راهکار UEBA چیست؟ راهنمای کامل تجزیه‌وتحلیل رفتار کاربر و موجودیت‌ – بخش اول

راهکار UEBA می‌تواند مخفف تجزیه‌وتحلیل رفتار کاربر و رخداد یا تجزیه‌وتحلیل رفتار کاربر و موجودیت‌ باشد. این نوع راهکار نوع اولیه‌ی اقدامات امنیت سایبری یعنی تجزیه‌و‌تحلیل رفتار کاربر یا UBA را گسترش می‌دهد که با استفاده از یادگیری ماشینی و یادگیری عمیق، رفتار کاربران را روی شبکه‌های سازمانی مدل‌سازی کرده و رفتار ناشناسی را که می‌تواند نشانه‌ای از حمله‌ی سایبری باشد نمایش می‌دهد.

راهکار UEBA این تجزیه‌و‌تحلیل را به غیر از کاربران به «موجودیت‌‌ها» و «رخدادها» مثل روترها، سرورها و Endpointها نیز اعمال می‌کند. راهکارهای UEBA از رویکردهای UBA قدیمی قدرتمندتر هستند، زیرا می‌توانند حملات پیچیده‌ای را روی چندین کاربر، دستگاه و آدرس IP شناسایی نمایند.

امروزه UEBA یکی از مهم‌ترین اجزای امنیت IT و بخشی حیاتی از راهکارهای شناسایی تهدید محسوب می‌شود. این راهکارها می‌توانند شدیداً زمان موردنیاز برای شناسایی و پاسخ به حملات سایبری را کاهش دهند و برای این کار با ترکیب قابلیت دید و ساختار متنی و محتوایی از زیرساخت‌های Cloud و On-Premise، تهدیداتی را شناسایی می‌کنند که از دید محصولات قدیمی پنهان می‌ماند.

راهکار UEBA چطور کار می‌کند؟

اصول ابتدایی پشت راهکارهای UEBA از رویکردهای UBA آشنا خواهد بود. تجزیه‌و‌تحلیل رفتار کاربر و موجودیت‌ در ابتدا اطلاعاتی را در مورد رفتار کاربران و موجودیت‌ها از Logهای سیستم جمع‌آوری می‌کند. سپس این سیستم‌ها روش‌های تحلیلی پیشرفته‌ای را اعمال می‌کنند تا داده‌ها را تجزیه‌و‌تحلیل کرده و مبنایی را برای الگوهای رفتار کاربر ایجاد کنند. پس از این کار، UEBA به‌طور مداوم رفتار موجودیت‌ را مانیتور کرده و آن را با رفتار مبناییِ همان موجودیت‌ یا موجودیت‌های دیگر مقایسه می‌کند.

هدف این تجزیه‌و‌تحلیل شناسایی رفتارهای غیرعادی یا اوقاتی است که انحرافاتی نسبت به الگوهای «عادی» صورت می‌گیرد. مثلاً اگر یک کاربر به‌خصوص به‌طور منظم هر روز ۱۰ مگابایت فایل دانلود کند، اما ناگهان شروع به دانلود چندین گیگابایت فایل کند، سیستم می‌تواند این ناهنجاری را شناسایی کرده و نسبت به مورد امنیتی احتمالی به شما هشدار دهد.

این ساختار از UEBA با UBA مشترک است، اما UEBA به موجودیت‌ها نیز نگاه می‌کند. تفکر اصلی پشت UEBA این است که تجزیه‌و‌تحلیل را برای فرایندهای غیرانسانی و موجودیت‌های ماشینی نیز انجام دهد. آنتون چوواکین، تحلیلگر Gartnet به‌خوبی UEBA را شرح می‌دهد: به‌طور خلاصه، UEBA همان UBA است، ولی با داده‌های متنی و محتوایی بیشتری از موجودیت‌ها و تجزیه‌و‌تحلیل بهتر بهبود یافته است.

چرا تجزیه و تحلیل باید از کاربر فراتر باشد؟

در بسیاری از اوقات منطقی است که برای شناسایی رفتارهای غیرعادی به حساب‌های کاربری مجزا نگاه نکنیم. مثلاً هکرهایی که وارد رایانه‌ی یک قربانی شده‌اند، ممکن است از چندین کاربر استفاده کنند تا سوءاستفاده‌های بعدی (یا همان حرکت جانبی) خود در سیستم‌های دیگر را به اجرا درآورند.

