راهکار UEBA میتواند مخفف تجزیهوتحلیل رفتار کاربر و رخداد یا تجزیهوتحلیل رفتار کاربر و موجودیت باشد. این نوع راهکار نوع اولیهی اقدامات امنیت سایبری یعنی تجزیهوتحلیل رفتار کاربر یا UBA را گسترش میدهد که با استفاده از یادگیری ماشینی و یادگیری عمیق، رفتار کاربران را روی شبکههای سازمانی مدلسازی کرده و رفتار ناشناسی را که میتواند نشانهای از حملهی سایبری باشد نمایش میدهد.
راهکار UEBA این تجزیهوتحلیل را به غیر از کاربران به «موجودیتها» و «رخدادها» مثل روترها، سرورها و Endpointها نیز اعمال میکند. راهکارهای UEBA از رویکردهای UBA قدیمی قدرتمندتر هستند، زیرا میتوانند حملات پیچیدهای را روی چندین کاربر، دستگاه و آدرس IP شناسایی نمایند.
امروزه UEBA یکی از مهمترین اجزای امنیت IT و بخشی حیاتی از راهکارهای شناسایی تهدید محسوب میشود. این راهکارها میتوانند شدیداً زمان موردنیاز برای شناسایی و پاسخ به حملات سایبری را کاهش دهند و برای این کار با ترکیب قابلیت دید و ساختار متنی و محتوایی از زیرساختهای Cloud و On-Premise، تهدیداتی را شناسایی میکنند که از دید محصولات قدیمی پنهان میماند.
راهکار UEBA چطور کار میکند؟
اصول ابتدایی پشت راهکارهای UEBA از رویکردهای UBA آشنا خواهد بود. تجزیهوتحلیل رفتار کاربر و موجودیت در ابتدا اطلاعاتی را در مورد رفتار کاربران و موجودیتها از Logهای سیستم جمعآوری میکند. سپس این سیستمها روشهای تحلیلی پیشرفتهای را اعمال میکنند تا دادهها را تجزیهوتحلیل کرده و مبنایی را برای الگوهای رفتار کاربر ایجاد کنند. پس از این کار، UEBA بهطور مداوم رفتار موجودیت را مانیتور کرده و آن را با رفتار مبناییِ همان موجودیت یا موجودیتهای دیگر مقایسه میکند.
هدف این تجزیهوتحلیل شناسایی رفتارهای غیرعادی یا اوقاتی است که انحرافاتی نسبت به الگوهای «عادی» صورت میگیرد. مثلاً اگر یک کاربر بهخصوص بهطور منظم هر روز ۱۰ مگابایت فایل دانلود کند، اما ناگهان شروع به دانلود چندین گیگابایت فایل کند، سیستم میتواند این ناهنجاری را شناسایی کرده و نسبت به مورد امنیتی احتمالی به شما هشدار دهد.
این ساختار از UEBA با UBA مشترک است، اما UEBA به موجودیتها نیز نگاه میکند. تفکر اصلی پشت UEBA این است که تجزیهوتحلیل را برای فرایندهای غیرانسانی و موجودیتهای ماشینی نیز انجام دهد. آنتون چوواکین، تحلیلگر Gartnet بهخوبی UEBA را شرح میدهد: بهطور خلاصه، UEBA همان UBA است، ولی با دادههای متنی و محتوایی بیشتری از موجودیتها و تجزیهوتحلیل بهتر بهبود یافته است.
چرا تجزیه و تحلیل باید از کاربر فراتر باشد؟
در بسیاری از اوقات منطقی است که برای شناسایی رفتارهای غیرعادی به حسابهای کاربری مجزا نگاه نکنیم. مثلاً هکرهایی که وارد رایانهی یک قربانی شدهاند، ممکن است از چندین کاربر استفاده کنند تا سوءاستفادههای بعدی (یا همان حرکت جانبی) خود در سیستمهای دیگر را به اجرا درآورند.
