UBA چیست؟

2 شهریور 1404
ارسال شده توسط
مقالات

تحلیل رفتار کاربر (UBA) User Behavior Analytics که در حال حاضر ابزاری پیشرفته در حوزه امنیت سایبری به حساب می آید، به تحلیل و بررسی الگوهای رفتار کاربران در شبکه می‌پردازد. شاید کسی فکرش را نمی کرد که این فناوری که سال ها قبل، برای بهینه‌سازی کمپین‌های بازاریابی ایجاد شده بود، حالا به یکی از ارکان اصلی شناسایی تهدیدهای سایبری تبدیل شود. اما تکامل فناوری و تهدیدهای پیچیده سایبری، متخصصان و عرضه کنندگان محصولات امنیتی را به سمتی سوق داد که با بهره گیری از این فناوری بتوانند ناهنجاری‌هایی را شناسایی کنند که ممکن است نشان‌دهنده فعالیت‌های مخرب، مانند حملات داخلی یا دسترسی‌های غیرمجاز باشد. در این مقاله، به بررسی مفهوم UBA و روش‌های تحلیل و کاربردهای آن در امنیت سایبری خواهیم پرداخت. با ما در ادامه این مقاله همراه باشید.

 

از بازاریابی تا امنیت سایبری

در اوایل دهه 1990 بازاریاب های دیجیتال به دنبال ابزاری برای بهینه سازی کمپین های بازاریابی بودند تا بتوانند رفتارهای کاربران در وب‌سایت‌ها را رهگیری کنند و از طریق آن بتوانند به شرکت‌ها کمک کنند تا الگوهای خرید و تعامل کاربران را شناسایی کنند. به عنوان مثال، بازاریاب ها دنبال این بودند که بدانند کاربران بیشتر روی چه محصولاتی کلیک می کنند، الگوی رفتاری آن ها در سایت چگونه است. از چه صفحاتی وارد و خارج می شوند، از چه محصولاتی بازدید می کنند و میزان ماندگاری آن ها در سایت چقدر است و سایر موارد از این دست نیازهایی بود که باید برآورده می شد. دیری نگذشت که شرکت های نرم افزاری، این خواسته بازاریاب ها را با توسعه ابزارهای برای جمع آوری و تحلیل رفتارهای کاربران در سایت ها برآورده کردند و با گسترش بیش از پیش اینترنت، این ابزارها نیز روز به روز توسعه یافت.

اواسط دهه 2000 بود با افزایش تهدیدهای سایبری و نیاز به امنیت بیشتر، UBA به حوزه امنیت سایبری وارد شد. ایده اولیه ساده بود: با تحلیل و بررسی نحوه رفتار کاربران عادی، الگوی رفتاری آن ها شناسایی شده و رفتارهای غیرعادی تشخیص داده می شد. خیلی زود سازمان‌ها شروع به استفاده از این ابزار برای شناسایی رفتارهای غیرعادی و ناهنجاری‌ها کردند که می‌توانستند نشان‌دهنده فعالیت‌های مخرب باشند. فناوری UBA در اواسط دهه 2015 با فناوری یادگیری ماشین ادغام شد و این امکان را به سازمان ها داد تا به طور خودکار و با دقت بیشتر الگوهای رفتار عادی را شناسایی کرده و انحرافات را با دقت بیشتری تشخیص دهند. در سال های اخیر، UBA به یکی از ابزارهای کلیدی در امنیت سایبری تبدیل شده و سازمان ها بیش از پیش از آن استفاده می کنند.

 

UBA چطور کار می کند؟

به طور کلی، یک راه‌حل UBA شامل سه مؤلفه تحلیل، ادغام با سایر محصولات امنیتی و ارائه نتایج است. تحلیل، داده‌ها را جمع‌آوری و سازماندهی می‌کند تا رفتارهای عادی کاربران و موجودیت‌ها را شناسایی کند. ادغام با سیستم‌های امنیتی موجود، ضروری است تا داده‌های جمع‌آوری‌شده از منابع مختلف را مقایسه و یکپارچه کند. در نهایت، ارائه نتایج شامل ارتباط یافته‌های سیستم UBA و تعیین پاسخ مناسب است که می‌تواند شامل ایجاد هشدار برای کارمند یا مدیر IT یا اقدام فوری مانند قطع اتصال شبکه برای کارمند مشکوک باشد. در ادامه با جزییات بیشتری درباره نحوه کار یک سیستم UBA توضیح می دهیم.

