بررسی اجمالی
در دنیای امروز، حملات به سیستمهای کامپیوتری به شدت در حال پیشرفت و پیچیده شدن هستند. متأسفانه اغلب راهکارهای سنتی امنیتی، قادر به کشف و تشخیص این حملات جدید نبوده و در نتیجه هر روز اخبار زیادی درباره data breach شنیده میشود. اگرچه تحلیلگران امنیت هر آنچه را که میتوانند با استفاده از ابزارهای امنیتی سنتی انجام میدهند، اما این ابزارها آنها را به باتلاقی از هشدارها فرو برده که به سختی قابل فهم بوده و در نتیجه اغلب در تشخیص سریع و مقابله با تهدیدات پیشرفته غیرقابل استفاده هستند.
“تجزیه و تحلیل رفتار کاربران و موجودیتها” (UEBA) یک راهکار امنیت سایبری است که به رفتار عادی کاربران توجه داشته و به شناسایی رفتارهای غیرعادی که دارای انحراف از الگوهای طبیعی هستند، میپردازد. برای مثال، اگر یک کاربر مشخص معمولا روزانه ۱۰ مگابایت دانلود فایل داشته باشد اما به یکباره به میزان یک گیگابایت فایل دانلود کند، راهکارهای UEBA قادر به تشخیص این ناهنجاری بوده و بلافاصله اعلام هشدار میکنند. راهکارهای UEBA تمام دادههای منابع مختلف را به منظور تجزیه و تحلیل و ترکیب خودکار نتایج با یکدیگر به کار میگیرند و با استفاده از ابزارهایی مانند یادگیری ماشین، هوش مصنوعی، تجزیه و تحلیلهای پیشرفته، غنیسازی دادهها و علوم داده، رویکردی متفاوت برای مقابلهی موثر با تهدیدات پیشرفته اتخاذ میکنند. به دنبال استفاده از این راهکارها، تحلیلگران به جای غرق شدن در انبوهی از هشدارها، حجمی کمتر اما دقیقتر از هشدارها را دریافت میکنند. سیستمهای مبتنی بر یادگیری ماشین به آسانی میتوانند با مدلسازی رفتاری خود را تنظیم کنند. با توجه به این ویژگی، سربار نگهداری راهکارهای UEBA نیز برای سازمان مربوطه بسیار پایین بوده و سازمان به یک راهکار امن در برابر حملات ناشناخته (حتی حملاتی که در آینده طراحی میشوند) دست خواهد یافت که به جای جستجوی مجموعهای محدود و از پیش تعریف شده از فعالیتها به جستجوی فعالیتهای غیرعادی میپردازد. در ادامهی این مطلب، به توصیف مهمترین موارد استفاده، که تنها راه موثر برای رسیدگی به آنها راهکارهای UEBA هستند، پرداخته خواهد شد.
Credentialهای[۲] به مخاطره افتاده[۳]
credentialهای حسابهای کاربری، کلید دسترسی قانونی به سیستمها بوده و به سرقت رفتن آنها اصلیترین ابزار data breach است. زمانی که یک هکر از credentialهای سرقتی استفاده میکند، ابزارهای سنتی امنیت قادر به تشخیص دسترسی نامجاز نیستند. این سناریو به حملهکننده اجازه میدهد که به راحتی به دادههای حساس و منابع داخلی دسترسی یابد. از آنجاییکه ویرانگر بودن نتیجهی به مخاطره افتادن credentialها کاملا واضح است، در نظر گرفتن این مورد استفاده برای یک راهکار UEBA ضروری است. نحوه دستیابی حملهکننده به credentialها مسالهای نامهم بوده و یک راهحل UEBA باید با استفاده از اطلاعات موجود درباره credentialها، deviceها و آدرسهای IP کاربران، قادر به تشخیص credentialهای به مخاطره افتاده باشد.
