مثال واقعی از UEBA در سازمانها
در اینجا یک مثال واقعی از چگونگی استفاده از UEBA در یک سازمان آورده شده است:
مراحل اجرای UEBA در یک سازمان:
- جمعآوری دادهها:
- در ابتدا، دادههای مربوط به فعالیتهای کاربران و موجودیتها از منابع مختلف مانند سیستمهای مدیریت هویت و دسترسی (IAM)، سیستمهای امنیت اطلاعات (SIEM)، سرورها، شبکهها و دستگاهها جمعآوری میشود.
- تحلیل رفتار:
- UEBA بر اساس الگوریتمهای یادگیری ماشین به تحلیل رفتار کاربران و موجودیتها میپردازد. به عنوان مثال، ممکن است الگوی عادی فعالیت یک کاربر در ساعتهای کاری معمولاً در بازههای خاصی از شبانهروز باشد. سیستم UEBA به طور خودکار رفتارهای غیرعادی را شناسایی میکند.
- شناسایی تهدیدات:
- به عنوان مثال، اگر یک کاربر در ساعات غیرمنتظره وارد سیستم شود و دادههای حساسی را دانلود کند، یا از یک دستگاه غیرمجاز برای دسترسی به منابع استفاده کند، سیستم UEBA این رفتارهای غیرعادی را شناسایی کرده و به تیم امنیت اطلاع میدهد.
- ایجاد هشدار و اقدام:
- پس از شناسایی رفتارهای مشکوک، UEBA هشدارهایی تولید میکند که میتواند شامل جزئیات مربوط به نوع تهدید، کاربر یا موجودیت مشکوک و زمان وقوع آن باشد. تیم امنیت میتواند بلافاصله به این هشدارها پاسخ دهد.
مثال در دنیای واقعی:
فرض کنید یک کاربر با دسترسیهای محدود در یک بانک شروع به دانلود مقادیر زیادی از دادههای حساس میکند، آنهم از یک دستگاه جدید که قبلاً هرگز از آن استفاده نکرده است. این رفتار میتواند به عنوان یک عملیات مشکوک در نظر گرفته شود.
در این حالت UEBA چه کاری انجام میدهد؟
- شناسایی رفتار غیرعادی: سیستم UEBA میتواند بر اساس الگوهای عادی، این رفتار را شناسایی کرده و به تیم امنیت هشدار دهد.
- تولید هشدار: هشدار ممکن است شامل جزئیات مانند «کاربر x در ساعت غیرعادی از یک دستگاه جدید به دادههای حساس دسترسی پیدا کرده است» باشد.
- تحلیل بیشتر و اقدام: پس از هشدار، تیم امنیت میتواند حساب کاربر را موقتاً قفل کرده، دسترسیهای بیشتری را بررسی کرده و اقداماتی مانند گزارش به مراجع قضائی را انجام دهد.
جدول مثال استفاده از UEBA:
| رویداد | جزئیات | رفتار عادی | رفتار غیرعادی |
| ورود کاربر به سیستم | ورود از دستگاه جدید | ورود از دستگاههای شناختهشده | ورود از دستگاه غیرمجاز |
| دسترسی به دادههای حساس | دانلود حجم بالایی از دادهها | دسترسی به دادههای معمولی | دانلود دادههای زیاد و حساس |
| زمان فعالیت کاربر | ورود در ساعات غیرمنتظره | ورود در ساعات کاری | ورود خارج از ساعات کاری |
مزایای استفاده از UEBA:
- شناسایی تهدیدات پیچیده: به کمک یادگیری ماشین و تحلیلهای پیشرفته، UEBA میتواند تهدیدات پیچیدهای که از روشهای سنتی شناسایی نمیشوند، شناسایی کند.
- کاهش خطای انسانی: بهدلیل خودکار بودن فرایند شناسایی تهدیدات، احتمال خطای انسانی کاهش مییابد.
- افزایش سرعت پاسخدهی: با شناسایی سریع تهدیدات، تیم امنیت میتواند به موقع واکنش نشان دهد و از خسارات جلوگیری کند.
سحن آخر:
UEBA یک ابزار قوی برای شناسایی تهدیدات امنیتی در سطح کاربران و موجودیتها است که با استفاده از یادگیری ماشین و هوش مصنوعی به تحلیل رفتار کاربران و موجودیتها پرداخته و تهدیدات غیرعادی را شناسایی میکند. این سیستم میتواند بهویژه در شناسایی حملات داخلی و تهدیدات پیچیدهای که با الگوهای سنتی شناسایی نمیشوند، موثر باشد.