موجودیت بزرگی که باید رویش تمرکز کرد، حساب کاربری نیست، بلکه خود دستگاه است که میتوان از طریق آدرس IP آن را شناسایی نمود. بهعبارتدیگر باید به دنبال فعالیتهای غیرعادی گشت که عنصر مشترک در آنها، آدرس IP از یک ایستگاه کاری است.
یا در مورد نرمافزار سیستم ویندوز موجود (regsvr32 یا rundll32) که هکرها در محیطی نامرتبط با کاربرد عادی از آن استفاده میکنند، موجودیت منطقی بعدی که باید رویش تمرکز کرد، خود نرمافزار است.
راهکار UEBA یا تجزیهوتحلیل رفتار کاربر و موجودیت چه اجزایی دارد؟
راهکارهای UEBA دارای سه جزء اصلی هستند که همگی برای عملکرد آنها حیاتی است:
- تجزیهوتحلیل داده از رفتار «عادی» کاربران و موجودیتها استفاده میکند تا پروفایلی از این رفتار عادی بسازد. سپس میتوان مدلهای آماری را اعمال کرد تا رفتارهای غیرعادی شناسایی شود و به ادمینهای سیستم هشدار داده شود.
- یکپارچهسازی داده بدین معنا است که سیستمهای UEBA میتوانند دادهها را از منابع مختلف با سیستمهای امنیتی موجود مقایسه کنند، منابعی مثل Logها، دادههای ضبط Packet و مجموعه دادههای دیگر.
- ارائهی داده فرایندی است که سیستمهای UEBA از طریق آن، نتایج خود را ارائه مینمایند. این امر معمولاً از طریق یک درخواست انجام میشوند که تحلیلگر امنیتی رفتار غیرعادی را بررسی کند.
راهکار UEBA با UBA چه تفاوتی دارد؟
در اکتبر ۲۰۱۷، Gartner یک راهنمای بازار جدید را برای UEBA منتشر کرد. این اولین باری بود که حرف “E” به UBA اضافه شده بود.
برای درک اضافه شدن این حرف، شاید بد نباشد که تعریف بازاری UBA را مرور کنیم. بازار اصلی UBA روی تکنولوژیهای امنیت (سرقت داده) و کلاهبرداری (استفاده از اطلاعات دزدی) تمرکز داشت. اما با رشد سرقت داده، تکنولوژیهای امنیتی در بازار نیز رشد کردند. درنتیجه Gartner بیان داشت که رشد و بلوغ آن نیازمند فاصله گرفتن از تکنولوژیهای شناسایی کلاهبرداری است.
این تغییر همچنین به دلیل چندین تغییر موازی در طرز دید شرکتها به امنیت سایبری رخ داده است. تکامل DevSecOps و رشد مهندسی آشوب اهمیت ردیابی و مانیتورینگ تمام دستگاههای متصل به یک سیستم و مانیتور کردن کنترلهای دسترسی آنها را نشان داده است. همانطور که پیشتر اشاره شد، امروزه حیاتی است که درک شود هر موجودیت روی یک لیست کنترل دسترسی یا ACL نشاندهندهی چیست، از جمله هویتهای ضمنی که در محیط ویندوز ایجاد شدهاند و بهطور خاص تفاوت بین گروه «همهی افراد» و «کاربران احراز هویتشده».
این ملاحظات منجر شد به تغییر نام از UBA به UEBA که بنا به گفتهی Gartner، حرف E در آن:
… نشان میدهد که معمولاً موجودیتهای دیگری نیز به غیر از کاربران بررسی میشوند تا تهدیدات بهطور دقیقتری مشخص گردند و این کار تا حدی با همبستگی رفتار موجودیتهای دیگر با رفتار کاربر انجام میگردد.
بهعبارتدیگر، نرمافزار UEBA هم فعالیت کاربر و هم موجودیتهای دیگر، مثل Endpointهای مدیریتشده و مدیریتنشده، برنامههای کاربردی (شامل برنامههای کاربردی Cloud، موبایل و دیگر برنامههای On-Premises) شبکهها و همچنین تهدیدات خارجی دیگر را همبستهسازی میکند.
