تجزیه و تحلیل رفتار کاربر و موجودیت (UEBA) یا تشخیص ناهنجاری که اختصار (User and Entity Behavior Analytics) هست یک تکنیک امنیت سایبری است که از الگوریتم‌های یادگیری ماشین (ML) برای شناسایی فعالیت‌های غیرعادی کاربران، میزبان‌ها و سایر موجودیت‌ها در یک شبکه استفاده می‌کند.

در دنیای امروز، سازمان‌ها به شدت تحت تأثیر تهدیدات امنیتی سایبری قرار دارند و استفاده از سیستم‌های UEBA (User and Entity Behavior Analytics) برای شناسایی رفتارهای مشکوک و محافظت از منابع اطلاعاتی اهمیت بیشتری پیدا کرده است. اما پیش از پیاده‌سازی UEBA، سازمان‌ها باید به چندین سوال اساسی پاسخ دهند تا از اثربخشی این سیستم‌ها اطمینان حاصل کنند:

1. آیا سازمان شما داده‌های کافی از رفتار کاربران دارد؟ برای پیاده‌سازی UEBA به داده‌های گسترده‌ای از رفتار کاربران نیاز است، مانند لاگ‌ها، تعاملات، دسترسی‌ها و درخواست‌ها. آیا سازمان شما این داده‌ها را به‌درستی جمع‌آوری می‌کند؟
2. چگونه می‌توان الگوهای عادی و غیرعادی رفتار کاربران را شناسایی کرد؟ تعیین رفتارهای عادی در ابتدا چالش‌برانگیز است. آیا سازمان شما روش‌های مناسبی برای مدل‌سازی رفتارهای عادی کاربران به‌منظور شناسایی سریع تهدیدات غیرعادی دارد؟
3. آیا سازمان شما به‌طور فعال به تهدیدات شناسایی شده پاسخ می‌دهد؟ UEBA تنها به شناسایی تهدیدات محدود نمی‌شود؛ بلکه باید به ابزارهای واکنشی مانند شبیه‌سازی حملات و پاسخ خودکار متصل باشد. آیا سازمان شما به‌طور مؤثر به تهدیدات شناسایی‌شده واکنش نشان می‌دهد؟
4. چگونه می‌توان از UEBA برای پیشگیری از حملات داخلی و بیرونی استفاده کرد؟ حملات داخلی می‌توانند به همان اندازه خطرناک باشند که حملات بیرونی. آیا استراتژی‌های UEBA شما برای پیشگیری از هر دو نوع تهدید طراحی شده است؟
5. چگونه می‌توان عملکرد سیستم UEBA را ارزیابی و بهبود داد؟ همانند هر سیستم دیگر، UEBA نیز نیاز به بهینه‌سازی مداوم دارد. آیا سازمان شما فرآیندهای دقیقی برای ارزیابی عملکرد و بهبود مستمر سیستم‌های UEBA دارد؟

پاسخ به این پرسش‌ها می‌تواند به سازمان‌ها کمک کند تا مطمئن شوند که سیستم‌های UEBA به درستی پیاده‌سازی شده‌اند و از آن‌ها به‌طور مؤثر در مقابل تهدیدات استفاده می‌شود

برای تشخیص ناهنجاری‌ها، UEBA ابتدا در مورد رفتار مورد انتظار همه کاربران و نهادهای موجود در یک شبکه یاد می‌گیرد و پایه‌ای از فعالیت‌های منظم را برای هر یک از آنها ایجاد می‌کند. هر فعالیتی که از این خط پایه منحرف شود به عنوان یک ناهنجاری علامت‌گذاری می‌شود. راه‌حل‌های UEBA با کسب تجربه بیشتر مؤثرتر می‌شوند.