در ابتدا، ابزار UBA روی تمام سیستم های کاربران یک سازمان نصب می شود. سپس UBA، در مرحله اول که به نوعی مرحله یادگیری اولیه است، با جمع آوری اطلاعات از طریق فایل‌های لاگ، ترافیک شبکه و استفاده از برنامه‌ها برای تمام کاربران پروفایل سازی می کند. با استفاده از این پروفایل ها و بهره گیری از الگوریتم های یادگیری ماشین و مدل‌سازی آماری و سایر تحلیل‌های پیشرفته، تمام معیارهای مربوط به رفتار عادی کاربران (شامل فعالیت‌ها و تعاملات رایج که کاربر در آن‌ها شرکت می‌کند و همچنین اطلاعات غیرفعال مانند موقعیت جغرافیایی کاربر) تعیین می‌شود. مدت زمان مرحله یادگیری در هر سازمان متفاوت است.

پس از مرحله یادگیری، UBA وارد مرحله بهره برداری می شود و با استفاده از الگوهای رفتار عادی کاربران که در مرحله یادگیری شناسایی کرده، انحراف ها از این معیار رفتارهای عادی کاربران را شناسایی می کند. این انحراف ها می تواند تهدیدی مانند تلاش‌های دسترسی غیرمجاز و سایر تهدیدهای امنیتی باشد. UBA با بررسی هرکدام از این تهدیدها، بر اساس شدت آن‌ها یک امتیاز ریسک اختصاص می‌دهد تا خطرات بالقوه آن‌ها را تعیین کند. اگر شناسایی تهدید از آستانه ریسک تعیین شده فراتر رود، این فناوری تیم امنیتی را به روش های مختلف مطلع می‌کند تا بتوانند به بررسی و پاسخ به این تهدیدها بپردازند (در بعضی سیستم ها هم ممکن است خود UBA برخی پاسخ های ابتدایی را به تهدید بدهد مانند قطع اتصال شبکه). البته نکته مهم اینجاست که معیارهای UBA برای تشخیص رفتار عادی کاربران ثابت نیست. یعنی یادگیری متوقف نمی شود و به طور مداوم در حال تکامل و تغییر است و پروفایل‌های رفتاری کاربران با جستجوی الگوهای فعالیت جدید و داده‌های جدید به‌روزرسانی می شود. این یادگیری مداوم به UBA کمک می‌کند تا با گذشت زمان در شناسایی ناهنجاری‌ها بهتر شود و خطاهای کمتری داشته باشد.

 

تفاوت UBA و UBEA

همان طور که گفتیم، تحلیل رفتار کاربر User Behavior Analytics  یا به اختصار به تحلیل و بررسی الگوهای رفتار کاربران در برنامه ها و سیستم‌ها می‌پردازد. اما در User and Entity Behavior Analytics یا به اختصار UBEA کلمه Entity اضافه شده که بر تمام موجودیت های یک سازمان دلالت دارد. یعنی در UBEA تمام فعالیت‌های موجودیت‌هایی مانند سرورها، روترها، ماشین ها، برنامه ها و … نیز مورد بررسی قرار می گیرد. موجودیت هایی که ممکن است به‌طور مستقیم به اقدامات خاص یک کاربر مرتبط نباشند، اما هنوز هم می‌توانند با یک آسیب‌پذیری، شناسایی، نفوذ یا وقوع یک سوءاستفاده همبستگی داشته باشند.

اصطلاح UEBA در سال 2015 توسط گارتنر معرفی شد. سیستم‌های UEBA داده‌های بیشتری تولید کرده و گزینه‌های گزارش‌گیری پیچیده‌تری نسبت به سیستم‌های UBA ارائه می‌دهند  اما در حال حاضر در بیشتر موارد در ادبیات امنیت سایبری UBA و UBEA را به جای یکدیگر استفاده می کنند.

