تجزیهوتحلیل رفتار کاربر یا UBA چیست؟
UBA مخفف تجزیهوتحلیل رفتار کاربر است و یک تکنولوژی برای شناسایی تهدیدات با استفاده از تجزیهوتحلیل میباشد. UBA از یادگیری ماشینی و علم داده استفاده میکند تا درکی از رفتار کاربران (انسانها) در یک محیط بدست آورد و بعد فعالیتهای پر ریسک و غیرعادی را شناسایی کند که شاید نشاندهندهی یک تهدید باشد.
UBA چگونه کار میکند؟
UBA تلاش میکند که رفتار عادی را برای تمام کاربران در یک محیط درک کند و مبنایی را برای آن رفتار ایجاد نماید. اما چطور؟ برای اینکه این اتفاق بیفتد، از علم داده استفاده میشود تا یک برای هر ویژگی کاربری که با محیط IT تعامل میکند، یک مدل رفتاری ایجاد گردد.
بیایید فرض کنیم که میخواهیم که مدلی برای استفادهی کاربری به نام باربارا از VPN بسازیم. میتوانیم شروع کنیم به ردیابی چندین ویژگی از استفادهی VPN شامل مواردی مثل زمانهای شروع و پایان جلسات VPN، آدرسهای IP که از آنها متصل میشود، اینکه از چه کشوری Login میکند و غیره. میتوانیم صرفاً با ثبت استفادهی او و تجزیهوتحلیل آن با علم داده، برای هر کدام از این ویژگیها مدلی بسازیم.
بیایید فرض کنیم که میخواهیم مدلی بسازیم که ببینیم باربارا در چه کشورهایی از VPN استفاده میکند. هر بار که او متصل میشود، یک نقطهی داده را وارد میکنیم.
وقتی که به قدر کافی داده داشته باشیم، میتوانیم علم داده را مورد استفاده قرار دهیم تا روندهایی که در استفادهی او از VPN دیده میشوند را شناسایی کرده و فعالیت معمول او را درک کنیم. از نظر مفهومی، میتوان این داده را مورد استفاده قرار داد تا جدولی مثل جدول زیر ایجاد شود:
وقتی که مبنایی برای فعالیت عادی ایجاد شد، UBA میتواند به سادگی رفتار غیرعادی را شناسایی کند. اگر دوباره به جدول نگاه کنیم، میبینیم که خط نارنجی نشاندهندهی آستانهی رفتار او است؛ استفاده از VPN از ایالاتمتحده، کانادا یا آلمان برای باربارا عادی است، اما هر چیزی پایینتر از آن آستانه غیرعادی محسوب میشود. در این مثال، اکراین در نقطه پایانی قرار دارد، اما برای این فرد عادی محسوب میشود. هر اتصال VPN که از کشوری باشد که باربارا کمتر از اکراین از آن متصل میشود، غیرعادی محسوب شده و ممکن است ریسک اضافه کند.
کاهش مثبتهای کاذب با استفاده از امتیاز ریسک
یکی دیگر از مفهومهای اصلی متداول در راهکارهای UBA استفاده از امتیاز ریسک در مقابل هشدارهای امنیتی مجزا است. در UBA، یک ناهنجاری واحد برای اینکه حادثهای برای بررسی تحلیلگران ارائه شود کافی نیست. هر ناهنجاری که کشف میشود به ریسکهای کاربر اضافه میکند. وقتی که کاربر در یک دورهی زمانی خاص امتیاز مشخصی را دریافت کرد، ریسک بالایی به او اختصاص داده میشود. این رویکرد مثبتهای کاذب را کاهش میدهد، زیرا باید چندین ناهنجاریای رخ بدهد تا به یک تحلیلگر هشدار داده شود.
تجزیهوتحلیل رفتار کاربر و موجودیت یا UEBA چیست؟
مفهوم UEBA کاملاً از نامش مشخص است. UBAبهعلاوهی E. این E مخفف واژهی Entities یا موجودیتها است و UEBA مخفف تجزیهوتحلیل رفتار کاربر و موجودیت است. بدین معنا که UEBA میتواند هم رفتار انسانها و هم ماشینها را در یک شبکه مدلسازی کند. اگر یک قدم عقب برویم، میبینیم که هر محیط IT مجموعهای بههمپیوسته از انسانها و ماشینها است، UEBA میتواند رفتارهای عادی و غیرعادی را برای هر دو گروه مشخص کند و قابلیت دید کاملی را ارائه نماید.
