راهکار UEBA چیست؟ راهنمای کامل تجزیه‌وتحلیل رفتار کاربر و موجودیت‌ – بخش سوم

در بخش اول مقاله راهکار UEBA چیست؟ به معرفی UEBA و اجزای آن پرداختیم و نحوه کار آن را مورد بررسی قرار دادیم. همچنین تفاوت راهکار UEBA با UBA را بیان کردیم و دلایل نیاز به وجود یک راهکار UEBA در سازمان را تشریح نمودیم. در بخش دوم مقاله به ببرسی مزایا و معایب راهکار UEBA و نقش یادگیری ماشین در این راهکار پرداختیم. در بخش سوم و پایانی این مقاله، به بررسی اصول مهم در راهکارهای UEBA پرداخته و نقش مهم آن را در کنار راهکار SIEM بررسی خواهیم کرد.

اصول مهم در راهکارهای تجزیه‌وتحلیل رفتار کاربر و موجودیت

وقتی که سیستم UEBA آماده‌به‌کار باشد، چندین اصل وجود دارد که به شما برای حصول اطمینان از میزان ایمن بودن سیستم کمک کرده و بهترین نتیجه را برای سرمایه‌گذاری شما دارد.

برخی از این راهنمایی‌های امنیتی هم در UEBA و هم انواع دیگر نرم‌افزارهای امنیتی متداول هستند. نحوه‌ی استفاده از این سیستم‌ها یکی از حیاتی‌ترین عناصر در بالا بردن سطح امنیت است و بستگی به  کارمندان شما و دانش آن‌ها از بهترین راهکارهای امنیت سایبری دارد.

آموزش کارمندان

یکی از مهم‌ترین عناصر در استفاده‌ی درست از یک سیستم UEBA این است که اطمینان حاصل کنید کارمندان شما دارای دانش و مهارت‌های ضروری برای کار با آن سیستم‌ها هستند. نمونه‌های یادداشت‌های (Memo Templates) در امنیت سایبری می‌توانند اهمیت امنیت سایبری را به کارمندان شما نشان دهند و شما باید بتوانید آگاهی امنیتی و بهترین راهکارهای امنیت سایبری را در طول سال افزایش دهید. این امر هم برای سیستم‌های UEBA و هم انواع دیگر نرم‌افزارهای امنیتی صدق می‌کند.

تهدیدات داخلی را در نظر بگیرید

یکی از نکات خاص‌تر در مورد کار کردن با سیستم‌های UEBA این است که اطمینان حاصل کنید که در زمان ایجاد قواعد و سیاست‌ها برای شناسایی حملات، کل وضعیت تهدید مدنظر قرار گرفته است. یکی از بزرگ‌ترین مزیت‌های UEBA این است که می‌توانید تهدیدات داخلی را به‌خوبی تهدیداتی که از بیرون سازمان وارد می‌شوند شناسایی کنید، اما فقط به شرطی که سیستم خود را طوری پیکربندی کرده باشید که آن‌ها را جستجو کنند.

محدودیت دسترسی

ایمن‌سازی سیستم UEBA، مثل هر سیستم دیگری بستگی به این دارد که سطح دسترسی مناسبی را به کارمندان مناسب ارائه کنید. نباید به هرکسی اجازه بدهید به سیستم UEBA دسترسی داشته باشد، بلکه فقط افراد ضروری باید بتوانند این داده‌ها را ببینند و همچنین فقط این افراد باید از سیستم هشدار دریافت کنند.

آگاهی از بالا رفتن سطح دسترسی

نباید حساب‌های کاربری که سطح دسترسی بالا ندارند را بی‌ضرر دانست. هکرها معمولاً این حساب‌ها را هدف قرار می‌دهند و بعد سعی می‌کنند که سطح دسترسی را بالا ببرند تا به سیستم‌های حساس نفوذ نمایند. سیستم‌های UEBA می‌توانند به شناسایی بالا رفتن سطح دسترسی غیرمجاز کمک کنند و شما باید نرم‌افزار خود را طوری پیکربندی کنید که نسبت به این رخداد به شما هشدار دهد.