به مخاطره افتادن کاربر ممتاز[۴]
یک کاربر ممتاز به صورت مجاز به منابع با ارزش مانند پایگاههای داده حساس، سیستم مدیریت دسترسی کاربران یا سیستم احراز هویت دسترسی دارد. زمانی که یک حملهکننده به credentialهای یک کاربر ممتاز دسترسی پیدا کند، حمله میتواند مستقیما به سمت داراییهای ارزشمند سوق داده شود. در صورتی که از یک سیستم سنتی امنیت استفاده شده باشد و تشخیص آغاز و پیگیری اقدامات درباره یک کاربر ممتاز به مخاطره افتاده ممکن نباشد، نتیجه میتواند ویرانگر باشد. هکرها نیز از این منفعت آگاه بوده و به همین دلیل سوءاستفاده از حسابهای کاربری ممتاز در رتبه چهارم بیشترین تاکتیک به کار رفته در data breachهای گزارش شده میباشد. از آنجا که الگوی کاری یک کاربر ممتاز ممکن است در قالب یک الگوی منظم و قابل پیشبینی قرار نگیرد، تشخیص به مخاطره افتادن حساب کاربری ممتاز دشوارتر است. به عنوان مثال ممکن است یک کاربر ممتاز در پاسخ به موارد اورژانسی، اعمالی غیرمرتبط انجام دهد. توانایی بررسی این متغیرها و تشخیص به مخاطره افتادن یک کاربر ممتاز با اطمینان مناسب، یک مورد استفادهی اساسی برای یک راهکار UEBA است. یک راهکار UEBA باید به نظارت بر فعالیتهای مشکوک کارکنان و پیمانکاران جدا شده از سازمان پرداخته و خطاهای انسانی کاربرانی را که با دادههای حساس سروکار داشته و آنها را در معرض خطر قرار میدهند، شناسایی کند.
نظارت بر داراییهای مدیران
دستیابی به داراییهای محاسباتی مدیران (مانند لپتاپ مدیرعامل یا مدیر مالی) اهدافی بدیهی برای هکرها است. این سیستمها ممکن است حامل اطلاعات حساس در مورد درآمدها، برنامهریزی بودجه، برنامهریزی محصولات و خدمات، و یا اطلاعات رقابتی سازمان باشند. یک راهکار UEBA باید به طور خودکار برای شناسایی سیستمهای مدیران و استفاده و کاربرد نامعمول از آنها، مدلهای دارایی و رفتار ایجاد کند. سوءاستفاده یک کاربر مدیر قانونی از این داراییها در مورد استفاده ۵ یعنی “سوءاستفاده از دسترسی داخلی” بررسی خواهد شد.
تشخیص سیستم/host/ device به مخاطره افتاده
به دست گرفتن کنترل سیستمها، hostها یا deviceها در شبکه سازمانی و انجام حملاتی مخفیانه برای ماهها یا سالها از طریق آنها روالی عادی برای حملهکنندگان است. بر اساس گزارشات، زمان تشخیص نقض داده پس از وقوع آن در شرکتها به طور متوسط ۵۶۲ روز است. این زمانبندی عجیب خود تاکید دیگری دال بر اهمیت مورد استفاده سیستم /host/device به مخاطره افتاده در یک راهکار UEBA در راستای تشخیص و توقف سریع حملات است. برای رسیدگی به این مورد استفاده، یک راهکار UEBA باید بر چند جهت نظارت کند:
-
حسابهای کاربری برای شناسایی فعالیتهای غیرطبیعی، هشدار به تحلیلگران و فراهم کردن دادههایی موردنیاز توسط تحلیلگران برای آگاهی از به مخاطره افتادن یک حساب کاربری ممتاز؛
-
سرورها برای تشخیص انحراف از فعالیتهای مشخص شده در خط مبنا[۵]؛
-
deviceهای شبکه برای نظارت بر ترافیک شبکه در طول زمان، منبع ارتباطهای نامعتمد، پروتکلهای ناامن، و دیگر نشانههای رفتار خرابکارانه؛ و
-
نظارت بر آنتیویروس/بدافزارها برای تشخیص از کار افتادن آنها.