 

 

کاربردهای UBA در امنیت سایبری

UBA یکی از ابزارهای کلیدی در حوزه امنیت سایبری است که از طریق نظارت بر فعالیت های کاربران می تواند تهدیدهای داخلی را شناسایی کند، رفتارهای غیرعادی را تشخیص دهد، به نحوه پاسخ به حوادث کمک کند و احراز هویت چندعاملی را بهبود ببخشد. در ادامه در مورد هریک از این موارد توضیح خواهیم داد.

شناسایی تهدیدهای داخلی و رفتارهای غیرعادی  

تحلیل رفتار کاربر برای شناسایی تهدیدهای داخلی و فعالیت‌های غیرمعمول ضروری است و به عنوان یکی از ارکان امنیت موثر سازمان ها به شمار می‌آید. در ادامه چند مثال از تهدیدهایی که UBA می تواند شناسایی کند آورده ایم.

مثال 1: اگر یک کارمند در شرکت یا سازمان شما، به فایل‌های حساسی دسترسی پیدا کند که معمولاً به آن‌ها دسترسی ندارد، UBA این رفتار غیرمعمول را شناسایی کرده و در لحظه هشدار مربوطه را صادر می کند. چرا؟ چون می داند که این کارمند پیش از این هرگز چنین سطح دسترسی ای نداشته و این می تواند به نوعی تهدید باشد. حال این تهدید ممکن است از طرف خود آن کارمند بوده باشد یا اینکه هکری با نفوذ به شبکه در نقش آن کارمند دست به چنین اقدامی زده است. شناسایی چنین ناهنجاری‌هایی به تأمین امنیت دارایی های مهم سازمان شما قبل از وقوع هرگونه آسیب کمک می‌کند.

مثال 2: اگر یک کارمند به طور مکرر تلاش کند تا به حساب کاربری خود وارد شود و این تلاش‌ها در زمان‌ها یا مکان‌های غیرمعمول انجام شود، UBA می‌تواند این الگوی غیرمعمول را شناسایی کرده و به تیم امنیتی هشدار دهد که نشانه‌ای از تلاش برای نفوذ به حساب کاربری آن کارمند در حال وقوع است.

مثال 3: اگر یک کارمند تغییر شدید و ناگهانی در نحوه فعالیت‌های خود داشته باشد، مانند دانلود یا آپلود حجم زیادی از داده‌ها به داخل/خارج از سازمان، UBA می‌تواند این تغییرات را شناسایی کند و به تیم امنیتی اطلاع دهد.

مثال 4: اگر یک کارمند از دستگاهی که قبلاً ثبت نشده برای دسترسی به سیستم‌های سازمان استفاده کند،  UBA در این حالت نیز می‌تواند این رفتار را شناسایی کرده و هشداری مبنی بر تلاش برای دسترسی غیرمجاز صادر کند.

این شناسایی تهدیدهای بلادرنگ به کمک UBA، پاسخ‌های سریع را تضمین می‌کند که به‌ویژه در سازمان‌های بزرگ که شناسایی دستی رفتار‌های غیرمعمول چالش‌برانگیز است، بسیار مفید است.

 

افزایش دید امنیتی و توانایی پاسخ به حوادث 

همان طور که دیدیم، تحلیل رفتار کاربر به طور قابل توجهی در شناسایی تهدیدها موثر است. همین شناسایی به موقع، دید امنیتی و توانایی‌های پاسخ به حوادث را در هر سازمانی به شدت افزایش می‌دهد. به طور مثال، وقتی UBA بتواند اقدامات کاربران را در شبکه‌ها و دستگاه‌ها ردیابی کرده و به شناسایی زودهنگام نقض‌های امنیتی کمک کند؛ این نظارت دقیق، امکان واکنش سریع را برای تیم امنیتی فراهم می‌آورد. البته در برخی موارد نیز، این امکان وجود دارد که خود سیستم UBA پاسخ سریع و اولیه ای به برخی حملات بدهد (مانند قطع اتصال شبکه در موارد خاص). همچنین ادغام UBA با سیستم‌های مدیریت اطلاعات و رویدادهای امنیتی (SIEM) این دید را بیشتر تقویت می‌کند. در بخش های بعدی همین مقاله درباره این ادغام صحبت خواهیم کرد.