برای درک اینکه چگونه UEBA یک نمایه رفتاری برای هر کاربر ایجاد می‌کند، بیایید مثالی را مرور کنیم و بفهمیم که ابتدا انسان‌ها چگونه این کار را انجام می‌دهند. فرض کنید جان، یک کارآموز بازاریابی تازه استخدام‌شده است. در اولین روز کارش، نگهبان امنیتی او را به عنوان فردی جدید می‌شناسد و توجه زیادی می‌کند تا اطمینان حاصل شود که تمام مدارک او بررسی می‌شود. نگهبان همچنین زمان ورود و خروج جان از مرکز را ردیابی می‌کند. او برای چند روز فعالیت جان را زیر نظر دارد و با الگوی زمانی مورد انتظار او آشنا می‌شود — ورود در ساعت 10 صبح و خروج در ساعت 6 بعد از ظهر. هر گونه انحراف از این، مانند ورود جان در ساعت 5 صبح، سوءظن نگهبان را برمی‌انگیزد. به این ترتیب انسان یک ناهنجاری را تشخیص می‌دهد.

به طور مشابه، الگوریتم ML در یک راه‌حل SIEM یکپارچه UEBA، داده‌های گزارش را برای ایجاد الگوها در شبکه شما نظارت می‌کند. به عنوان مثال، زمان ورود و خروج کاربر و اقدامات آنها در دستگاه‌های خاص، راه‌حل SIEM را در مورد فعالیت‌هایی که از آن کاربر انتظار می‌رود، مطلع می‌سازد. هنگامی که موتور UEBA فعالیت‌ها را برای چند روز نظارت می‌کند، رفتار مورد انتظار کاربر، از جمله هرگونه انحراف از آن را می‌داند. امتیاز ریسک کاربر برای نشان دادن شدت تهدید افزایش می‌یابد و راه‌حل SIEM یک هشدار را برای تحلیلگران امنیتی علامت‌گذاری می‌کند.

اما اگر یک انسان می‌تواند این کار را انجام دهد، چرا به UEBA نیاز داریم؟

زیرا از نظر انسانی امکان‌پذیر نیست که تیم امنیتی شما به طور مداوم رفتار هزاران کارمندی را که در سازمان شما کار می‌کنند مشاهده و تجزیه و تحلیل کند. بنابراین UEBA کمک می‌کند تا گزارش‌هایی در مورد فعالیت‌های غیرعادی در بخش‌های مختلف شبکه ایجاد کرده و بلافاصله اقدامات مناسب انجام دهید.

UEBA چه نوع ناهنجاری‌هایی را می‌تواند شناسایی کند؟

UEBA ناهنجاری‌های مرتبط با زمان، تعداد و الگو را شناسایی می‌کند. بیایید نگاهی به معنای هر یک از این‌ها بیندازیم.

• ناهنجاری زمانی: اگر یک کاربر یا موجودیت از خط پایه مورد انتظار منحرف شود، ناهنجاری زمانی نامیده می‌شود. به عنوان مثال می‌توانید ورود جان را در ساعت 5 صبح به جای 10 صبح معمول او به عنوان نمونه‌ای از ناهنجاری زمانی در نظر بگیرید.
• ناهنجاری شمارش: اگر یک کاربر یا نهاد تعداد غیرعادی فعالیت‌ها را در مدت زمان کوتاهی انجام دهد، آن را ناهنجاری شمارش می‌نامیم. به عنوان مثال می‌توان به کاربری اشاره کرد که 50 بار به پایگاه داده مشتری دسترسی پیدا می‌کند بین ساعت 11 صبح تا 12 بعد از ظهر.
• ناهنجاری الگو: اگر یک توالی غیرمنتظره از رویدادها منجر به دسترسی به یک حساب کاربری یا نهاد به شیوه‌ای غیرمعمول یا غیرمجاز شود، به آن ناهنجاری الگو می‌گویند. نمونه‌ای از ناهنجاری الگو، یک حساب کاربری است که پس از هشت شکست متوالی در ورود به سیستم، و به دنبال آن چندین حذف فایل، اصلاح و انتقال داده از آن حساب انجام می‌شود.