در بخش اول مقاله راهکار UEBA چیست؟ به معرفی UEBA و اجزای آن پرداختیم و نحوه کار آن را مورد بررسی قرار دادیم. همچنین تفاوت راهکار UEBA با UBA را بیان کردیم و دلایل نیاز به وجود یک راهکار UEBA در سازمان را تشریح نمودیم. در این قسمت به ادامه مبحث راهکار UEBA، راهنمای کامل تجزیهوتحلیل رفتار کاربر و موجودیت خواهیم پرداخت.
راهکار UEBA چه مزایایی دارد
- مزیت اصلی UEBA این است که به شما اجازه میدهد بهطور خودکار انواعی از حملات سایبری را شناسایی کنید. این حملات شامل تهدیدات داخلی، حسابهای کاربری دچار نقض امنیتی، حملات Brute-Force، ساخت کاربران جدید و نقضهای امنیتی داده است.
- دلیل مفید بودن راهکار UEBA این است که سیستمهای خودکارسازیشده میتوانند بهشدت تعداد تحلیلگران امنیتی مورد نیاز را کاهش دهند. درحالحاضر، این ویژگی یکی از جذابیتهای اصلی برای بسیاری از شرکتها است، زیرا با وجود اینکه بازار امنیت سایبری همچنان قوی است، شکاف بزرگی در مهارتهای امنیت سایبری وجود دارد. ۷۴ درصد از پاسخدهندگان به گزارش تحقیقاتی ESG/ISSA میگویند که شرکتهای آنها تحت تأثیر این شکاف قرار گرفته است. این تعداد در سال گذشته ۷۰ درصد بوده است.
- ازآنجاییکه UEBA اجازه میدهد تحلیلگران امنیتی کمتری کار بیشتری انجام دهند، همچنین میتواند بهشدت بودجهی امنیت سایبری شما را کاهش دهد. این امر یکی از دلایل اصلی است که شرکتهای بیشتری به استفاده از راهکار UEBA روی آوردهاند. سرمایهگذاری در بودجههای امنیت سایبری بین سالهای ۲۰۱۰ و ۲۰۱۸، به میزان ۱۴۱ درصد افزایش داشته است که بخشی از دلیل آن رویکردهای جدیدی مثل UEBA بوده است.
راهکار UEBA چه معایبی دارد
از طرف دیگر، چندین نکتهی منفی نیز در مورد UEBA وجود دارد، حتی وقتی کنار ابزارهای دیگر امنیت سایبری استفاده شود.
- مشکل اصلی UEBA هزینهی آن است. درحالیکه برای اکثر شرکتهای بزرگ، سرمایهگذاری در UEBA بهسرعت بازگشت سرمایه را به همراه دارد، شرکتهای کوچکتر ممکن است به چنین راهکار مانیتورینگ پیچیدهای نیاز نداشته باشند. ازآنجاییکه اکثر راهکارهای Hosting اختصاصی، کنترلهای دسترسی کاربر پیشرفتهای را برای وبسایتها و پورتالهای وب فراهم میکنند، شرکتهای کوچکی که UEBA را به کار میگیرند، ممکن است آن را وقت و هزینهی اضافه بدانند.
- دادههایی که توسط UEBA ایجاد میشوند از آنچه توسط سیستمهای UBA ابتداییتر ایجاد میگردند، پیچیدهتر هستند. این امر میتواند باعث شود که درک این سیستم بدون آموزش قبلی، برای تحلیلگران دشوار باشد.
- توجه به این نکته ضروی است که اگرچه راهکار UEBA به شیوههای بهخصوصی به شما کمک میکند اما جایگزین سیستمهای امنیت سایبری دیگر نیست. این راهکار به شما این توانایی را میدهد که رفتار غیرعادی را تشخیص دهید اما کاری برای متوقف کردن مهاجمان انجام نمیدهد.
یادگیری ماشین و تجزیهوتحلیل رفتار کاربر و موجودیت
UEBA برای کارآمد بودن روی تکنیکهای یادگیری ماشین یا ML حساب میکند. ابزار هوش مصنوعی و یادگیری ماشین میتوانند پشتیبانی بسیار خوبی را برای تیم IT یا امنیت سایبری فراهم کنند. درحالیکه شاید ML راه زیادی در پیش دارد تا بتواند بهطور مستقل و بدون دخالت انسانی برای شناسایی تهدید مورد استفاده قرار گیرد، میتواند برای تقویت امنیت کارهای زیادی انجام دهد.