 

احراز هویت چندعاملی 

پیاده‌سازی احراز هویت چندعاملی (MFA) Multi-factor authentication همراه با تحلیل رفتار کاربر (UBA) امنیت را به طور قابل توجهی تقویت می‌کند. به عنوان مثال، اگر تلاش‌های ورود از یک مکان غیرمعمول یا در ساعات غیرعادی انجام شود یا کاربر چند تلاش ناموفق به سیستم داشته باشد، UBA از کاربر می‌خواهد مراحل احراز هویت اضافی (مانند وارد کردن کدتایید ارسال شده به تلفن همراه) را طی کند. این کار اطمینان می دهد که دسترسی فقط به کاربرانی داده می شود که  تأییدشده باشند.

 

مزایا و معایب استفاده از UBA

استفاده از UBA با شناسایی دامنه وسیع تری از حملات امنیت را به طور قابل توجهی در سازمان شما افزایش می دهد. با داشتن چنین سیستمی، قطعا نیاز به تحلیل گران IT در سازمان شما کمتر از قبل بوده و در نتیجه هزینه ها و ریسک کاهش می یابد. البته استفاده از UBA پیچیدگی خاص خودش را هم دارد و ممکن است استفاده از آن برای هر سازمانی مناسب نباشد.

مزیت اصلی UBA این است که به شناسایی دامنه وسیع‌تری از تهدیدهای سایبری کمک می کند. حملات brute-force، DDoS، تهدیدهای داخلی و حساب‌های compromised تنها چند دسته از تهدیدهایی هستند که UBA قادر به شناسایی آن‌هاست.

سیستم UBA مانند هر نرم افزار دیگری که از هوش مصنوعی و به طور خاص یادگیری ماشین استفاده می کند، تا حدی نیاز به دخالت انسانی را کمتر می کند. به این معنی که کارهایی که تا پیش از این توسط تحلیل گران انجام می شد حالا توسط UBA انجام می شود. البته سازمان های بزرگ با نیازهای امنیتی پیچیده یا در مواردی که سازمان تصمیم بگیرد هرگونه رفتار غیرعادی را قبل از هرگونه اقدام بررسی کند از این مورد مستثنی هستند.

پس به طور کلی، اگر یک سازمان به تحلیل‌گران کمتری برای انجام کارهایی که سیستم UBA انجام می‌دهد نیاز داشته باشد، در این صورت هزینه‌های IT کاهش خواهد یافت. اما این به معنای آن نیست که تمام تحلیل‌گران امنیتی باید پس از راه‌اندازی سیستم اخراج شوند. یادگیری ماشین در هر محیطی هنوز به مداخله انسانی نیاز دارد. علاوه براین، متوقف کردن حملات در مراحل ابتدایی حمله و جلوگیری از آسیب به دارایی ارزشمند سازمان به نوعی صرفه جویی در هزینه ها محسوب می شود. چراکه سازمان برای تمام ساعات و روزهایی که صرف مقابله با حمله می شوند باید پول پرداخت کند. البته برخی حملات مانند حملات باج افزاری یا حملاتی که سازمان های اقتصادی صورت می گیرد به طور مستقیم با هزینه های سازمان ارتباط دارد و جلوگیری از وقوع آن ها بهترین صرفه جویی در هزینه ها برای سازمان است.

با این حال، برخی معایب در خرید و پیاده‌سازی یک سیستم UEBA وجود دارد. یکی از آن‌ها قیمت است. ممکن است این سیستم برای برخی سازمان‌ها بیش از حد گران باشد. موضوع دیگر پیچیدگی است. در حالی که برای شرکت‌های بزرگ با نیازهای امنیتی پیچیده ممکن است استفاده از UBA مفید باشد، برای کسب‌وکارهای کوچک و متوسط که می‌توانند شناسایی و مدیریت تهدیدها را از طریق مجموعه‌ای دیگر از راه حل ها، مانند فایروال‌ها و VPNها، انجام دهند، شاید چندان مفید نباشد.