سوءاستفاده از دسترسی داخلی
درحالیکه تعداد زیادی از شناختهشدهترین data breachها به وسیله خرابکاران بیرونی انجام شده است، اما کاربران داخلی نیز منبعی اصلی برای از دست رفتن دادههای حساس هستند. با توجه به گزارشات، بازیگران اصلی داخلی در breachهای گزارش شده عبارتاند از مدیران سیستمها، کاربران نهایی و توسعهدهندگان سیستم. با این وجود، تشخیص تهدیدات داخلی مسالهای چالشی است؛ زیرا در اغلب ابزارهای امنیتی یک رفتار مورد اعتماد منجر به هشدار نخواهد شد و در نتیجه، تهدیدگر یک کاربر مشروع به نظر خواهد رسید. کارکنان فعلی، کارکنان سابق، پیمانکاران، شرکای تجاری و همکاران میتوانند از جمله خرابکاران بالقوه در اینجا باشند. در این مورد، یک راهکار UEBA باید قادر به تشخیص فعالیتهای ریسکی خارج از خط مبدا عادی کاربران باشد. راهکار UEBA با تحلیل رفتار میتواند به تیمهای امنیتی در شناسایی کشف نشانههای تهدیدات داخلی و شناسایی و رفع حملات کمک کند. بررسی ورود به سیستم در ساعات نامتعارف، به دفعات نامتعارف و دستیابی به سیستمها و دادههایی نامعمول توسط کاربر؛ بررسی تغییر مجوزهای دسترسی به سیستمهای حیاتی؛ مرتبط کردن ترافیک شبکه با هوش تهدید برای کشف بدافزارهای در ارتباط با حملهکننده بیرونی؛ و تشخیص انتقال غیرمجاز اطلاعات[۶] با ارتباط دادن وقایع نامربوط به یکدیگر (مانند وارد کردن یک usb، استفاده از یک سرویس ایمیل شخصی، یا فضای ابری نامجاز یا چاپ بیش از حد) میتواند برخی از تکنیکهای استفاده شده توسط UEBA باشد. تشخیص و جلوگیری از رمزگذاری حجم زیادی از دادهها و lateral movement برخی دیگر از راههای کشف سوءاستفاده داخلی هستند.
تشخیص lateral movement
فرایند lateral movement شامل حرکت سیستماتیک در یک شبکه در جستجوی دادهها و داراییهای حساس میباشد. با استفاده از lateral movement، یک breach میتواند از طریق بیضررترین نقطهی ورودی شبکهی یک سازمان به سرعت تبدیل به فاجعه شود. در یک فرایند lateral movement، حمله با دسترسی به یک حساب کاربری سطح پایین شروع شده و سپس، هکر سایر داراییها را (با هدف یافتن نقاط ضعف در راستای تغییر حسابهای کاربری، ماشینها و آدرسهای IP) جستجو میکند. حملهکننده در صورت دستیابی به اختیارات مدیریتی، به هدف نهایی خود خواهد رسید. با توجه به پراکندگی حمله lateral movement در طول محیط IT، حسابهای کاربری متفاوت، آدرسهای IP و ماشینهای مختلف، کشف این نوع حمله توسط سیستمهای سنتی امنیت به شدت سخت است. بنابراین مورد استفادهی تشخیص lateral movement توسط یک راهکار UEBA برای تشخیص breachهای اینچنینی ضروری است. راهکار UEBA، با استفاده از تحلیل رفتار، ارتباط میان فعالیتهای به ظاهر نامرتبط را مشخص کرده و قبل از هر آسیبی از وقوع اینگونه حملات جلوگیری خواهد کرد.
تشخیص انتقال غیرمجاز اطلاعات
انتقال غیرمجاز اطلاعات همانطور که مشخص است به معنی انتقال دادهها به صورت غیرقانونی به خارج از سازمان است. انتقال غیرمجاز اطلاعات میتواند به صورت دستی با کپی دادهها روی deviceهای فیزیکی یا از طریق اینترنت، یا به صورت خودکار و با آلوده کردن سیستمهای محلی به بدافزارها روی دهد. دربارهی این مورد استفاده، راهکار UEBA بر ترافیک شبکه نظارت کرده تا بتواند مراکز را کنترل کرده و سیستمهای آلوده که دادهها را به افراد غیرمجاز ارسال میکنند، شناسایی کند. UEBA بر روی پروتکلهایی که امکان انتقال حجم عظیمی از داده را فراهم کرده به جستجوی مقادیر نامعمول ترافیک شبکه که متغایر با خط مبدا کاربر یا ماشین انتقالدهنده باشد، خواهد پرداخت. همچنین، استفاده از web applicationهای سازمان توسط عوامل بیرونی و web applicationهای بیرونی توسط عوامل داخلی نیز در اینجا مورد نظارت قرار میگیرد. علاوهبراین، UEBA ایمیلهای فوروارد شده یا ارسال شده به سایر موجودیتها غیر از موجودیتهای دریافتکنندهی اصلی را بررسی میکند. این راهکار بر mobile workforce نیز برای شناسایی اقدامات نامتعارفی که ممکن است نشاندهندهی نشت اطلاعات از طریق deviceهای موبایل باشد، نظارت میکند.
