سه رکن UEBA

قبل از اینکه در مورد نحوه عملکرد UEBA در پشت صحنه بحث کنیم، بیایید با درک سه رکن و مؤلفه UEBA، اصول اولیه را با جزئیات بیشتری پوشش دهیم. تعریف گارتنر از UEBA شامل سه ویژگی یا ستون کلیدی است:

• موارد استفاده: راه‌حل‌های UEBA برای شناسایی تهدیدات امنیتی، انحرافات غیرعادی از رفتار عادی کاربران و نهادها را شکار می‌کنند. با این حال، برای آنها بسیار مهم است که برای موارد استفاده متعدد مانند تهدیدات داخلی، به خطر افتادن حساب، استخراج داده‌ها و حملات روز صفر مناسب باشند.
• منابع داده: راه‌حل UEBA که استفاده می‌کنید باید بتواند داده‌ها را از منابع داده‌های مختلف مانند گزارش‌های رویداد، ترافیک شبکه و دستگاه‌های نقطه پایانی با ادغام کامل در یک راه‌حل SIEM یا دریافت داده‌ها از مخازن عمومی مانند انبارهای داده یا دریاچه‌های داده جمع‌آوری کند. آنها نباید برای جمع‌آوری داده‌ها نیازی به استقرار عوامل در محیط‌های فناوری اطلاعات داشته باشند.
• آنالیز: راه‌حل‌های UEBA از تکنیک‌های تحلیلی پیشرفته مانند الگوریتم‌های ML، مدل‌های آماری، امضاهای تهدید و قوانینی برای شناسایی خط پایه رفتاری عادی کاربران و نهادها استفاده می‌کنند. سپس یک راه‌حل UEBA رفتار را در چارچوب نقش‌های کاربر، مجوزها و فعالیت‌های معمولی تجزیه و تحلیل می‌کند تا بین رفتار عادی و مشکوک به طور دقیق تمایز قائل شود.

این سه رکن در مجموع سازمان‌ها را قادر می‌سازد تا وضعیت امنیت سایبری خود را تقویت کنند و خطرات را به طور مؤثر کاهش دهند.

اجزای UEBA

راه‌حل UEBA دارای سه جزء اصلی است:

1. تجزیه و تحلیل داده‌ها: این فرآیند شامل جمع‌آوری و تجزیه و تحلیل داده‌ها از منابع گزارش مختلف برای مطالعه «رفتار عادی» همه کاربران و نهادها است. هر زمان که رویدادی از این رفتارهای عادی منحرف شود، به عنوان یک ناهنجاری علامت‌گذاری می‌شود.
2. یکپارچه‌سازی داده‌ها: این بخش شامل ادغام داده‌های جمع‌آوری‌شده از منابع مختلف مانند گزارش‌ها، داده‌های ضبط بسته و دیگر مجموعه‌های داده با سیستم‌های امنیتی موجود است تا قدرت آنها تقویت شود.
3. ارائه داده‌ها: در این مرحله، داده‌ها به تحلیلگران امنیتی و سایر ذینفعان کمک می‌کند تا به راحتی الگوهای رفتاری شناسایی‌شده را تفسیر کرده و تصمیمات آگاهانه بگیرند. این کار از طریق تجسم‌ها، نمودارها، گراف‌ها یا گزارش‌هایی انجام می‌شود که الگوها، ناهنجاری‌ها و امتیازات ریسک حاصل از تجزیه و تحلیل داده‌ها را برجسته می‌کند.

UEBA چگونه کار می‌کند؟

نظارت دقیق بر رفتار یک فرد می‌تواند اطلاعات زیادی درباره اهداف واقعی او آشکار کند. این مفهومی است که UEBA از آن بهره می‌برد. راه‌حل‌های UEBA فعالیت‌های هر کاربر و نهاد را در شبکه به‌دقت زیر نظر می‌گیرند و ویژگی‌های آن‌ها را می‌آموزند. این راه‌حل معمولاً با یک راه‌حل SIEM همراه است و از گزارش‌های فعالیت برای بررسی رفتار عادی کاربران و نهادها استفاده می‌کند.

امتیاز ریسک برای هر کاربر و نهاد در سازمان پس از مقایسه اقدامات آنها با خط پایه فعالیت‌های منظم‌شان محاسبه می‌شود. نمره ریسک معمولاً بین صفر تا 100 متغیر است (که نشان‌دهنده عدم خطر تا حداکثر ریسک است). نمره ریسک برای اقدامات انحرافی به عواملی مانند وزن تخصیص داده‌شده به عمل، میزان انحراف عمل از خط پایه، فراوانی هر نوع انحراف و زمان سپری‌شده از وقوع انحراف بستگی دارد.

دو روش برای راه‌اندازی سیستم UEBA وجود دارد:

1. ML تحت نظارت: در این روش، سیستم UEBA فهرستی از رفتارهای خوب و بد شناخته‌شده را دریافت می‌کند. این لیست محدود است و ممکن است اطلاعات کافی برای تشخیص رفتار غیرعادی نداشته باشد. سیستم این ورودی‌ها را بیشتر می‌سازد و رفتارهای غیرعادی را در شبکه شناسایی می‌کند.
2. ML بدون نظارت: در این روش، سیستم UEBA یک دوره آموزشی برای یادگیری رفتار عادی هر کاربر و موجودیت طی می‌کند. این روش معمولاً بهترین است زیرا سیستم می‌تواند رفتار روزمره کاربران و نهادها را به‌طور مستقل مطالعه کند.