موجودیت‌ بزرگی که باید رویش تمرکز کرد، حساب کاربری نیست، بلکه خود دستگاه است که می‌توان از طریق آدرس IP آن را شناسایی نمود. به‌عبارت‌دیگر باید به دنبال فعالیت‌های غیرعادی گشت که عنصر مشترک در آن‌ها، آدرس IP از یک ایستگاه کاری است.

یا در مورد نرم‌افزار سیستم ویندوز موجود (regsvr32 یا rundll32) که هکرها در محیطی نامرتبط با کاربرد عادی از آن استفاده می‌کنند، موجودیت‌ منطقی بعدی که باید رویش تمرکز کرد، خود نرم‌افزار است.

راهکار UEBA یا تجزیه‌وتحلیل رفتار کاربر و موجودیت‌ چه اجزایی دارد؟

راهکارهای UEBA دارای سه جزء اصلی هستند که همگی برای عملکرد آن‌ها حیاتی است:

1. تجزیه‌و‌تحلیل داده از رفتار «عادی» کاربران و موجودیت‌ها استفاده می‌کند تا پروفایلی از این رفتار عادی بسازد. سپس می‌توان مدل‌های آماری را اعمال کرد تا رفتارهای غیرعادی شناسایی شود و به ادمین‌های سیستم هشدار داده شود.
2. یکپارچه‌سازی داده بدین معنا است که سیستم‌های UEBA می‌توانند داده‌ها را از منابع مختلف با سیستم‌های امنیتی موجود مقایسه کنند، منابعی مثل Logها، داده‌های ضبط Packet و مجموعه داده‌های دیگر.
3. ارائه‌ی داده فرایندی است که سیستم‌های UEBA از طریق آن، نتایج خود را ارائه می‌نمایند. این امر معمولاً از طریق یک درخواست انجام می‌شوند که تحلیلگر امنیتی رفتار غیرعادی را بررسی کند.

راهکار UEBA با UBA چه تفاوتی دارد؟

در اکتبر ۲۰۱۷، Gartner یک راهنمای بازار جدید را برای UEBA منتشر کرد. این اولین باری بود که حرف “E” به UBA اضافه شده بود.

برای درک اضافه شدن این حرف، شاید بد نباشد که تعریف بازاری UBA را مرور کنیم. بازار اصلی UBA روی تکنولوژی‌های امنیت (سرقت داده) و کلاه‌برداری (استفاده از اطلاعات دزدی) تمرکز داشت. اما با رشد سرقت داده، تکنولوژی‌های امنیتی در بازار نیز رشد کردند. درنتیجه Gartner بیان داشت که رشد و بلوغ آن نیازمند فاصله گرفتن از تکنولوژی‌های شناسایی کلاه‌برداری است.

این تغییر همچنین به دلیل چندین تغییر موازی در طرز دید شرکت‌ها به امنیت سایبری رخ داده است. تکامل DevSecOps و رشد مهندسی آشوب اهمیت ردیابی و مانیتورینگ تمام دستگاه‌های متصل به یک سیستم و مانیتور کردن کنترل‌های دسترسی آن‌ها را نشان داده است. همانطور که پیش‌تر اشاره شد، امروزه حیاتی است که درک شود هر موجودیت‌ روی یک لیست کنترل دسترسی یا ACL نشان‌دهنده‌ی چیست، از جمله هویت‌های ضمنی که در محیط ویندوز ایجاد شده‌اند و به‌طور خاص تفاوت بین گروه «همه‌ی افراد» و «کاربران احراز هویت‌شده».

این ملاحظات منجر شد به تغییر نام از UBA به UEBA که بنا به گفته‌ی Gartner، حرف E در آن:

… نشان می‌دهد که معمولاً موجودیت‌های دیگری نیز به غیر از کاربران بررسی می‌شوند تا تهدیدات به‌طور دقیق‌تری مشخص گردند و این کار تا حدی با همبستگی رفتار موجودیت‌های دیگر با رفتار کاربر انجام می‌گردد.

