ما هو UEBA ولماذا يجب أن يكون جزءًا أساسيًا من استجابة الحوادث لديك

في عالم الأمن السيبراني، تتجه فرق الأمن بعيدًا عن استخدام أساليب الوقاية فقط، وفقًا لتقرير غارتنر لعام 2018 بعنوان دليل السوق لتحليلات سلوك المستخدم والكيان. مع تحول فرق الأمن نحو موازنة الوقاية من التهديدات السيبرانية مع أساليب الكشف و استجابة الحوادث (IR) الأحدث، فإنها تضيف بشكل متزايد تقنيات مثل تحليلات سلوك المستخدم والكيان (UEBA) إلى أنظمة SIEM التقليدية وغيرها من أنظمة الوقاية القديمة في محاولة لتعزيز فعالية أنظمة الأمن الخاصة بها.

تطور UEBA

للتعريف الأساسي، يقوم نظام UEBA بتحديد سلوك المستخدم وسلوك الكيانات، ويجمع ذلك مع تحليل مجموعات الأقران، ثم يبحث عن الأنشطة الشاذة ويحللها من أجل اكتشاف التهديدات المحتملة أو الفعلية والنشاطات الخبيثة. يتجاوز نظام UEBA الأمان القائم على الحقائق وقواعد الارتباط البسيطة، ويستفيد من تحليلات قائمة على سلوك المستخدم وسلوك الكيانات، ويقوم بنمذجة التهديدات بناءً على سلوكيات المستخدمين الفردية.

أنشأت شركة غارتنر اختصار UEBA قبل عدة سنوات عندما أعادت تسمية "تحليلات سلوك المستخدم" (UBA). أضافوا حرف "E" لتأكيد أهمية "سلوك الكيانات" بجانب سلوك المستخدمين، مثل التطبيقات السحابية أو النقاط النهائية غير المدارة. و"تعترف E" بحقيقة أن هناك كيانات أخرى بجانب المستخدمين غالبًا ما يتم تحليلها من أجل تحديد التهديدات بدقة أكبر، جزئيًا من خلال ربط سلوك هذه الكيانات الأخرى بسلوك المستخدمين، وفقًا لشركة غارتنر.

لماذا يُحسن UEBA تحليل سلوك المستخدم وSIEMs القديمة

يمثل نظام UEBA تحسينًا مهمًا مقارنةً بنظام UBA وأنظمة SIEM التقليدية لعدة أسباب. أولاً، يتجاوز قيود قواعد الترابط في SIEM - والواقع أن نموذج قواعد الترابط في كثير من الحالات معطل. بعض المشاكل المرتبطة بالاعتماد على قواعد الترابط في SIEM تشمل:

• لا يمكنك العثور على الهجمات لأن القواعد تفتقر إلى السياق، أو تفوت الحوادث التي لم تُشاهد من قبل، مما يؤدي إلى توليد نتائج سلبية خاطئة.
• القواعد تتطلب الكثير من الصيانة.
• يمكن أن تجعل القواعد المصفاة بشكل غير صحيح تنفيذ استجابة الحوادث بطيئًا لأن المسؤولين يحتاجون إلى تصفية تطبيق القواعد لتحديد أي البيانات ذات صلة وأي البيانات غير ذات صلة في مشهد الأحداث الخاص بك.

يقلل نظام تحليل سلوك المستخدم (UEBA) أيضًا من الإنذارات الكاذبة، مما يساعد على القضاء على تعب الإنذارات. ومن خلال تمكين الفرق من تحديد أولويات إنذاراتهم، يجعل UEBA من الممكن لخبراء الأمن لديك التركيز على الإنذارات الأكثر مصداقية وذات المخاطر العالية.

لماذا يجب أن يكون تحليل سلوك المستخدم والكيان جزءًا من إطار الأمان في أي منظمة

نحن جميعًا نعلم أن الهجمات الإلكترونية أصبحت أكثر تعقيدًا وأصعب في الاكتشاف. لذا، فإن محاولة كتابة قواعد الارتباط لآلاف السيناريوهات المختلفة لم تعد عملية. وهذا صحيح بشكل خاص في حالة التهديدات الداخلية. إذا قمت بوضع قواعد مثل "إرسال تنبيه كلما أرسل مستخدم مرفق بريد إلكتروني أكبر من 4 ميغابايت"، فسيتعين عليك النظر في كل مستخدم على حدة، ثم وضع استثناءات. على سبيل المثال، قد يقوم مصممو الجرافيك في قسم التسويق بإرسال ملفات PDF كبيرة بشكل روتيني. بدلاً من مطالبة خبراء الأمن لديك بإدراج كل حالة مثل هذه يدويًا في القائمة البيضاء، فإن UEBA تستبدل التنبيهات التقليدية القائمة على المنطق بنماذج احتمالية أو عوامل خطر تعتمد على التحليلات المتقدمة.