با استفاده از UEBA، شما میتوانید از خود در برابر تهدیدات خارجی که وارد Perimeter شما میشوند و همچنین تهدیدات داخلی که از قبل وجود دارند حفاظت کنید، حفاظتی که هم داخلی است و هم خارجی.
چرا به UEBA نیاز داریم؟
دلیل اصلی رشد راهکار UEBA یک درک ساده بود: اقدامهای پیشگیرانه دیگر برای ایمن نگه داشتن سیستمهای شرکتی کافی نیستند. Gatewayهای وب، فایروالها، ابزار پیشگیری از نفوذ و سیستمهای اتصال رمزگذاریشده مثل VPNها دیگر نمیتوانند از شما در مقابل نفوذ حفاظت کنند. هکرها بالاخره وارد سیستمهای شما خواهند شد و مهم است که به محض اینکه این اتفاق افتاد، آنها را شناسایی کنید.
درنتیجه، ارزش UEBA به این نیست که از دسترسی هکرها یا افراد داخلی به سیستمهای حیاتی جلوگیری کند. بلکه سیستمهای UEBA میتوانند بهسادگی متوجه این موضوع شوند و شما را نسبت به ریسک آگاه کنند.
تصمیمگیری در مورد اینکه آیا یک سیستم UEBA برای شما مناسب است یا خیر به همین اصل و چندین ملاحظهی دیگر بستگی دارد. از جملهی موارد زیر:
- آیا UEBA میتواند آسیبپذیری شما را نسبت به متداولترین انواع حملات سایبری کاهش دهد. برخی از متداولترین حملات عبارتاند از حملات فیشینگ، Whaling، مهندسی اجتماعی، Distributed Denial of Service یا DDoS، بدافزار و باجافزار. اگر هر یک از این حملات موفقیتآمیز باشد، UEBA بهسرعت شما را مطلع میکند.
- از طرف دیگر باید توجه داشت که ابزار و فرایندهای UEBA قرار نیست جایگزین سیستمهای مانیتورینگ قدیمی شوند، بلکه باید برای تکمیل کردن آنها و بهبود وضعیت امنیتی کلی شرکت مورد استفاده قرار گیرند.
- به همین دلیل، UEBA همیشه باید در کنار یک راهکار مانیتورینگ Perimeter مورد استفاده قرار گیرد. Edge فرادادههایی را از تکنولوژیهای Perimeter مثل DNS، VPN و پراکسیهای وب مورد استفاده قرار میدهد تا نشانههای حمله در Perimeter را ببیند. فعالیت Perimeter با فعالیت دسترسی به دادهی اصلی کاربر، مکان جغرافیایی، عضویت گروه امنیتی و غیره مقایسه میشود و به تحلیلگران SOC شما هشدارهای تمیزتر و معنادارتری میدهد.
- به همین شکل، UEBA جایگزینی برای مسدودکنندههای امنیتی دسترسی به Cloud یا CASB نیست، این مسدودکنندهها برنامههایی کاربردی هستند که به سازمانها کمک میکنند دادههای ذخیره شده در Cloud را مدیریت و حفاظت نمایند. Gartner به سازمانها پیشنهاد میکند که یک راهکار Goldilocks CASB را پیدا کنند که قابلیتهای مناسبی را برای برنامههای کاربردی SaaS و زیرساخت Cloud فراهم کرده و از این قابلیتها کنار UEBA استفاده نمایند.
نکتهی نهایی این است که وقتی فعالیت مبنایی در یک محیط ناهنجاریهایی را از خود نشان بدهند، نرمافزار UEBA میتواند بهطور کارآمدی به مأموران امنیتی هشدارِ یک حملهی احتمالی را بدهد. این امر بسیار مفید است، اما جایگزین یک راهکار شناسایی تهدید جامع نمیباشد.