به‌عبارت‌دیگر، نرم‌افزار UEBA هم فعالیت کاربر و هم موجودیت‌های دیگر، مثل Endpointهای مدیریت‌شده و مدیریت‌نشده، برنامه‌های کاربردی (شامل برنامه‌های کاربردی Cloud، موبایل و دیگر برنامه‌های On-Premises) شبکه‌ها و همچنین تهدیدات خارجی دیگر را همبسته‌سازی می‌کند.

با استفاده از UEBA، شما می‌توانید از خود در برابر تهدیدات خارجی که وارد Perimeter شما می‌شوند و همچنین تهدیدات داخلی که از قبل وجود دارند حفاظت کنید، حفاظتی که هم داخلی است و هم خارجی.

چرا به UEBA نیاز داریم؟

دلیل اصلی رشد راهکار UEBA یک درک ساده بود: اقدام‌های پیشگیرانه دیگر برای ایمن نگه داشتن سیستم‌های شرکتی کافی نیستند.  Gatewayهای وب، فایروال‌ها، ابزار پیشگیری از نفوذ و سیستم‌های اتصال رمزگذاری‌شده مثل VPNها دیگر نمی‌توانند از شما در مقابل نفوذ حفاظت کنند. هکرها بالاخره وارد سیستم‌های شما خواهند شد و مهم است که به محض اینکه این اتفاق افتاد، آن‌ها را شناسایی کنید.

درنتیجه، ارزش UEBA به این نیست که از دسترسی هکرها یا افراد داخلی به سیستم‌های حیاتی جلوگیری کند. بلکه سیستم‌های UEBA می‌توانند به‌سادگی متوجه این موضوع شوند و شما را نسبت به ریسک آگاه کنند.

تصمیم‌گیری در مورد اینکه آیا یک سیستم UEBA برای شما مناسب است یا خیر به همین اصل و چندین ملاحظه‌ی دیگر بستگی دارد. از جمله‌ی موارد زیر:

• آیا UEBA می‌تواند آسیب‌پذیری شما را نسبت به متداول‌ترین انواع حملات سایبری کاهش دهد. برخی از متداول‌ترین حملات عبارت‌اند از حملات فیشینگ، Whaling، مهندسی اجتماعی، Distributed Denial of Service یا DDoS، بدافزار و باج‌افزار. اگر هر یک از این حملات موفقیت‌آمیز باشد، UEBA به‌سرعت شما را مطلع می‌کند.
• از طرف دیگر باید توجه داشت که ابزار و فرایندهای UEBA قرار نیست جایگزین سیستم‌های مانیتورینگ قدیمی شوند، بلکه باید برای تکمیل کردن آن‌ها و بهبود وضعیت امنیتی کلی شرکت مورد استفاده قرار گیرند.
• به همین دلیل، UEBA همیشه باید در کنار یک راهکار مانیتورینگ Perimeter مورد استفاده قرار گیرد. Edge فراداده‌هایی را از تکنولوژی‌های Perimeter مثل DNS، VPN و پراکسی‌های وب مورد استفاده قرار می‌دهد تا نشانه‌های حمله در Perimeter را ببیند. فعالیت Perimeter با فعالیت دسترسی به داده‌ی اصلی کاربر، مکان جغرافیایی، عضویت گروه امنیتی و غیره مقایسه می‌شود و به تحلیلگران SOC شما هشدارهای تمیزتر و معنادارتری می‌دهد.
• به همین شکل، UEBA جایگزینی برای مسدودکننده‌های امنیتی دسترسی به Cloud یا CASB نیست، این مسدود‌کننده‌ها برنامه‌هایی کاربردی هستند که به سازمان‌ها کمک می‌کنند داده‌های ذخیره شده در Cloud را مدیریت و حفاظت نمایند. Gartner به سازمان‌ها پیشنهاد می‌کند که یک راهکار Goldilocks CASB را پیدا کنند که قابلیت‌های مناسبی را برای برنامه‌های کاربردی SaaS و زیرساخت Cloud فراهم کرده و از این قابلیت‌ها کنار UEBA استفاده نمایند.

نکته‌ی نهایی این است که وقتی فعالیت مبنایی در یک محیط ناهنجاری‌هایی را از خود نشان بدهند، نرم‌افزار UEBA می‌تواند به‌طور کارآمدی به مأموران امنیتی هشدارِ یک حمله‌‌ی احتمالی را بدهد.  این امر بسیار مفید است، اما جایگزین یک راهکار شناسایی تهدید جامع نمی‌باشد.