کشف ماشینهایی که رفتار غلط دارند
خیلی جالبتر میشد اگر نکتهی بعدی در این مقاله، در مورد دستگاههای قهوهساز و پرینترهایی بود که زنده میشدند و کارهای پلیدی انجام میدادند، اما متأسفانه در مورد اینطور ناهنجاریهای رفتاری حرف نمیزنیم. بلکه در مورد مسائلی مثل اولین باری که یک ماشین فرایندی غیرعادی را اجرا میکند یا فرایند شناختهشدهای که از مکانی غیرعادی اجرا میشود، حرف میزنیم.
بیایید به مثالهایی واقعی نگاه کنیم که در یک شرکت تکنولوژی بزرگ آمریکایی رخ دادهاند. حادثهی امنیتی که آنها تجربه کردند شامل یک Linux Box بود که دچار نقض امنیتی شده و تحت کنترل هکرها قرار گرفته بود. هکرها از این دستگاه استفاده میکردند تا بتوانند باقی شبکه را برای داراییهای آسیبپذیر جستجو کنند و نقض امنیتی آن دستگاهها را افزایش دهند. هکرها شبکه و داراییهای آن را اسکن کرده و سپس سعی کردند با استفاده از اطلاعات اعتباری پیشفرض سرورهای مختلف وارد آنها شوند.
در این مثال، ناهنجاریهای رفتاری زیادی مشاهده شدند، اما همگی به یک موجودیت مرتبط بودند: یک آدرس IP بهخصوص. بدون قابلیت ردیابی و مدلسازی رفتار موجودیت، این حمله شناسایی نمیشد زیرا در این حمله تلاش شده بود از چندین کاربر (اطلاعات اعتباری پیشفرض) روی چندین Host استفاده شود. اگر تجزیهوتحلیل رفتاری فقط در سطح کاربر انجام میشد، این حمله به شکل چندین کاربر روی سیستمهای مختلف خودش را نشان میداد که موفق به Login نمیشدند. اما موجودیت بود که باعث شد حمله شکل بگیرد و توانایی ساخت مبنا و تشخیص رفتار غیرعادی دستگاهها به ما این توانایی را داد که بهسرعت، پیش از اینکه آسیب بیشتری ایجاد گردد، ماشین دچار نقض امنیتی را شناسایی کنیم.
SIEM چیست؟
سرواژهی SIEM مخفف مدیریت وقایع و امنیت اطلاعات است. SIEMها عملاً ابزار مدیریتی هستند که توسط اکثر سازمانها مورد استفاده قرار میگیرند. هدف اصلی SIEMها این بود که به تیمهای امنیتی کمک کنند دادههای رخداد و Log را ذخیره کرده و آنها را به هم ارتباط دهند تا تهدیدات را پیدا کنند. آنها همچنین برای تطبیقپذیری و گزارشگیری برای شرکتهایی مورد استفاده قرار میگیرند که باید به الزامان تطبیقپذیری مثل GDPR، PCI-DSS و غیره پایبند باشند.
سامانه SIEM چه اجزایی دارد
اگر نام SIEM را تجزیه کنیم، میبینیم که ادغامی از دو تکنولوژی دیگر است: مدیریت اطلاعات امنیتی و مدیریت وقایع امنیتی
اگر بخواهیم ساده بگوییم، مدیریت اطلاعات امنیتی یا SIM یعنی قرار دادن دادهها در یک مکان و مدیریت کارآمد آنها. SIMشامل اجزایی است که جمعآوری متمرکز لاگ، ذخیرهسازی و جستجوی لاگ، همچنین گزارشگیری را ارائه میدهند که مورد کاربرد تطبیقپذیری را ممکن میسازد.
مدیریت رخداد امنیتی یا SEM مجموعهای از ویژگیها است که شناسایی تهدید و مدیریت حادثه را فراهم میکند. ویژگیهایی مثل تجزیهوتحلیل Real-Time و استفاده از قواعد همبستگی برای شناسایی حادثه. SEM همچنین شامل ویژگیهای پاسخی و عملیاتی مثل مدیریت Case است که عملکردهای Ticketing و عملیات امنیتی را فراهم مینماید.
