فهم UEBA ودوره في الاستجابة للحوادث

أصبحت الانتهاكات الأمنية شائعة بشكل متزايد في العالم الرقمي. تساعد UEBA المنظمات على اكتشاف هذه الحوادث والاستجابة لها.

كانت تحليلات سلوك المستخدم والكيان (UEBA) تُعرف سابقًا باسم تحليلات سلوك المستخدم (UBA). إنه حل للأمن السيبراني يستخدم التحليلات لفهم كيفية تصرف المستخدمين (البشر) والكيانات (الأجهزة والخوادم المتصلة بالشبكة) في مؤسسة ما للكشف عن الأنشطة غير الطبيعية والاستجابة لها في الوقت الفعلي.

يمكن لـ UEBA تحديد وتنبيه محللي الأمن بشأن الاختلافات المحفوفة بالمخاطر والسلوك المشبوه الذي قد يشير إلى:

• الحركة الجانبية
• إساءة استخدام الحساب المميز
• التصعيد امتياز
• تسوية أوراق الاعتماد أو
• التهديدات الداخلية

يقوم UEBA أيضًا بتقييم مستوى التهديد ويوفر درجة مخاطر يمكن أن تساعد في إنشاء استجابة مناسبة.

تابع القراءة للتعرف على كيفية عمل UEBA ، ولماذا تتحول المنظمات إلى UEBA ، والمكونات الرئيسية لـ UEBA ، ودور UEBA في الاستجابة للحوادث ، وأفضل ممارسات UEBA.

كيف تعمل تحليلات سلوك المستخدم والكيان؟

تجمع تحليلات سلوك المستخدم والكيان أولاً معلومات عن السلوك المتوقع للأفراد والآلات في مؤسستك من مستودعات البيانات مثل بحيرة البيانات أو مستودع البيانات أو من خلال SIEM.

تستخدم UEBA بعد ذلك مناهج تحليلات متقدمة لمعالجة هذه المعلومات لتحديد وزيادة تعريف خط الأساس لأنماط السلوك: حيث يقوم الموظف بتسجيل الدخول من ، ومستوى الامتياز ، والملفات ، والخوادم التي غالبًا ما يصلون إليها ، ووقت وتكرار الوصول ، والأجهزة التي يستخدمونها من أجل التمكن من.

يراقب UEBA بعد ذلك أنشطة المستخدم والكيان باستمرار ، ويقارنها بالسلوك الأساسي ، ويقرر الإجراءات التي قد تؤدي إلى هجوم.

يمكن لـ UEBA معرفة متى يقوم المستخدم بأنشطته العادية ومتى يحدث هجوم. على الرغم من أن المتسلل قد يكون قادرًا على الوصول إلى تفاصيل تسجيل دخول الموظف ، إلا أنه لن يكون قادرًا على تقليد أنشطته وسلوكه المعتاد.

يتكون حل UEBA من ثلاثة مكونات رئيسية:

تحليلات البيانات: تقوم UEBA بجمع وتنظيم بيانات المستخدمين والكيانات لإنشاء ملف تعريف قياسي لكيفية تصرف كل مستخدم بشكل نموذجي. يتم بعد ذلك صياغة النماذج الإحصائية وتطبيقها لاكتشاف الأنشطة الشاذة وتنبيه الفريق الأمني.

تكامل البيانات: لجعل النظام أكثر مرونة ، يقارن UEBA البيانات التي تم الحصول عليها من مصادر مختلفة - مثل سجلات النظام وبيانات التقاط الحزم ومجموعات البيانات الأخرى - مع البيانات التي تم جمعها من أنظمة الأمان الحالية.

عرض البيانات: العملية التي من خلالها يقوم نظام UEBA بإيصال نتائجه والاستجابة المناسبة. تتضمن هذه العملية عادةً إصدار طلب للمحللين الأمنيين للتحقيق في السلوك غير المعتاد.

دور UEBA في الاستجابة للحوادث

تستخدم تحليلات سلوك المستخدم والكيان التعلم الآلي والتعلم العميق لمراقبة وتحليل السلوك المعتاد للبشر والآلات في مؤسستك.

إذا كان هناك انحراف عن النمط العادي ، يقوم نظام UEBA باكتشافه وإجراء تحليل يحدد ما إذا كان السلوك غير العادي يشكل تهديدًا حقيقيًا أم لا.

تستوعب UEBA البيانات من مصادر سجلات مختلفة مثل قاعدة البيانات و Windows AD و VPN والوكيل والشارة والملفات ونقاط النهاية لإجراء هذا التحليل. باستخدام هذه المدخلات والسلوك المكتسب ، يمكن لـ UEBA دمج المعلومات لتكوين النتيجة النهائية لتصنيف المخاطر وإرسال تقرير مفصل إلى محللي الأمن.

على سبيل المثال ، يمكن لـ UEBA النظر إلى موظف قادم عبر VPN من إفريقيا لأول مرة. فقط لأن سلوك الموظف غير طبيعي لا يعني أنه يمثل تهديدًا ؛ قد يكون المستخدم مسافرًا ببساطة. ومع ذلك ، إذا قام نفس الموظف في قسم الموارد البشرية بالوصول فجأة إلى الشبكة الفرعية المالية ، فسوف يتعرف UEBA على أنشطة الموظف على أنها مشبوهة وينبه فريق الأمن.