استفاده از ابزار دیگر

نباید فرایندها و ابزار UEBA را جایگزینی برای سیستم‌های مانیتورینگ ابتدایی مثل سیستم‌های شناسایی نفوذ یا IDS دانست. سیستم‌های UEBA مکملی بر زیرساخت مانیتورینگ قدیمی هستند تا جایگزین آن‌ها.

راهکار UEBA با SIEM چه تفاوتی دارد

یکی دیگر از مواردی که باعث سردرگمی بسیاری از تحلیلگران امنیتی می‌شود، تفاوت بین UEBA و SIEM است. در این بخش نگاهی به تفاوت بین آن‌ها خواهید انداخت.

تفاوت ساده این است که سامانه مدیریت وقایع و امنیت اطلاعات یا SIEM یعنی استفاده از مجموعه‌ی پیچیده‌ای از ابزارها و تکنولوژی‌ها، برای اینکه دیدگاه جامعی از امنیت سیستم‌های IT به دست آید. این راهکار از اطلاعات رخداد و داده استفاده کرده و به شما این توانایی را می‌دهد که الگوها و روندهایی را ببینید که عادی هستند و همچنین وقتی که روندها و رخدادهای غیرعادی اتفاق بیافتد، به شما هشدار می‌دهد.  UEBAنیز همانطور کار می‌کند، زیرا از اطلاعات رفتار کاربر و موجودیت استفاده می‌نماید تا مشخص کند که چه چیزی عادی و چه چیزی غیرعادی است.

اگر در حال حاضر از یک ابزار SIEM جهت مانیتور کردن فعالیت کاربر برای مدیریت تهدید و تطبیق‌پذیری قانونی استفاده می‌کنید، عالی است. این یعنی از بقیه جلوتر هستید. SIEM نقطه‌ی شروعی عالی برای تجزیه‌و‌تحلیل امنیتی است، زیرا رخدادهای سیستم را که در فایروال‌ها، Logهای سیستم‌عامل، Logهای ترافیک شبکه و غیره ثبت می‌شوند، مانیتور می‌کند.

اگر یک SIEM دارید، ممکن است از خودتان بپرسید که چه نیازی به UEBA وجود دارد؟ در نگاه اول UEBA و SIEM خیلی شبیه به هم به نظر می‌رسند، اما با بررسی دقیق‌تر متوجه می‌شویم که عملکردشان متفاوت است.

با وجود SIEM، چه نیازی به UEBA است؟

سؤال بسیار مهمی است که پاسخ آن به بزرگ کسب‌و‌کار بستگی دارد و اینکه انتظار می‌رود سیستم‌های شناسایی نفوذ چه کاری انجام دهد.

جواب نهایی این است. SIEMها یک ابزار مدیریت امنیتی قدرتمند هستند، اما معمولاً دارای قابلیت شناسایی تهدید و پاسخ به آن به‌طور هوشمند نیستند. مهاجمان پیشرفته، نسبتاً به‌آسانی می‌توانند آن‌ها را دور بزنند زیرا تمرکز این ابزارها بیشتر روی تهدیدات Real-Time است تا حملات گسترده. راهکارهای UEBA توانایی شناسایی تهدیداتی را دارند که ممکن است در مدت زمان طولانی‌تری رخ دهند و بسیار پیشرفته‌تر باشند. با استفاده از هر دو ابزار کنار هم، سازمان‌ها می‌توانند با کارآمدی بسیار بیشتری در مقابل تهدیدات از خود دفاع کنند.

UEBA با تمرکز کمتر روی رخدادهای سیستم و تمرکز بیشتر روی فعالیت‌های به‌خصوص کاربر، پروفایلی از یک کاربر براساس الگوهای استفاده‌ی وی می‌سازد و اگر رفتاری غیرعادی ببیند، هشداری را صادر می‌کند. معمولاً هشدارهای UEBA می‌توانند از طریق ایمیل و SMS ارسال شوند یا حتی در SIEM شما نمایش داده شوند.

