راهکار UEBA چیست؟ راهنمای کامل تجزیه‌وتحلیل رفتار کاربر و موجودیت‌ – بخش دوم

در بخش اول مقاله راهکار UEBA چیست؟ به معرفی UEBA و اجزای آن پرداختیم و نحوه کار آن را مورد بررسی قرار دادیم. همچنین تفاوت راهکار UEBA با UBA را بیان کردیم و دلایل نیاز به وجود یک راهکار UEBA در سازمان را تشریح نمودیم. در این قسمت به ادامه مبحث راهکار UEBA، راهنمای کامل تجزیه‌وتحلیل رفتار کاربر و موجودیت خواهیم پرداخت.

راهکار UEBA چه مزایایی دارد

• مزیت اصلی UEBA این است که به شما اجازه می‌دهد به‌طور خودکار انواعی از حملات سایبری را شناسایی کنید. این حملات شامل تهدیدات داخلی، حساب‌های کاربری دچار نقض امنیتی، حملات Brute-Force، ساخت کاربران جدید و نقض‌های امنیتی داده است.
• دلیل مفید بودن راهکار UEBA این است که سیستم‌های خودکارسازی‌شده می‌توانند به‌شدت تعداد تحلیلگران امنیتی مورد نیاز را کاهش دهند. درحال‌حاضر، این ویژگی یکی از جذابیت‌های اصلی برای بسیاری از شرکت‌ها است، زیرا با وجود اینکه بازار امنیت سایبری همچنان قوی است، شکاف بزرگی در مهارت‌های امنیت سایبری وجود دارد. ۷۴ درصد از پاسخ‌دهندگان به گزارش‌ تحقیقاتی ESG/ISSA می‌گویند که شرکت‌های آن‌ها تحت تأثیر این شکاف قرار گرفته است. این تعداد در سال گذشته ۷۰ درصد بوده است.
• ازآنجایی‌که UEBA اجازه می‌دهد تحلیلگران امنیتی کمتری کار بیشتری انجام دهند، همچنین می‌تواند به‌شدت بودجه‌ی امنیت سایبری شما را کاهش دهد. این امر یکی از دلایل اصلی است که شرکت‌های بیشتری به استفاده از راهکار UEBA روی آورده‌اند. سرمایه‌گذاری در بودجه‌های امنیت سایبری بین سال‌های ۲۰۱۰ و ۲۰۱۸، به میزان ۱۴۱ درصد افزایش داشته است که بخشی از دلیل آن رویکردهای جدیدی مثل UEBA بوده است.

راهکار UEBA چه معایبی دارد

از طرف دیگر، چندین نکته‌ی منفی نیز در مورد UEBA وجود دارد، حتی وقتی کنار ابزارهای دیگر امنیت سایبری استفاده شود.

• مشکل اصلی UEBA هزینه‌ی آن است. درحالی‌که برای اکثر شرکت‌های بزرگ، سرمایه‌گذاری در UEBA به‌سرعت بازگشت سرمایه را به همراه دارد، شرکت‌های کوچک‌تر ممکن است به چنین راهکار مانیتورینگ پیچیده‌ای نیاز نداشته باشند. ازآنجایی‌که اکثر راهکارهای Hosting اختصاصی، کنترل‌های دسترسی کاربر پیشرفته‌ای را برای وب‌سایت‌ها و پورتال‌های وب فراهم می‌کنند، شرکت‌های کوچکی که UEBA را به کار می‌گیرند، ممکن است آن را وقت و هزینه‌ی اضافه بدانند.
• داده‌هایی که توسط UEBA ایجاد می‌شوند از آنچه توسط سیستم‌های UBA ابتدایی‌تر ایجاد می‌گردند، پیچیده‌تر هستند. این امر می‌تواند باعث شود که درک این سیستم بدون آموزش قبلی، برای تحلیلگران دشوار باشد.
• توجه به این نکته ضروی است که اگرچه راهکار UEBA به شیوه‌های به‌خصوصی به شما کمک می‌کند اما جایگزین سیستم‌های امنیت سایبری دیگر نیست. این راهکار به شما این توانایی را می‌دهد که رفتار غیرعادی را تشخیص دهید اما کاری برای متوقف کردن مهاجمان انجام نمی‌دهد.

یادگیری ماشین و تجزیه‌وتحلیل رفتار کاربر و موجودیت‌

UEBA برای کارآمد بودن روی تکنیک‌های یادگیری ماشین یا ML حساب می‌کند. ابزار هوش مصنوعی و یادگیری ماشین می‌توانند پشتیبانی بسیار خوبی را برای تیم IT یا امنیت سایبری فراهم کنند. درحالی‌که شاید ML راه زیادی در پیش دارد تا بتواند به‌طور مستقل و بدون دخالت انسانی  برای شناسایی تهدید مورد استفاده قرار گیرد، می‌تواند برای تقویت امنیت کارهای زیادی انجام دهد.