هنا سيناريو آخر يمكن الاعتماد عليه.

هاري ، الموظف في مستشفى Mount Sinai في نيويورك ، في أمس الحاجة إلى المال. في هذا اليوم بالذات ، ينتظر هاري حتى يغادر الجميع المكتب ، ثم يقوم بتنزيل معلومات المرضى الحساسة على جهاز USB في الساعة 7 مساءً. ينوي بيع البيانات المسروقة في السوق السوداء مقابل دولار مرتفع.

لحسن الحظ ، يستخدم مستشفى Mount Sinai حل UEBA ، الذي يراقب سلوك كل مستخدم وكيان داخل شبكة المستشفى.

على الرغم من أن هاري لديه إذن للوصول إلى معلومات المريض ، إلا أن نظام UEBA يزيد من درجة المخاطرة الخاصة به عندما يكتشف انحرافًا عن أنشطته المعتادة ، والتي تتضمن عادةً عرض سجلات المرضى وإنشائها وتحريرها بين الساعة 9 صباحًا و 5 مساءً.

عندما يحاول Harry الوصول إلى المعلومات في الساعة 7 مساءً ، يحدد النظام المخالفات في النمط والتوقيت ويحدد درجة المخاطرة.

يمكنك إعداد نظام UEBA الخاص بك ليعني إنشاء تنبيه لفريق الأمان لاقتراح مزيد من التحقيق ، أو يمكنك إعداده لاتخاذ إجراء فوري مثل إيقاف اتصال الشبكة تلقائيًا لهذا الموظف بسبب الهجوم السيبراني المشتبه به.

هل أحتاج إلى حل UEBA؟

يعد حل UEBA ضروريًا للمؤسسات لأن المتسللين ينفذون هجمات أكثر تعقيدًا تزداد صعوبة اكتشافها. هذا صحيح بشكل خاص في الحالات التي يأتي فيها التهديد من الداخل.

وفقًا لإحصائيات الأمن السيبراني الحديثة ، تتأثر أكثر من 34٪ من الشركات بالتهديدات الداخلية في جميع أنحاء العالم. بالإضافة إلى ذلك ، تقول 85٪ من الشركات أنه من الصعب تحديد التكلفة الفعلية لهجوم من الداخل.

نتيجة لذلك ، تتجه فرق الأمن نحو نهج أحدث للكشف والاستجابة للحوادث (IR). لتحقيق التوازن وتعزيز أنظمة الأمان الخاصة بهم ، يقوم محللو الأمن بدمج تقنيات مثل تحليلات سلوك المستخدم والكيان (UEBA) مع أنظمة SIEM التقليدية وأنظمة الوقاية القديمة الأخرى.

يوفر لك UEBA نظامًا أكثر قوة للكشف عن التهديدات الداخلية مقارنة بحلول الأمان التقليدية الأخرى. إنه لا يراقب السلوك البشري الشاذ فحسب ، بل يرصد أيضًا الحركات الجانبية المشبوهة. تتعقب UEBA أيضًا الأنشطة على الخدمات السحابية والأجهزة المحمولة وأجهزة إنترنت الأشياء.

يستوعب نظام UEBA المتطور البيانات من جميع مصادر السجلات المختلفة ويبني تقريرًا مفصلاً عن الهجوم لمحللي الأمان لديك. يؤدي ذلك إلى توفير الوقت الذي يقضيه فريق الأمان في مراجعة سجلات لا حصر لها لتحديد الضرر الفعلي الناجم عن هجوم.

فيما يلي بعض حالات الاستخدام العديدة لـ UEBA.

أعلى 6 حالات استخدام UEBA

# 1 . يكتشف UEBA إساءة استخدام الامتيازات الداخلية عندما يقوم المستخدمون بأنشطة محفوفة بالمخاطر خارج السلوك الطبيعي الراسخ.

# 2. يدمج UEBA المعلومات المشبوهة من مصادر مختلفة لإنشاء درجة مخاطر لتصنيف المخاطر.

# 3. تقوم UEBA بتحديد أولويات الحوادث من خلال تقليل الإيجابيات الخاطئة. إنها تقضي على إجهاد التنبيه وتمكن فرق الأمن من التركيز على التنبيهات عالية المخاطر.

# 4. يمنع UEBA فقدان البيانات واستخراج البيانات لأن النظام يرسل تنبيهات عندما يكتشف بيانات حساسة يتم نقلها داخل الشبكة أو نقلها خارج الشبكة.

# 5 . يساعد UEBA في اكتشاف الحركة الجانبية للمتسللين داخل الشبكة الذين قد يكونون قد سرقوا بيانات اعتماد تسجيل دخول الموظف.