عیب دیگری که سیستم های UBA دارند غیرقطعی بودن آن هاست. یعنی ممکن است نتیجه کار آن ها صدور هشدارهایی مثبت کاذب باشد. به عبارت دیگر، فعالیت های معمول را به عنوان تهدید شناسایی کرده و هشدار صادر کنند و همین خود باعث هدررفت بخشی از زمان تیم امنیتی می شود.

 

استفاده از UBA همراه با SIEM

همان طور که در مقاله SIEM چیست توضیح دادیم، مدیریت اطلاعات و رویدادهای امنیتی (SIEM) استفاده از مجموعه‌ای پیچیده از ابزارها و فناوری‌هاست که به سازمان‌ها نمای جامعی از سیستم امنیت IT خود می‌دهد. این سیستم از داده‌ها و اطلاعات رویدادها استفاده می‌کند و با بررسی الگوهای عادی، در صورت بروز شرایط و رویدادهای غیرعادی هشدارهایی ارائه می‌دهد. از این جهت، SIEM مشابه UBA است چون از اطلاعات رفتار کاربران و موجودیت‌ها برای تعریف رفتار عادی و غیرعادی استفاده می‌کند. پس این سوال ممکن است پرسیده شود: آیا یک سازمان به هر دو SIEM و UEBA نیاز دارد؟

پاسخ هم بله و هم خیر است. در حالی که این دو ابزار ممکن است به شدت مشابه به نظر برسند، اما هر کدام کارهای متفاوتی انجام می‌دهند. SIEM ابزار خوبی برای مدیریت امنیت است و می‌تواند به راحتی با تهدیدهای زمان واقعی مقابله کند، اما ممکن است نتواند برخی حمله سایبری پیچیده را شناسایی کند. این به خاطر این است که حملات سایبری پیچیده، تهدیدهایی نیستند که به صورت دفعی و یکباره اتفاق بیفتند و ممکن است حاصل تلاش طولانی مدت نفوذگران به سیستم باشند. از سوی دیگر، UBA قادر به شناسایی تهدیدهای پیچیده‌تری است. تهدیدهایی که می تواند شامل زنجیره ای از اقدامات نه چندان مشکوک باشند که تحلیل تجمیعی برآیند آن ها منجر به شناسایی تهدید می شود.

با ترکیب ابزارهای UBA و SIEM، دفاع در برابر دامنه وسیع تری از تهدیدها ممکن می شود. در حالی که SIEM در گزارش‌دهی انطباق و نظارت بر رویدادها، مانند فعالیت‌های دسترسی، عالی است، UBA در شناسایی تهدیدهای داخلی و حفاظت از دارایی‌های ارزشمند دیجیتال سازمان بهتر عمل می‌کند. از آنجا که تهدیدهای داخلی در برخی موارد پرهزینه هستند، UBA را به عنوان مکملی برای SIEM در نظر بگیرید. برای سازمان هایی که در حال حاضر از یک سیستم SIEM استفاده می کنند توصیه می شود که قبل از بکارگیری از یک سیستم UBA جدید، قابلیت‌های نظارت بر کاربران، پروفایل‌سازی و شناسایی ناهنجاری همان سیستم SIEM را ارزیابی کرده و بررسی کنید که آیا می‌توان آن‌ها را به موارد استفاده شما تطبیق داد یا خیر.

 

Splunk UBA

ابزار Splunk UBA یکی از محصولات تجاری موجود در بین ابزارهای UBA است. در اینجا قصد نداریم نحوه کار با این ابزار را آموزش دهیم و صرفا چند اسکرین شات از بخش های مختلف این ابزار را آورده ایم تا با محیط این ابزار آشنا شوید. سایر محصولات نیز امکانات مشابهی دارند.