افراد معمولاً سعی میکنند برای توضیح دادن SIEMها بگویند: «این راهکار به شما کمک میکند سوزن را در انبار کاه پیدا کنید.» اگر بخواهیم دقیقتر بگوییم، اگر لاگها کاه باشند، SIEMها مسئول کنار هم قرار دادن کاهها (جمعآوری و ذخیرهسازی لاگ) و همچنین پیدا کردن سوزنها در آن کاهها (شناسایی تهدید Real-Time، شناسایی حادثه و پاسخ به آن و غیره) هستند. بااینکه این تشبیه برای توضیح دادن SIEM بسیار عالی است، باید اشاره کرد که SIEMهای قدیمی در جمعآوری کاه بسیار بهتر عمل میکنند تا پیدا کردن سوزن در آن.
SOAR چیست؟
مدیریت امنیت به شناسایی تهدیدات محدود نمیشود. تیمهای پاسخ به حادثه و تحلیلگران امنیتی هنوز هم باید به حادثههایی که کشف کردهاند پاسخ دهند و در اینجا است که SOAR به آنها کمک میکند. SOAR میتواند مخفف واژههای زیادی باشد، اما دو مورد از متداولترین تعاریف آن عبارتاند از:
- عملیات امنیتی، تجزیهوتحلیل و گزارشگیری (SOAR)
- تنظیم امنیتی و پاسخ خودکار (SOAR)
همچنین گاهی اوقات به این دسته از راهکارها با عناوین زیر اشاره میشود:
- پلتفرم خودکارسازی و تنظیم امنیت (SOAP)
- خودکارسازی پاسخ به حادثه
- تنظیم و خودکارسازی پاسخ
فارغ از اینکه SOAR مخفف چه عبارتی باشد، محصولات SOAR همگی به استفاده از خودکارسازی برای کمک به کاهش زمان پاسخدهی، بهبود ثبات و تقویت بهرهوری تیمهای پاسخ به حادثه مربوط هستند. سه ویژگی کلیدی که تقویت بهرهوری پاسخ به حادثه را ممکن میسازد، عبارتاند از:
- مدیریت حادثه – این ویژگی همچنین میتواند تحت عنوان Ticketing یا مدیریت Case مطرح شود. مدیریت حادثه، با تخصیص مالکهایی برای حوادث، ردیابی وضعیت و اولویتبندی تحقیق و بررسی و فراهم کردن یک سیستم متمرکز برای جمعآوری و کار روی شواهد، کمک میکند که تلاش برای پاسخ به حادثه تنظیم شود.
- تنظیم امنیت – ابزار تنظیم معمولاً APIهایی از پیش ساخته شده و دوطرفه هستند که برای اتصال و تنظیم چندین راهکار زیرساخت امنیتی و IT به کار گرفته میشوند. این APIها دریافت اطلاعات از سیستمهای دیگر و همچنین انجام اقداماتی در آن سیستمها را تسهیل میکنند. مثلاً میتوان با برنامهریزی تنظیمات لازم را انجام داد تا اطلاعات مربوط به اعتبار IP بهدست بیاید یا قواعد فایروال تنظیم گردد.
- Play Bookهای پاسخ – Play Bookها تنظیم را یک مرحله بالاتر میبرند. آنها بهصورت منطقی اقدامات زیادی را از سیستمهای مختلف کنار هم قرار میدهند تا وظایف بهخصوصی مثل بررسی، کنترل تهدید یا رفع خطر را انجام دهند.
مثلاً ممکن است یک Play Book داشته باشید که در چندین سیستم با یک کلیک اقدامات زیر را انجام دهند:
- جمعآوری تمام ایمیلهای دریافتشده توسط یک کاربر در زمان آلودگی (مثلاً از یک سرور ایمیل)
- تجزیه ایمیل برای استخراج URLها و ضمیمهها
- از بین بردن ضمیمهها در یک Sandbox
- جمعآوری اعتبار UEL با یک سرویس اعتباری
- مشخص کردن مکان جغرافیایی هر اتصال شبکهای که توسط ضمیمهها در Sandbox ایجاد شدهاند با استفاده از یک سرویس Geolocation
- استفاده از یادگیری ماشین برای تعیین اینکه براساس اطلاعات کسب شده از قدمهای ۱ تا ۵، آیا هر کدام از ایمیلها، ایمیلهای قیشینگ هستند یا نه.
- جستجوی یک SIEM/LMS برای کاربران دیگری که ایمیلهای یکسانی را دریافت کردهاند.