# 6. يوفر UEBA أيضًا استجابات تلقائية للحوادث ، مما يمكّن فرق الأمان من الاستجابة للحوادث الأمنية في الوقت الفعلي.

كيف تعمل UEBA على تحسين UBA وأنظمة الأمان القديمة مثل SIEM

لا يحل UEBA محل أنظمة الأمان الأخرى ولكنه يمثل تحسينًا كبيرًا يستخدم جنبًا إلى جنب مع الحلول الأخرى للأمن السيبراني الأكثر فعالية. يختلف UEBA عن تحليلات سلوك المستخدم (UBA) في أن UEBA تتضمن "الكيانات" و "الأحداث" مثل الخوادم وأجهزة التوجيه ونقاط النهاية.

يعد حل UEBA أكثر شمولاً من UBA لأنه يراقب العمليات غير البشرية وكيانات الآلة لتحديد التهديدات بدقة أكبر.

SIEM تعني المعلومات الأمنية وإدارة الأحداث. قد لا يكون SIEM التقليدي قادرًا على اكتشاف التهديدات المعقدة بنفسه لأنه غير مصمم لمراقبة التهديدات في الوقت الفعلي. وبالنظر إلى أن المتسللين غالبًا ما يتجنبون الهجمات البسيطة لمرة واحدة وبدلاً من ذلك ينخرطون في سلسلة من الهجمات المعقدة ، فيمكنهم عدم اكتشافهم بواسطة أدوات الكشف عن التهديدات التقليدية مثل SIEM لأسابيع أو حتى شهور.

يعالج حل UEBA المتطور هذا القيد. تقوم أنظمة UEBA بتحليل البيانات المخزنة بواسطة SIEM والعمل معًا لمراقبة التهديدات في الوقت الفعلي ، مما يتيح لك الاستجابة للانتهاكات بسرعة ودون عناء.

لذلك ، من خلال دمج أدوات UEBA و SIEM ، يمكن للمؤسسات أن تكون أكثر فاعلية في اكتشاف التهديدات وتحليلها ، ومعالجة نقاط الضعف بسرعة ، وتجنب الهجمات.

أفضل ممارسات تحليلات سلوك المستخدم والكيان

فيما يلي أفضل خمس ممارسات لتحليلات سلوك المستخدم والتي تعطي نظرة ثاقبة على الأشياء التي يجب القيام بها عند بناء خط أساس لسلوك المستخدم.

# 1. تحديد حالات الاستخدام

حدد حالات الاستخدام التي تريد أن يحددها حل UEBA الخاص بك. يمكن أن يكون هذا الكشف عن إساءة استخدام الحساب ذي الامتيازات أو اختراق بيانات الاعتماد أو التهديدات الداخلية. يساعدك تحديد حالات الاستخدام في تحديد البيانات التي يجب جمعها للمراقبة.

# 2. تحديد مصادر البيانات

كلما زادت أنواع البيانات التي يمكن أن تتعامل معها أنظمة UEBA ، زادت دقة تحديد الأساس. تتضمن بعض مصادر البيانات سجلات النظام أو بيانات الموارد البشرية مثل سجل أداء الموظف.

# 3. تحديد السلوكيات حول البيانات التي سيتم جمعها

يمكن أن يشمل ذلك ساعات عمل الموظف والتطبيقات والأجهزة التي يستخدمونها بشكل متكرر وكتابة الإيقاعات. مع وجود هذه البيانات في مكانها الصحيح ، يمكنك فهم الأسباب المحتملة للإيجابيات الكاذبة بشكل أفضل.

# 4. حدد مدة لإنشاء خط الأساس

عند تحديد مدة فترة الأساس ، من الضروري مراعاة الأهداف الأمنية لعملك وأنشطة المستخدمين.

يجب ألا تكون فترة الأساس قصيرة جدًا أو طويلة جدًا. هذا لأنك قد لا تكون قادرًا على جمع المعلومات الصحيحة إذا أنهيت مدة خط الأساس بسرعة كبيرة ، مما يؤدي إلى ارتفاع معدل الإيجابيات الخاطئة. من ناحية أخرى ، قد يتم تمرير بعض الأنشطة الضارة كالمعتاد إذا استغرقت وقتًا طويلاً لجمع المعلومات الأساسية.

# 5. تحديث البيانات الأساسية الخاصة بك بانتظام

قد تحتاج إلى إعادة بناء بيانات خط الأساس بانتظام لأن أنشطة المستخدم والكيان تتغير طوال الوقت. قد يتم ترقية الموظف وتغيير مهامه ومشاريعه ومستوى الامتياز والأنشطة. يمكن ضبط أنظمة UEBA تلقائيًا لجمع البيانات وضبط البيانات الأساسية عند حدوث تغييرات.

الكلمات الأخيرة

مع تزايد اعتمادنا على التكنولوجيا ، أصبحت تهديدات الأمن السيبراني أكثر تعقيدًا. يجب على المؤسسة الكبيرة تأمين أنظمتها التي تحتفظ ببيانات حساسة خاصة بها وعملائها لتجنب الانتهاكات الأمنية واسعة النطاق. تقدم UEBA نظام استجابة للحوادث في الوقت الفعلي يمكنه منع الهجمات.