شکل1. تصویر صفحه اصلی ابزار UBA

همان طور که در شکل 1 مشاهده می کنید، ابزار Splunk UBA بخش های مختلفی دارد. تهدیدهای اخیر، ناهنجاری ها یا رفتارهای غیرعادی اخیر، وضعیت تایم لاین تهدیدها و ناهنجاری ها و سایر موارد، از جمله امکاناتی است که در صفحه اصلی این ابزار ملاحظه می کنید. مثلا در وضعیت کنونی این شبکه، تعداد 18 تهدید و 183 رفتار غیرعادی شناسایی شده است. عددی که روبروی هر تهدید یا ناهنجاری نوشته شده، نمره آن است که هرچه بالاتر باشد، آن تهدید جدی تر است

 

شکل2. جدول تهدیدها در ابزار UBA

همان طور که در شکل2 می بینید، در جدول تهدیدها، نوع تهدید، دسته بندی آن، کاربران و موجودیت های درگیر در آن تهدید و تاریخ و نمره آن تهدید نمایش داده می شود. در ستون سمت چپ هم امکان انتخاب تهدیدها بر اساس فیلترهای مختلف وجود دارد. در صورتی که روی هر کدام از این تهدیدها کلیک کنید وارد صفحه جزییات تهدید می شوید که صفحه ای مانند صفحه زیر است.

شکل3. جزییات تهدیدها در ابزار UBA

همان طور که در شکل3 ملاحظه می کنید، در اینجا اطلاعات تفصیلی هر تهدید با جزییات کامل و دقیق قابل مشاهده است. البته آنچه در شکل 3 آمده فقط بخش کوچکی از جزییاتی است که برای هر تهدید قابل مشاهده است. علاوه بر نمایش جزییات تهدیدها، امکان مشاهده جزییات رفتاری هر کاربر نیز وجود دارد.

شکل4. بخشی از صفحه جزییات رفتاری کاربران در ابزار UBA

همان طور که در شکل4 می بینید، برای این کاربر خاص سه تهدید و 13 رفتار غیرعادی شناسایی شده که جزییات آن در در بخش های پایین تر از صفحه ای که ما فقط بخشی از آن را اینجا آورده ایم قابل مشاهده است. UBA علاوه بر این ها، داشبوردهای سطح بالای مدیریتی نیز دارد. شکل 5 نمونه ای از این داشبوردها است.

 شکل5. نمونه ای از داشبوردها در ابزار UBA

همان طور که در شکل5 ملاحظه می کنید، آمارهای تجمیعی همراه با نمودارهای مختلف به تفکیک بخش های مختلف تحلیل، تهدید، ناهنجاری، کاربران، دستگاه ها، برنامه ها و رخدادها وجود دارد. Splunk UBA به کمک این داشبوردها یک دید کلی از وضعیت جاری شبکه به مدیران می دهد که در تصمیم گیری های مختلف برای ارتقای امنیت شبکه سازمان بسیار مفید و تعیین کننده است.

 

جمع بندی

UBA ابزاری قدرتمند است برای افزایش امنیت سازمان شماست که با تحلیل فعالیت‌های کاربران و موجودیت ها، به شناسایی الگوها و تهدیدهای بالقوه کمک می‌کند و اطمینان حاصل می‌کند که شبکه شما ایمن باقی بماند. همچنین بینش‌ها و دیدهای کلی ارزشمندی درباره نحوه تعامل کاربران با شبکه شما ارائه می‌دهد و امکان اتخاذ تصمیمات مبتنی بر داده را فراهم می‌کند که منجر به افزایش امنیت، تاب آوری، تعامل و رضایت می‌شود. با چنین ویژگی هایی UBA احتمالا در آینده هم جزیی تعیین کننده از مجموعه ابزارهای لازم برای تامین امنیت شبکه های بزرگ خواهد بود. البته که موضوع حریم خصوصی بحثی چالش برانگیز در این حوزه است که در کنار پیشرفت های فنی در این حوزه، احتمالا در آینده بیش از پیش محل بحث خواهد بود.

 

دیدگاهتان را بنویسید