خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

تجزیه و تحلیل رفتار کاربر و نهاد (UEBA) چیست؟

ارشیا یوسفی ادیب ۱۰ شهریور, ۱۴۰۱ 6 min read

درباره این راه حل امنیت سایبری نسبتاً جدید که به دنبال فعالیت های مشکوک است و به کسب و کارها هشدار می دهد، عمیقاً بیاموزید.

امنیت سایبری در حال تبدیل شدن به اهمیت فزاینده ای برای مشاغل در هر اندازه است. در حال حاضر حتی برای شرکت های کوچک استفاده از ابزارهای زیادی مانند SIEM، فایروال ها و VPN ها برای محافظت در برابر نفوذ رایج است.

با این حال، هکرها به طور فزاینده ای پیچیده می شوند. موفقیت آنها به توانایی آنها در انجام حملات بدون شناسایی توسط چنین ابزارهایی بستگی دارد. و اغلب در انجام این کار موفق می شوند. یکی از راه حل های بالقوه برای این امر به عنوان تحلیل رفتار کاربر و نهاد شناخته می شود.

بنابراین UEBA چیست و آیا کسب و کار شما باید از آن استفاده کند؟ بیایید در زیر بدانیم.

تجزیه و تحلیل رفتار کاربر و نهاد چیست؟

طراحی لوگو امنیت سایبری

UEBA یک راه حل امنیت سایبری است که از مجموعه داده های بزرگ برای مدل سازی فعالیت شبکه استفاده می کند. هم کاربران یک شبکه و هم خود شبکه، مانند روترها و دستگاه های اینترنت اشیا را تجزیه و تحلیل می کند. سپس به دنبال فعالیت مشکوک می گردد و هر زمان که چنین فعالیتی شناسایی شد به یک کسب و کار هشدار می دهد.

این امر با ایجاد یک خط مبنا از آنچه فعالیت عادی در یک شبکه به نظر می رسد به دست می آورد. سپس از یادگیری ماشینی برای تشخیص خودکار رفتار غیرعادی استفاده می کند.

این محبوبیت دارد زیرا بسیاری از محصولات امنیت سایبری برای جستجوی بدافزار آموزش دیده اند. هکرها می توانند با ورود به شبکه و نصب نکردن فایل های مخرب، چنین نرم افزاری را شکست دهند.

برخلاف این، UEBA می تواند به دنبال هر چیز غیرعادی باشد. این به آن اجازه می دهد تا حملات پیچیده تری را که با تهدیدات شناخته شده مطابقت ندارند شناسایی کند.

UEBA چگونه کار می کند؟

امنیت سایبری

راه حل های UEBA معمولاً دارای سه جزء اصلی هستند: تجزیه و تحلیل، یکپارچه سازی و ارائه. بیایید به طور خلاصه به آنها نگاه کنیم:

مطلب مرتبط:   5 روش رایج هکرها برای نفوذ به حساب بانکی شما

تجزیه و تحلیل

UEBA رفتار همه کاربران و دستگاه های شبکه را تجزیه و تحلیل می کند. انجام این کار یک خط پایه ایجاد می‌کند که نشان می‌دهد وقتی یک حمله رخ نمی‌دهد، شبکه چگونه به نظر می‌رسد. سپس از مدل‌های آماری برای تعیین زمانی که کاربر یا دستگاه به گونه‌ای رفتار می‌کند که نباید رفتار می‌کند، استفاده می‌شود.

ادغام

راه حل های UEBA معمولاً برای ادغام با سایر نرم افزارهای امنیتی طراحی شده اند. احتمالاً کسب‌وکار شما از قبل رفتار شبکه را ردیابی می‌کند و محصول UEBA شما باید بتواند داده‌ها را از چنین محصولاتی به‌طور خودکار جمع‌آوری کند.

ارائه

UEBA معمولاً در برابر تهدیدها اقدامی نمی کند. در عوض، برای ارائه داده های خود به کارکنان فناوری اطلاعات برای بررسی بیشتر طراحی شده است. این می تواند به سادگی ارسال یک هشدار باشد. اما بسیاری از محصولات UEBA نمودارها و سایر داده های آماری را نیز تولید می کنند که کارکنان می توانند از آنها برای انجام تجزیه و تحلیل اضافی استفاده کنند.

UEBA در برابر چه چیزی محافظت می کند؟

دوربین مدار بسته امنیتی

UEBA می تواند در برابر تهدیدات مختلف محافظت کند که سایر محصولات امنیتی ممکن است نتوانند. بیایید ببینیم آنها چیست؟

تهدیدات داخلی

نرم افزارهای امنیتی اغلب تشخیص تهدیدات داخلی را دشوار می دانند. در حالی که یک SIEM ممکن است به راحتی یک نفوذ شبکه را تشخیص دهد، ممکن است تشخیص ندهد که شخصی در حال حاضر در یک شبکه در حال انجام کاری است که قرار نیست. یک UEBA که به درستی پیکربندی شده باشد، رفتار عادی کاربران را درک می‌کند و اگر کاربر شروع به انجام کار دیگری کرد، باید یک هشدار ایجاد کند.

حساب های کاربری در معرض خطر

اگر یک کاربر غیرعادی رفتار کند، همیشه ناشی از یک تهدید داخلی نیست. همچنین می تواند به این معنی باشد که یک مهاجم حساب کاربری کاربر را دزدیده است. کارمندان کسب و کار مرتباً مورد هدف فیشینگ قرار می گیرند و بنابراین حساب های کاربری به خطر افتاده یک اتفاق رایج است. به محض اینکه مهاجم شروع به انجام کاری غیرعادی کند، UEBA می تواند حساب های تشکیل شده را شناسایی کند.