در ادامه نگاهی دقیقتری به کاربرد ML در UEBA خواهیم انداخت. راهنمای Gartner اطلاعاتی در مورد UEBA و موارد کاربرد آن دارد. همانطور که در این راهنما اشاره شده است، در UEBA نسبت به UBA تأکید بیشتری روی استفاده از علم داده و یادگیری ماشین برای جداسازی فعالیتهای عادی افراد و موجودیتها از فعالیتهای غیرعادی وجود دارد.
Gartner میگوید که UEBA به موارد کاربردی اعمال میگردد که تجزیهوتحلیل دقیق و جمعآوری دادههای متنی و محتوایی در آن حیاتی است، از جمله:
- عاملان مخرب داخلی
- حملات مانای پیشرفته یا APT که از آسیبپذیریهای Zero-Day استفاده میکنند
- استخراج داده شامل کانالهای جدید
- مانیتورینگ دسترسی حساب کاربری
ازآنجاییکه این موارد کاربرد، شامل آسیبپذیریهای متغیرند، Gartner بیان میکند که یادگیری ماشین یا ML برای ایجاد مبنایی که از تعاملهای بین تمام کاربران، سیستمها و داده گرفته شده باشد، ضروری است. اما همانطور که محققان ML اشاره کردهاند، هیچ رویکرد واحدی برای ایجاد این مبناها وجود ندارد.
کلاستربندی K-Means. دستهبندی، رگراسیونها، تجزیهوتحلیل اجزاو… را میتوان در الگوریتمهای UEBA مورد استفاده قرار داد. اما حتی بزرگترین طرفداران تجزیهوتحلیل مبتنی بر ML به شما خواهند گفت که محدودیتهایی در این تکنولوژی وجود دارد. تنظیم این تکنولوژی بهطور قابلتوجهی دشوار است و میتواند منجر به بزرگترین مشکل در تمام سیستمهای UEBA یعنی مثبتهای کاذب زیاد شود. بهعبارتدیگر، الگوریتمها آنقدر حساس هستند که در مورد شرایطی هشدار میدهند که شاید غیرعادی باشند، اما ناهنجار و نشاندهندهی یک مهاجم یا عامل مخرب داخلی نیستند.
شاید یک معمار سیستم مجبور بود در طول آخر هفته کار کند تا به تاریخ پروژه برسد و لازم بود هزاران فایل را کپی کند. اما الگوریتمهای کلاستربندی UEBA اقدامات این کارمند را غیرعادی دانسته، حساب کاربری او را قفل کرده و به همین علت باعث تاخیر یک پروژهی کلیدی شده است.
راهکار UEBA، دادههای پاک و مدلهای تهدید
سؤال بزرگتر برای UEBA، درست مثل سیستمهای مدیریت اطلاعات و رویدادهای امنیتی یا SIEM، منبع داده است.
انجام تجزیهوتحلیل امنیتی براساس لاگ رخدادهای ویندوز، کار بسیار دشواری است. درواقع همبستگی رخدادهای مرتبط از لاگ سیستم، فرایندی پیچیده و دارای احتمال خطا است. علاوه بر آن، نیاز به منابع زیادی نیز دارد. راهکارهای بهتری وجود دارند که میتوانند تاریخچههای رخداد مربوط به فایل تمیزتری را ایجاد نمایند.
مشکل دیگری که توسط الگوریتمهای UEBA ایجاد میشود، این است که از صفر شروع میکنند، یعنی افراد باید یا از طریق آموزشهای نظارتشدهی رسمی یا بهصورت نیمه نظارتشده و فیالبداهه آموزش ببینند. این مسئله ذاتاً مشکلی ندارد، زیرا نحوهی کار ML همین است.اما در فضای امنیت داده، مزیت بزرگی داریم زیرا میدانیم اکثر حوادث حیاتی چگونه رخ میدهند.
برای UEBA لازم نیست که فقط روی تکنیکهای ML حساب کنیم تا بتوانیم «بفهمیم» فاکتورهای کلیدی در تعیین رفتارهای غیرعادی چه مواردی هستند. میدانیم که مثلاً حرکت جانبی، دسترسی به اطلاعات اعتباری و بالا رفتن سطح دسترسی برخی از متداولترین روشهای حمله هستند. آگاهی از این الگوهای شناختهشده به شما این توانایی را میدهد که در تنظیم دادههای رخداد جلو بیفتید. این مسئله طبیعتاً ما را به موضوع مدلسازی تهدید میرساند.