اقرأ في هذا المقال
يمكن للقراصنة اختراق جدران الحماية، وإرسال رسائل بريد إلكتروني تحتوي على مرفقات ضارة ومصابة، أو حتى رشوة موظف للوصول إلى جدران الحماية الخاصة بالمستخدم، سرعان ما أصبحت الأدوات والأنظمة القديمة بالية، وهناك عدة طرق لتجاوزها، تمنح تحليلات سلوك المستخدم والكيان (UEBA) طريقة أكثر شمولاً للتأكد من أن المؤسسة تتمتع بأمن تكنولوجيا المعلومات من الدرجة الأولى، بينما تساعد أيضًا في اكتشاف المستخدمين والكيانات التي قد تعرض النظام بالكامل للخطر.
- “UEBA” اختصار ل”User and Entity Behavior Analytics”.
ما هو UEBA؟
تحليلات سلوك المستخدم والكيان، أو (UEBA)، هي نوع من عمليات الأمن السيبراني التي تأخذ في الاعتبار السلوك الطبيعي للمستخدمين، في المقابل، يكتشفون أي سلوك أو حالات شاذة عندما يكون هناك انحرافات عن هذه الأنماط العادية، على سبيل المثال، إذا قام مستخدم معين بتنزيل 10 ميغا بايت من الملفات بشكل منتظم كل يوم ولكنه قام فجأة بتنزيل غيغابايت من الملفات، فسيكون النظام قادرًا على اكتشاف هذا الشذوذ وتنبيهه على الفور.
يستخدم (UEBA) التعلم الآلي والخوارزميات والتحليلات الإحصائية لمعرفة متى يكون هناك انحراف عن الأنماط المحددة، مما يوضح أي حالات شاذة يمكن أن يؤدي إلى تهديد محتمل وحقيقي، كما يمكن لـ (UEBA) أيضًا تجميع البيانات الموجودة في التقارير والسجلات، بالإضافة إلى تحليل معلومات الملف والتدفق والحزم.
كيف يعمل UEBA
إن فرضية (UEBA) بسيطة للغاية، يمكن بسهولة سرقة اسم المستخدم وكلمة المرور الخاصين بالموظف، ولكن من الصعب جدًا تقليد السلوك الطبيعي للشخص بمجرد دخوله إلى الشبكة، على سبيل المثال، يمكن للسارق اقتناص محفظة والذهاب إلى متجر راقي والبدء في إنفاق آلاف الدولارات باستخدام البطاقة الائتمانية، إذا كان نمط الإنفاق الخاص بالمستخدم على تلك البطاقة مختلفًا عن نمط السارق، فغالبًا ما يتعرف قسم الكشف عن الاحتيال في الشركة على الإنفاق غير الطبيعي ويمنع عمليات الشراء المشبوهة، أو يصدر تنبيهًا أو يطلب من صاحب البطاقة التحقق من صحة المعاملة، على هذا النحو، تعد (UEBA) مكونًا مهمًا جدًا لأمن تكنولوجيا المعلومات، مما يتيح للمستخدم:
- كشف التهديدات من الداخل: ليس بعيد المنال التخيل أن موظفًا، أو ربما مجموعة من الموظفين، يمكن أن يسرقوا البيانات والمعلومات باستخدام وصولهم الخاص، حيث يمكن لـ (UEBA) المساعدة في اكتشاف خروقات البيانات والتخريب وإساءة استخدام الامتيازات وانتهاكات السياسة التي يرتكبها الموظفون.
- كشف الحسابات المخترقة: في بعض الأحيان، يتم اختراق حسابات المستخدمين، قد يكون السبب هو أن المستخدم قام عن غير قصد بتثبيت برامج ضارة على جهازه، أو في بعض الأحيان يتم انتحال حساب شرعي، كما يمكن لـ (UEBA) المساعدة في التخلص من المستخدمين المخادعين والمخترقين قبل أن يتمكنوا من إلحاق ضرر حقيقي.
- كشف هجمات القوة الغاشمة: يستهدف المتسللون أحيانًا الكيانات المستندة إلى مجموعة النظراء بالإضافة إلى أنظمة المصادقة التابعة لجهات خارجية، حيث باستخدام (UEBA)، يمكن اكتشاف محاولات القوة الغاشمة، مما يسمح بحظر الوصول إلى هذه الكيانات.
- الكشف عن التغييرات في الأذونات وإنشاء المستخدمين المتميزين: تتضمن بعض الهجمات استخدام المستخدمين المتميزين، حيث يتيح (UEBA) اكتشاف وقت إنشاء المستخدمين المتميزين، أو ما إذا كانت هناك حسابات تم منحها أذونات غير ضرورية.
- كشف خرق البيانات المحمية: إذا كانت هناك بيانات محمية، فلا يكفي مجرد الحفاظ عليها آمنة، كما يجب معرفة متى يصل المستخدم إلى هذه البيانات عندما لا يكون لديه أي سبب تجاري مشروع للوصول إليها.
ما هي ركائز UEBA
- حالات الاستخدام: تقوم حلول (UEBA) بالإبلاغ عن سلوك الكيانات والمستخدمين في الشبكة، حيث يقوم بالكشف عن الحالات الشاذة ومراقبتها وتنبيهها، كما يجب أن تكون حلول (UEBA) ذات صلة بحالات الاستخدام المتعددة، على عكس الأنظمة التي تقوم بإجراء تحليلات متخصصة مثل مراقبة المضيف الموثوق به، واكتشاف الاحتيال، وما إلى ذلك.
- مصادر البيانات: يمكن لحلول (UEBA) استيعاب البيانات من مستودع بيانات عام، حيث تتضمن هذه المستودعات مستودع البيانات أو بحيرة البيانات أو معلومات الأمان وإدارة الأحداث (SIEM)، لا تضع أدوات (UEBA) وكلاء البرامج مباشرة في بيئة تكنولوجيا المعلومات لجمع البيانات.
- تحليلات: تعزل حلول (UEBA) الانحرافات باستخدام الأساليب التحليلية، بما في ذلك التعلم الآلي والنماذج الإحصائية والقواعد وتوقيعات التهديد.
UEBA وتحليلات أمان البيانات الضخمة
تتيح تحليلات البيانات الضخمة للشركات استخراج القيمة من كميات كبيرة من البيانات غير المهيكلة أو شبه المهيكلة أو المنظمة، في هذا المجال، تركز تحليلات أمان البيانات الضخمة على تطبيق تقنيات تحليلية متقدمة لبيانات الأمان، من أجل اكتشاف التهديدات بشكل أكثر فعالية وتوفير الوقت لفرق الأمن، كما تميز الإمكانات التالية تحليلات أمان البيانات الضخمة عن أدوات الأمان التقليدية:
- قابلية التوسع: تحليل وربط الأحداث الأمنية الحالية والتاريخية عبر أنظمة تنظيمية متعددة.
- إعداد التقارير والتصور: لمساعدة المستخدمين على فهم البيانات المعقدة والتقطيع والنرد وإنشاء تصورات بسهولة لاستخراج الأفكار.
- تخزين البيانات الضخمة: تخزين كميات هائلة من البيانات بشكل فعال ومعالجتها وتحليلها باستخدام أنظمة قابلة للتطوير على نطاق واسع.
- وظائف واسعة: استخدام بيانات الأمان لاكتشاف مجموعة كبيرة ومتنوعة من التهديدات، وتخزين البيانات التاريخية لتمكين الكشف عن التهديدات المستقبلية والتحقيق فيها.
UEBA ضد SIEM
معلومات الأمان وإدارة الأحداث، أو (SIEM)، هي استخدام مجموعة معقدة من الأدوات والتقنيات التي توفر رؤية شاملة لأمن نظام تكنولوجيا المعلومات، إنه يستخدم البيانات ومعلومات الأحداث، مما يسمح برؤية الأنماط والاتجاهات الطبيعية، وينبه المستخدم عند وجود اتجاهات وأحداث غير طبيعية، كما تعمل (UEBA) بنفس الطريقة، فقط لأنها تستخدم معلومات سلوك المستخدم والكيان للتوصل إلى ما هو طبيعي وما هو غير طبيعي.
ومع ذلك، فإن نظام (SIEM) قائم على القواعد، ويمكن للقراصنة المتقدمين بسهولة تجاوز هذه القواعد أو التهرب منها، علاوة على ذلك، تم تصميم قواعد SIEM للكشف الفوري عن التهديدات التي تحدث في الوقت الفعلي، بينما يتم تنفيذ الهجمات المتقدمة عادةً على مدى شهور أو سنوات، من ناحية أخرى، لا تعتمد (UEBA) على القواعد، بدلاً من ذلك، يستخدم تقنيات تسجيل المخاطر والخوارزميات المتقدمة، مما يسمح له باكتشاف الحالات الشاذة بمرور الوقت، كما تتمثل إحدى أفضل الممارسات لأمن تكنولوجيا المعلومات في استخدام كل من (SIEM) و (UEBA) للحصول على إمكانات أمان وكشف أفضل.
أنظمة (SIEM) هي بنية تحتية لتحليلات أمان البيانات الضخمة يتم نشرها بواسطة العديد من مؤسسات الأمان، تقوم (SIEMs) بجمع وتجميع البيانات من أدوات الأمان وأنظمة تكنولوجيا المعلومات وتحليلها وتقديم تنبيهات في الوقت الفعلي لفرق الأمان، تقليديًا، لم تتضمن نماذج (SIEM) تقنية التحليلات السلوكية، لقد اكتشفوا التهديدات عبر قواعد الارتباط التي يحددها المستخدم، حيث تم تطوير حلول (UEBA) لمعالجة هذه الفجوة، وأثبتت أنها فعالة جدًا في اكتشاف أنماط الهجوم المعقدة أو غير المعروفة، ففي السنوات الأخيرة، أدرك المحللون والبائعون أن التحليلات المتقدمة يمكن أن تجعل (SIEMs) أكثر فعالية في اكتشاف التهديدات وتحليلها، نتيجة لذلك، تقدم العديد من أنظمة (SIEM) من الجيل التالي حلول (UEBA) المدمجة.