قفل شدن حسابهای کاربری
قفل شدن حسابهای کاربری یک ویژگی امنیتی است که تلاش میکند از دسترسی به یک حساب کاربری با حدسهای پیاپی نام کاربری و گذرواژه جلوگیری کند. قفل شدن حسابهای کاربری بعد از آنکه تعداد دفعات ورود ناموفق به حساب از مقداری مجاز بیشتر شد روی میدهد. به طور معمول، پس از قفل شدن یک حساب کاربری، کاربر باید مقدار زمانی مشخص تا امکان تلاش مجدد صبر کند. در برخی موارد، کاربر باید به یک مدیر درخواست دهد تا مجددا حق ورود به سیستم را برای او فراهم کند. قفل شدن حسابهای کاربری مقدار قابل توجهی از زمان مدیریتی را مصرف میکند. در برخی سازمانهای بزرگ، به طور معمول از یک سرپرست تمام وقت در طول سال برای بررسی قفل شدن حسابهای کاربری برای تعیین سهوی یا عمدی بودن قفل شدنها به دلایلی ساده مانند انگشتهای بزرگ یک کاربر یا نشانهای از یک تلاش برای به دست گرفتن کنترل یک حساب کاربری، استفاده میشود. برای تعیین میزان ریسک، مدیران اغلب ۴ الی ۵ ساعت به جستجوی شرایط و حسابهای مرتبط با هر قفل شدن خواهند پرداخت. این مورد استفاده UEBA به خودکارسازی فرایند ارزیابی ریسک انجام اقدام متقابل کمک میکند. در صورت انجام مناسب، راهکار UEBA میتواند نیاز به وجود یک سرپرست تمام وقت سالانه در شرکتهای بزرگ برای بررسی حسابهای کاربری قفل شده را حذف کند.
سوءاستفاده از service account
service accountها به جای حسابهای سیستمی معمولی و برای اجرای application serviceهای خاص استفاده میشوند. ابزارهای امنیتی معمولی هیچ شفافیتی نسبت به service accountهای موجود در شبکه ارائه نکرده یا نهایتا شفافیت محدودی نسبت به آنها ارائه میکنند. امتیازات بالایی که service accountها در اختیار دارند، آنها را به اهدافی ارزشمند برای حملهکنندگان تبدیل میکند. سوءاستفاده از service accountها یک مورد استفادهی ارزشمند برای UEBA است. با بهکار بردن قابلیتهای تحلیل رفتاری، راهکار UEBA به طور خودکار service accountها را شناسایی کرده و در صورت وقوع هر رفتار نامتعارفی در آنها اعلام هشدار خواهد کرد.
بررسی هشدار امنیتی
کار کردن با ابزارهای امنیتی یک فرایند طاقتفرسا است. هشدارها به طور معمول شامل دادههایی محرمانه در فایلهای log خام هستند که حتی برای تحلیلگران حرفهای نیز به آسانی قابل درک نیستند. انجام تحقیقات در زمینهی هشدارها نیازمند ایجاد وابستگی مابین فایلهای log مختلف به صورت دستی، تفسیر معنی و جمعآوری دستی منابع دادهی کمکی برای به دست آوردن سرنخها، و صرف زمانی قابل توجه برای ریشهیابی وقوع هشدار است. مورد استفادهی بررسی هشدار امنیتی، راه دیگری است که UEBA میتواند به طرز چشمگیری بهرهوری تحلیلگران SOC را افزایش دهد. UEBA همراه با یک راهکار SIEM مدرن از جداول زمانی ساخت ماشین استفاده کرده و رابط[۷] بهتری برای کشف تهدیدات حتی توسط تحلیلگران تازهکارتر ارائه میکند. یک جدول زمانی ساخت ماشین، به جای نمایش رویدادهای گسسته، نتایج را همراه با مفهوم و امتیاز ریسک برای کمک به دستیابی سریع به ریشهی تهدید و نحوهی سریع برطرف کردن آن (در صورت نیاز) ارائه میکند.
[۱] User and Entity Behavior Analytics
[۲] منظور از credentialها، ابزارهای احراز هویت مانند نامهای عبور و گذرواژهها هستند.
[۳] Compromised
[۴] Privileged user
[۵] Baseline
[۶] Data exfiltration
[۷] Interface