ازآنجاییکه حملات داخلی حقیقی و پرهزینه هستند، نباید UEBA را نادیده گرفت، زیرا مکمل بسیار خوبی برای SIEM است.
جمعبندی
UEBA میتواند ضمیمهی قدرتمندی برای مجموعه راهکارهای امنیت سایبری باشد. این راهکار شیوهی جدیدی را برای شناسایی تهدید فراهم میکند و میتواند سیستمهای حفاظت در مقابل نفوذ و نرمافزارهای شناسایی تهدید را تکمیل کند.
سیستمهای UEBA همچنین ابزار مفیدی برای آموزش دادن به مهندسان امنیتی هستند زیرا راه بسیار خوبی را برای فهمیدن ظاهر فعالیتهای مشکوک فراهم میکنند. مسیرهای شغلی در امنیت سایبری فقط شامل هک کلاه سفید (White Hat Hacking) نیستند، بلکه مسیرهای مختلفی وجود دارد که برای شخصیتهای مختلف مناسب هستند و تجزیهوتحلیل UEBA یکی از آنها است.