مطلب مرتبط:   6 سوال کلیدی که باید هنگام افزایش امنیت سایبری از خود بپرسید

افزایش امتیاز

افزایش امتیاز زمانی اتفاق می‌افتد که به کاربر امتیازات بیشتری برای دسترسی به سایر بخش‌های شبکه داده شود. این چیزی است که یک هکر از آن سود می برد. یک UEBA می تواند تنظیم شود تا هر زمان که امتیازات کاربر افزایش می یابد شناسایی کند و یک هشدار برای بررسی ارسال کند.

حملات Brute Force

حملات Brute Force شامل تلاش های مکرر برای دسترسی به حساب های کاربری و شبکه ها است. از آنجایی که بدیهی است این در رفتار عادی نیست، به راحتی توسط UEBA قابل تشخیص است. در این سناریو، یک UEBA ممکن است یک هشدار ایجاد کند، یا می‌تواند طوری تنظیم شود که مهاجم را به طور خودکار خاموش کند.

دسترسی محدود به اطلاعات

یک UEBA می تواند نظارت کند که چه کسی به اطلاعات محرمانه دسترسی دارد. بنابراین می‌تواند با ایجاد یک هشدار هر زمان که کاربر به چیزی که برای کارش لازم نیست دسترسی پیدا کند، از نقض داده‌ها جلوگیری کند.

UEBA در مقابل SIEM

اطلاعات امنیتی و ابزارهای مدیریت رویداد مشابه UEBA هستند اما کاملاً یکسان نیستند. ابزارهای SIEM همچنین یک شبکه را تجزیه و تحلیل کرده و هر زمان که فعالیت مشکوکی شناسایی شود، هشدار ایجاد می کند.

تفاوت این است که SIEM تنها زمانی هشدار تولید می کند که مهاجم کاری را انجام دهد که به عنوان مخرب شناخته شده است. بنابراین، اگر مهاجم مراقب باشد، همچنان می تواند وارد یک شبکه شده و از شناسایی جلوگیری کند.

UEBA برای شناسایی حملات طراحی شده است، نه به دلیل رفتار مخرب، بلکه به دلیل رفتاری که خارج از هنجار است. این به آن اجازه می دهد تا حملاتی را شناسایی کند که با هیچ تهدید شناخته شده ای مطابقت ندارند.

بسیاری از ابزارهای SIEM اکنون به همین دلیل از UEBA استفاده می کنند، اما اکثر آنها این کار را نمی کنند.

مطلب مرتبط:   چک لیست امنیتی ضروری ویندوز 11 برای ایمن نگه داشتن رایانه شما

آیا همه مشاغل باید از UEBA استفاده کنند؟

کارمندانی که برای یک شرکت کار می کنند

همه کسب‌وکارها باید استفاده از راه‌حل UEBA را در نظر بگیرند، اما مانند بسیاری از راه‌حل‌های جدید امنیت سایبری، لازم است قبل از اجرای آن، مزایا و معایب آن را بسنجیم.

UEBA قادر به شناسایی تهدیدهایی است که SIEM نمی تواند. همچنین می‌تواند تهدیداتی را که کارکنان امنیتی ممکن است از دست بدهند، شناسایی کند. با در نظر گرفتن ضرر و زیان هایی که پس از یک حمله سایبری موفقیت آمیز ایجاد می شود، این حفاظت اضافی اغلب ارزش سرمایه گذاری را دارد.

راه حل های UEBA همچنین حفاظت خودکار را ارائه می دهند. این ممکن است به یک کسب‌وکار اجازه دهد که بخش امنیت سایبری کوچک‌تری داشته باشد و در نتیجه، صرفه‌جویی قابل توجهی در دستمزد ایجاد کند.

نقطه ضعف UEBA این است که اجرای آن گران است. ممکن است خارج از بودجه بسیاری از مشاغل کوچک باشد در حالی که به شدت ضروری نیست. اجرای راه حل UEBA همچنین مستلزم آموزش کارکنان برای استفاده از آن است که هزینه های اضافی را اضافه می کند.

UEBA همچنین جایگزین مناسبی برای سایر محصولات امنیت سایبری نیست. در حالی که یک محصول SIEM ممکن است شامل UEBA باشد، UEBA جایگزینی برای SIEM یا هر محصول امنیتی دیگری که یک کسب و کار از قبل دارد نیست.

UEBA حفاظت برتر را ارائه می دهد

محصولات UEBA نسبت به محصولات استاندارد SIEM پیشرفت قابل توجهی ارائه می دهند و قادر به شناسایی تهدیداتی هستند که در غیر این صورت شناسایی نمی شوند. در حالی که SIEM اغلب با تهدیدات داخلی دست و پنجه نرم می کند، UEBA می تواند به طور خودکار فعالیت غیرعادی شبکه توسط کاربران مجاز را شناسایی کند.

اینکه آیا UEBA برای کسب و کار شما مناسب است یا نه، به بودجه امنیت سایبری شما بستگی دارد. در حالی که UEBA برتر است، هزینه بالای نصب، و این واقعیت که جایگزین محصولات دیگر نمی شود، یک نقطه ضعف آشکار است.

Tags: