نشأ نظام (UEBA) من السلوك الضار من قبل المستخدمين والكيانات الأخرى، لا يُقصد من أدوات وعمليات (UEBA) أن تحل محل أنظمة المراقبة، ولكن بدلاً من ذلك يجب استخدامها لاستكمالها وتعزيز الوضع الأمني العام للشركة، حيث ان هناك ممارسة رائعة أخرى تتمثل في تسخير التخزين والقوى الحسابية للبيانات الضخمة، وذلك باستخدام التعلم الآلي والتحليل الإحصائي لمنع الحصول على مجموعة كبيرة من التنبيهات عديمة الفائدة والارتباك مع الحجم الكبير من البيانات المتولدة وغير المفيدة، كما يستخدم (UEBA) التعلم الآلي والخوارزميات لتعزيز الأمن من خلال مراقبة المستخدمين والكيانات الأخرى، واكتشاف الانحرافات في أنماط السلوك التي يمكن أن تشير إلى وجود تهديد.
- “UEBA” اختصار ل”User and Entity Behavior Analytics”.
أفضل ممارسات نظام UEBA
تدريب الموظفين
حيث ان أحد أهم عناصر استخدام نظام (UEBA) بشكل صحيح هو التأكد من أن الموظفين لديهم المعرفة والمهارات اللازمة للعمل مع هذه الأنظمة، يمكن أن يوضح ذلك أهمية الأمن السيبراني للموظفين، كما يجب على المستخدم تعزيز الوعي الأمني وأفضل ممارسات الأمن السيبراني على مدار العام، هذا ينطبق على أنظمة (UEBA) كما هو الحال مع أي نوع آخر من برامج الأمان.
الوضع في الأعتبار التهديدات الداخلية
هناك نقطة أكثر اهمية عندما يتعلق الأمر بالعمل مع أنظمة (UEBA) وهي التأكد من مراعاة ملف تعريف التهديد بالكامل عند وضع القواعد والسياسات لاكتشاف الهجمات المحتملة، حيث تتمثل إحدى المزايا الرئيسية لـ (UEBA) في أنه يمكن اكتشاف التهديدات الداخلية بشكل فعال مثل تلك الواردة من خارج المؤسسة، ولكن فقط إذا قام المستخدم بتكوين النظام للبحث عنها، لذلك يجب الوضع في الاعتبار التهديدات الداخلية والخارجية عند إنشاء سياسات وقواعد جديدة.
تأمين الوصول
حيث يعتمد تأمين نظام (UEBA) الخاص، مثل أي نظام آخر يتم استخدامه، على منح الامتيازات الصحيحة للموظفين المناسبين، لا يمنح حق الوصول إلى نظام (UEBA) الخاص للجميع، بدلاً من ذلك، يجب أن يتمكن أعضاء الفريق المعنيون فقط من رؤية هذه البيانات، ويجب أن يكونوا أيضًا الأشخاص الوحيدون الذين يتلقون تنبيهات من النظام والتأكد من أن أعضاء الفريق المعنيين فقط يتلقون تنبيهات نظام (UEBA)، حيث لا تعتبر حسابات المستخدمين غير المتميزة ضارة، عادةً ما يسيطر المهاجمون على الحسابات القياسية ويصعدون الامتيازات لاختراق الأنظمة الحساسة، كما يمكن أن تساعد أنظمة (UEBA) في اكتشاف تصعيد الامتيازات غير المصرح به.
الحذر من تصاعد الامتيازات
لا تعتبر حسابات المستخدمين غير المتميزة ضارة، حيث سيستهدف المتسللون بشكل عام هذه الحسابات، ثم يحاولون تصعيد الامتيازات لاختراق الأنظمة الحساسة، كما يمكن أن تساعد أنظمة (UEBA) في اكتشاف تصعيد الامتيازات غير المصرح به، ويجب ايضا تكوين برنامج للتنبيه إلى أي حالات من هذا القبيل، لذلك يجب الحذر من تصاعد الامتيازات.
استخدام أدوات أخرى
عدم معاملة عمليات وأدوات (UEBA) كبديل لأنظمة المراقبة الأساسية مثل أنظمة كشف التسلل (IDS) وهو برنامج مصمم خصيصًا لمراقبة حركة مرور الشبكة واكتشاف المخالفات، كما تعد أنظمة (UEBA) مكملاً للبنية التحتية التقليدية للمراقبة، وليست بديلاً لها.
- “IDS” اختصار ل”Intrusion Detection Systems“.