در ادامه نگاهی دقیق‌تری به کاربرد ML در UEBA خواهیم انداخت. راهنمای Gartner اطلاعاتی در مورد UEBA و موارد کاربرد آن دارد. همانطور که در این راهنما اشاره شده است، در UEBA نسبت به UBA تأکید بیشتری روی استفاده از علم داده و یادگیری ماشین برای جداسازی فعالیت‌های عادی افراد و موجودیت‌ها از فعالیت‌های غیرعادی وجود دارد.

Gartner می‌گوید که UEBA به موارد کاربردی اعمال می‌گردد که تجزیه‌و‌تحلیل دقیق و جمع‌آوری داده‌های متنی و محتوایی در آن حیاتی است، از جمله:

• عاملان مخرب داخلی
• حملات مانای پیشرفته یا APT که از آسیب‌پذیری‌های Zero-Day استفاده می‌کنند
• استخراج داده شامل کانال‌های جدید
• مانیتورینگ دسترسی حساب کاربری

ازآنجایی‌که این موارد کاربرد، شامل آسیب‌پذیری‌های متغیرند، Gartner بیان می‌کند که یادگیری ماشین یا ML برای ایجاد مبنایی که از تعامل‌های بین تمام کاربران، سیستم‌ها و داده گرفته شده باشد، ضروری است. اما همانطور که محققان ML اشاره کرده‌اند، هیچ رویکرد واحدی برای ایجاد این مبناها وجود ندارد.

کلاستربندی K-Means. دسته‌بندی، رگراسیون‌ها، تجزیه‌و‌تحلیل اجزاو… را می‌توان در الگوریتم‌های UEBA مورد استفاده قرار داد. اما حتی بزرگ‌ترین طرفداران تجزیه‌و‌تحلیل مبتنی بر ML به شما خواهند گفت که محدودیت‌هایی در این تکنولوژی وجود دارد. تنظیم این تکنولوژی به‌طور قابل‌توجهی دشوار است و می‌تواند منجر به بزرگ‌ترین مشکل در تمام سیستم‌های UEBA یعنی مثبت‌های کاذب زیاد شود.  به‌عبارت‌دیگر، الگوریتم‌ها آنقدر حساس هستند که در مورد شرایطی هشدار می‌دهند که شاید غیرعادی باشند، اما ناهنجار و نشان‌دهنده‌ی یک مهاجم یا عامل مخرب داخلی نیستند.

شاید یک معمار سیستم مجبور بود در طول آخر هفته کار کند تا به تاریخ پروژه برسد و لازم بود هزاران فایل را کپی کند. اما الگوریتم‌های کلاستربندی UEBA اقدامات این کارمند را غیرعادی دانسته، حساب کاربری او را قفل کرده و به همین علت باعث تاخیر یک پروژه‌ی کلیدی شده است.

راهکار UEBA، داده‌های پاک و مدل‌های تهدید

سؤال بزرگ‌تر برای UEBA، درست مثل سیستم‌های مدیریت اطلاعات و رویدادهای امنیتی یا SIEM، منبع داده است.

انجام تجزیه‌و‌تحلیل امنیتی براساس لاگ رخدادهای ویندوز، کار بسیار دشواری است. درواقع همبستگی رخدادهای مرتبط از لاگ سیستم، فرایندی پیچیده و دارای احتمال خطا است. علاوه بر آن، نیاز به منابع زیادی نیز دارد. راهکارهای بهتری وجود دارند که می‌توانند تاریخچه‌های رخداد مربوط به فایل تمیزتری را ایجاد نمایند.

مشکل دیگری که توسط الگوریتم‌های UEBA ایجاد می‌شود، این است که از صفر شروع می‌کنند، یعنی افراد باید یا از طریق آموزش‌های نظارت‌شده‌ی رسمی یا به‌صورت نیمه نظارت‌شده و فی‌البداهه آموزش ببینند. این مسئله ذاتاً مشکلی ندارد، زیرا نحوه‌ی کار ML همین است.اما در فضای امنیت داده، مزیت بزرگی داریم زیرا می‌دانیم اکثر حوادث حیاتی چگونه رخ می‌دهند.

برای UEBA لازم نیست که فقط روی تکنیک‌های ML حساب کنیم تا بتوانیم «بفهمیم» فاکتورهای کلیدی در تعیین رفتارهای غیرعادی چه مواردی هستند. میدانیم که مثلاً حرکت جانبی، دسترسی به اطلاعات اعتباری و بالا رفتن سطح دسترسی برخی از متداول‌ترین روش‌های حمله هستند. آگاهی از این الگوهای شناخته‌شده به شما این توانایی را می‌دهد که در تنظیم داده‌های رخداد جلو بیفتید. این مسئله طبیعتاً ما را به موضوع مدل‌سازی تهدید می‌رساند.