بااین‌وجود، ملاحظاتی وجود دارند که در هنگام تصمیم‌گیری در مورد اضافه کردن UEBA به SIEM باید به آن‌ها فکر کرد:

1. مشخص کردن اینکه آیا می‌خواهید SIEM داده‌های رخداد امنیتی که توسط دستگاه‌های امنیتی، زیرساخت شبکه، سیستم‌ها و برنامه‌های کاربردی ایجاد شده‌اند را تجزیه‌وتحلیل کند یا اینکه UEBA بینش عمیقی نسبت به اینکه کاربران در یک سیستم چه کاری انجام می‌دهند (فعالیت و الگوهای دسترسی به فایل آن‌ها) پیدا کند یا خیر.
2. موارد کاربرد نیز به تیم امنیت کمک می‌کنند الزامات تصمیم‌گیری در مورد اینکه از چه راهکارهایی استفاده شود را شناسایی، تصریح و اولویت‌بندی کنند. همچنین راه خوبی است برای اینکه تفاوت بین این تکنولوژی‌های مکمل به‌درستی درک شود.

اگر پروژه‌ای در مورد تطبیق‌پذیری دارید و می‌خواهید فعالیت مرتبط با دسترسی را پیگیری کنید، در ادامه چندین مورد کاربرد SIEM در این مورد مطرح می‌گردد:

• گزارش‌گیری تطبیق‌پذیری
• مانیتورینگ رخدادها: فعالیت دسترسی، دسترسی به داده، فعالیت برنامه کاربردی و مدیریت رخداد

از طرف دیگر اگر نگران تهدیدات داخلی و حفاظت از دارایی‌های دیجیتال سازمان هستید، بهتر است به UEBA فکر کنید. چندین مورد کاربرد در ادامه مطرح می‌گردد:

• امنیت سازمان در مقابل تهدیدات داخلی
• حفاظت از سازمان‌هایی که IP ارزشمند یا داده‌های حساسی دارند که نیاز به حفاظت دارد، مثل داده‌های مالی، دولتی، مربوط به مخابرات، آموزش، بیمارستان‌ها، خرده‌فروشی و غیره.

اگر قبلاً SIEM را پیاده‌سازی کرده‌اید، پیش از روی آوردن به تکنولوژی‌ UEBA، قابلیت‌های آن برای مانیتورینگ کاربر، ایجاد پروفایل و شناسایی ناهنجاری‌ها را بسنجید تا مشخص شود که آیا می‌توانید آن‌ها را برای موارد کاربرد خود تطبیق دهید یا خیر.

به‌طور خلاصه می‌توان گفت که هم SIEM و هم UEBA موارد کاربرد مهمی دارند که به یک سازمان کمک می‌کند به نیازهای کسب‌و‌کار و امنیت خود پاسخ دهد. ازآنجایی‌که حملات داخلی حقیقی و پرهزینه هستند، نباید UEBA را نادیده گرفت، زیرا مکمل بسیار خوبی برای SIEM است.

جمع‌بندی

UEBA می‌تواند ضمیمه‌ی قدرتمندی برای مجموعه راهکارهای امنیت سایبری باشد. این راهکار شیوه‌ی جدیدی را برای شناسایی تهدید فراهم می‌کند و می‌تواند سیستم‌های حفاظت در مقابل نفوذ و نرم‌افزار‌های شناسایی تهدید را تکمیل کند.

سیستم‌های UEBA همچنین ابزار مفیدی برای آموزش دادن به مهندسان امنیتی هستند زیرا راه بسیار خوبی را برای فهمیدن ظاهر فعالیت‌های مشکوک فراهم می‌کنند. مسیرهای شغلی در امنیت سایبری فقط شامل هک کلاه سفید (White Hat Hacking) نیستند، بلکه مسیرهای مختلفی وجود دارد که برای شخصیت‌های مختلف مناسب هستند و تجزیه‌و‌تحلیل UEBA یکی از آن‌ها است.