ما هو UEBA في الأمن؟
يمكن أن تحتوي شبكة الكمبيوتر على آلاف الأجهزة والمستخدمين الذين يولدون حركة مرور يوميًا، تضيف السحابة وموظفو العمل من المنزل والاتصالات العامة إلى بيئة هدف غنية للمهاجمين، حيث تتم عادةً مراقبة حركة المرور التي يولدها المستخدمون والأجهزة بحثًا عن الانحرافات، ولكن القليل من الأدوات تراقب أنماط السلوك، كما تساعد (UEBA) المتخصصين في مجال الأمن على تحديد الانحرافات باستخدام إحصائيات النشاط الأساسي ومقارنتها بسلوكيات المستخدم الحالية، وقد تكون هذه السلوكيات مشروعة أو ضارة، وتميز أداة (UEBA) مليارات البايت التي تنتقل عبر الشبكة عن تلك القليلة التي يحتمل أن تكون ضارة.
حيث ان التحليلات هي ما يجعل (UEBA) أداة قوية في الأمان في دفاع الأمن السيبراني الأقدم، تم تحديد مشغلات بسيطة للإشارة إلى وقت الوصول إلى ملف أو عند فشل المصادقة، غالبًا ما تستخدم (UEBA) خوارزميات الذكاء الاصطناعي (AI) والتعلم الآلي (ML) لتحديد ما إذا كان أي من هذه الإجراءات هي مصادقة شرعية للمستخدم أو تصرفات مهاجم،من خلال اتباع نهج أكثر استباقية للأمان واكتساب المزيد من الرؤية لسلوك المستخدم والكيان، تستطيع مؤسسات اليوم بناء موقف أمني أقوى وتخفيف التهديدات بشكل أكثر فعالية ومنع الانتهاكات الأمنية حيث ان لدى (UEBA) عدة وظائف في مجال الأمن السيبراني، بما في ذلك:
- “AI” اختصار ل “Artificial Intelligence“.
- “ML” اختصار ل Machine Learning””.
- الكشف عن التهديدات الداخلية: تهديدات المطلعين هم عادةً موظفين، ولكن يمكنهم أيضًا تضمين موردي الجهات الخارجية الذين لديهم إمكانية الوصول إلى الشبكة، قد تكون خروقات البيانات من المطلعين خبيثة أو غير مقصودة ، على سبيل المثال، عندما يتم خداع الموظف ليقع ضحية هجوم.
- الكشف عن الحسابات المخترقة: عندما يقع موظف ضحية للتصيد الاحتيالي، يستخدم المهاجم بيانات الاعتماد المسروقة للوصول إلى الشبكة وسرقة البيانات المخزنة.
- الكشف عن هجمات القوة الغاشمة:الهجمات على حسابات المستخدمين شائعة في البيئات العامة في السحابة، كما يمكن أن يستمر هجوم القوة الغاشمة إلى أجل غير مسمى بدون وجود شيء لإيقافه.
- الكشف عن حل وسط: عندما تفشل جميع أنظمة الأمن السيبراني الأخرى في منع المهاجم، فإن نظام (UEBA) سيساعد على توقيف المهاجمين بالفعل داخل المحيط وتنشط على الشبكة.
- تقليل ميزانية الأمن السيبراني: نظرًا لأن نظام (UEBA) يسمح لعدد أقل من محللي الأمان بالقيام بالعمليات الأمنية، فيمكنه أيضًا بشكل كبير تقليل ميزانية الأمن السيبراني، هو سبب رئيسي وراء استخدام المزيد والمزيد من الشركات لـ (UEBA)، كما زاد الاستثمار في ميزانيات الأمن السيبراني بنسبة 141 بالمائة بين عامي 2010 و 2018، مدفوعًا في جزء كبير منه بمقاربات جديدة مثل نظام (UEBA).
- اكتشاف خرق البيانات: بدون أنظمة (UEBA)، لن تتمكن المنظمات من اكتشاف خرق البيانات واتخاذ خطوات لإصلاح هذا الاختراق، كلما طالت مدة وصول المهاجم إلى الشبكة، يمكن استخراج المزيد من البيانات، قد يستغرق اكتشاف المهاجم شهورًا، كما تقلل أنظمة (UEBA) من مقدار الوقت الذي يتمكن فيه المهاجم من الوصول إلى الأنظمة الهامة قبل أن يتم اكتشافه.
- اكتشاف الهجمات الإلكترونية: المؤيد الأساسي لـ (UEBA) هو أنه يسمح للمستخدم باكتشاف مجموعة واسعة من الهجمات الإلكترونية تلقائيًا، وتشمل هذه التهديدات من الداخل والحسابات المخترقة وهجمات القوة الغاشمة وإنشاء مستخدمين جدد وخروقات البيانات غيرها فيما يتعلق بالأمن السيراني.