بهذه الطريقة، يوفر نظام تحليل سلوك المستخدم (UEBA) اكتشافًا متفوقًا للتهديدات الداخلية مقارنة بقواعد الربط التقليدية في أنظمة إدارة معلومات الأمان (SIEM). بالإضافة إلى ذلك، يتتبع نظام UEBA سلوك المستخدم غير الطبيعي والحركات الجانبية المشبوهة ليس فقط داخل مؤسستك/شبكتك، ولكن يمكن أيضًا ربطه بخدمات السحابة، والآلات، والأجهزة المحمولة، وأصول إنترنت الأشياء. يمكن أن يوفر تحليل سلوك المستخدم أيضًا توفيرًا كبيرًا في الوقت لأن الفرق لا تحتاج إلى البحث في السجلات في مواقع متنوعة لتجميع قصة الحادث. يقوم نظام UEBA المتقدم بجمع البيانات من جميع مصادر السجلات المختلفة - مثل Windows AD، VPN، قاعدة البيانات، الشارة، الملفات، الوكيل، ونقاط النهاية - ويبني قصة سياقية حول الحادث لتحليلها من قبل فرق الأمان لديك.

إليك بعض الفوائد العديدة لـ UEBA:

• يجمع بين أنواع مختلفة من معلومات المخاطر لتكوين درجة نهائية لتصنيف المخاطر.
• يتيح تحديد الأولويات والاستجابة الفعالة.
• يوفر استجابة تلقائية للحوادث، مما يسمح للفرق بالاستجابة للحوادث الأمنية بسرعة وبجهد أقل.

النماذج والرياضيات تحل محل التنبيهات الصائبة/الخاطئة.

يمكن أن تقدم النماذج مزيدًا من المزايا للفرق التي تستخدم تحليل سلوك المستخدم القائم على الأحداث (UEBA). النماذج التي تصدر احتمالات تكون أكثر فعالية من التنبيهات الصحيحة/الخاطئة وتسمح باستخدام علم البيانات لدمج عدة أدلة عبر مجموعات بيانات مختلفة لتحديد احتمال تعرض حساب المستخدم للاختراق أو الانخراط في أنشطة غير قانونية.

مع نظام تحليل سلوك المستخدمين المتقدم، يمكنك نمذجة:

• العمليات العادية التي تستدعي التحقق من الهوية، حتى تتمكن من اكتشاف العمليات الشاذة.
• وقت اليوم ويوم الأسبوع الذي يقوم فيه المستخدم بإنشاء حساب، وما إذا كان من الطبيعي لهذا المستخدم إنشاء حسابات مقارنة بأقرانه.
• أي المنافذ وعناوين IP التي تتصل بها أجهزة معينة بشكل منتظم
• أي المستخدمين يقومون بتنفيذ أي عمليات PowerShell
• عدد الشبكات الفرعية لكل مستخدم التي تتواصل مع الإنترنت.
• أي المستخدمين يتنقلون عبر أي شبكات فرعية من أصول حيوية محددة.

ما وراء تقييم المخاطر القائم على عتبات ثابتة

يتزايد الوعي بأن تقييم المخاطر القائم على عتبات ثابتة لم يعد قادراً على مواجهة المهاجمين المتطورين والداخلين الخبيثين الذين يمتلكون مهارات تقنية.

مع UEBA يمكنك مطابقة التهديدات المتطورة مع الكشف المتطور، مثل تعديل درجة المخاطر بناءً على مؤشرات قائمة على مجموعة الأقران. على سبيل المثال، يمكن لـ UEBA النظر في سلوك غير عادي لمحاسب فردي مقارنة بمجموعة الأقران من المحاسبين. باستخدام النماذج والمطابقة، تأخذ UEBA في الاعتبار ليس سلوكًا غير عادي واحدًا بل سلوكيات غير عادية متعددة تختلف عن مجموعة الأقران للإشارة إلى تهديد، مثل محاسب معين يقوم بشكل غير معتاد بالوصول إلى شبكة فرعية مثل الموارد البشرية.

أو، اعتبر حالة مستخدم يتصل عبر VPN من باربادوس للمرة الأولى. مجرد أن سلوك الكيان غير عادي لا يعني أنه سيء؛ فقد يكون المستخدم ببساطة مسافرًا. ومع ذلك، فإن UEBA سيقوم بإجراء تحليلات للمستخدم على سلوكيات ذات صلة مثل تنقل نفس المستخدم عبر عدة شبكات فرعية، مما سيرفع بشكل كبير من درجة المخاطر.

في حالة الهجوم المتقدم، قد يبدو المخترق الذي يستخدم بيانات اعتماد مخترقة كموظف عادي في قسم الموارد البشرية لنظام قديم. ومع ذلك، إذا قام نفس المستخدم فجأة بالوصول إلى شبكة التحكم الصناعية، فإن تحليل سلوك المستخدم سيتعرف على سلوك هذا المستخدم على أنه غير عادي.

أخيرًا، في جميع هذه السيناريوهات، يمكن أن يساعد التعلم الآلي في أنظمة UEBA مثل Exabeam في تقدير سياق التنبيه المحتمل بشكل أفضل، مما يتيح لك ضبط درجة المخاطر، وبالتالي تجنب معدلات عالية من الإيجابيات الكاذبة.