في نظام (UEBA)، لا يمكن تتبع الأحداث الأمنية أو مراقبة الأجهزة، بدلاً من ذلك، يمكن تتبع جميع المستخدمين والكيانات في النظام، على هذا النحو، تركز (UEBA) على التهديدات الداخلية، مثل الموظفين الذين تم اختراقهم بالفعل، والأشخاص الذين لديهم بالفعل إمكانية الوصول إلى النظام ثم يقومون بتنفيذ هجمات موجهة ومحاولات احتيال، بالإضافة إلى الخوادم والتطبيقات والأجهزة التي تعمل داخل النظام.
فوائد نظام UEBA للشركات
التأثير على الوضع الأمني
الهندسة الاجتماعية والتصيد الاحتيالي آخذان في الازدياد أيضًا، لا تهاجم هذه الاستراتيجيات أجهزة المؤسسة، بل تهاجم موظفيها، مما يقنع الموظفين بالضغط على الروابط وتنزيل البرامج وإرسال كلمات المرور، إن إصابة جهاز كمبيوتر ما هي إلا بداية لهجوم إلكتروني واسع النطاق محتمل، يساعد نظام (UEBA) على اكتشاف حتى أصغر السلوكيات غير العادية ومنع مخطط تصيد صغير من التصعيد إلى خرق هائل للبيانات.
يعالج نطاقًا أوسع من الهجمات الإلكترونية
الفائدة الأساسية لـ (UEBA) هي أنها تسمح للمؤسسات باكتشاف نطاق أوسع بكثير من التهديدات السيبرانية، حيث تعد هجمات القوة الغاشمة و (DDoS) والتهديدات الداخلية والحسابات المخترقة مجرد فئات قليلة من التهديدات التي يمكن لـ (UEBA) اكتشافها، هذا ممكن لأن نظام (UEBA) لا يراقب فقط النشاط البشري على الأجهزة ولكن أيضًا الأجهزة نفسها، بما في ذلك الخوادم وأجهزة التوجيه ونقاط النهاية وأجهزة إنترنت الأشياء (IoT)، نمت الهجمات الإلكترونية على نطاق واسع وتعقيدًا، وقد يجد المهاجمون الخبثاء أنه من الأفضل ببساطة اختراق جهاز بدلاً من استخراج كلمات المرور من مستخدم بشري.
مع استمرار تصاعد استخدام الجهاز، قد يكون هناك عدد أقل من الطابعات أو أجهزة الفاكس قيد الاستخدام، فمن المحتمل أن يستخدم الموظفون على الأقل جهاز كمبيوتر محمول وهاتفًا ذكيًا لتنفيذ المهام المتعلقة بالعمل، وقد شجع هذا الجهات الفاعلة الخبيثة على استهداف الأجهزة حيث زاد عدد نواقل التهديد بشكل كبير.
- “IoT” اختصار ل”Internet of Things”.
يتطلب عدد أقل من محللي تكنولوجيا المعلومات
كما هو الحال مع أي تطبيق مؤسسي يستفيد من التعلم الآلي والذكاء الاصطناعي، يحل البرنامج محل وقت وجهد الموظفين الذين يقومون بهذه المهمة بشكل طبيعي، حيث قد يثير هذا الاحتمال العديد من المؤسسات، بينما قد يتراجع محترفو تكنولوجيا المعلومات، لكن تقدم حلول (UEBA) لن يؤدي إلى انخفاض كبير في عدد الموظفين، وهذا لسببين:
- تدرك المؤسسات الكبيرة ذات المتطلبات الأمنية المعقدة، مثل الشركات متعددة الجنسيات والحكومات، الحاجة إلى المزيد من موظفي تكنولوجيا المعلومات ومحللي الأمن لإعداد النظام وتكوينه وإدارته، بالإضافة إلى التواصل بانتظام مع الموظفين، بالإضافة إلى ذلك، إذا قررت المؤسسة عدم دمج إمكانات الاستجابة الآلية، مفضلة بدلاً من ذلك التحقيق في السلوك غير المعتاد قبل اتخاذ إجراء، فسيتعين إرسال محللي أمان إضافيين إلى الموظف أو موقع الأجهزة.
- إذا قررت إحدى المؤسسات أنها تحتاج إلى عدد أقل من محللي سجل نظام تكنولوجيا المعلومات بمجرد تشغيل نظام (UEBA)، يمكن للشركة تحويل هؤلاء الموظفين إلى مشاريع أخرى ذات قيمة أعلى والتي قد تكون مهمة أكثر أهمية.
تقليل التكاليف
إذا كانت المنظمة تتطلب الآن عددًا أقل من المحللين للقيام بالعمل الذي يقوم به نظام (UEBA)، فسيكون هناك انخفاض في الإنفاق على تكنولوجيا المعلومات، ومع ذلك، كما هو موضح، لا يعني هذا أنه يجب التخلي عن طاقم محلل الأمن بالكامل بمجرد تشغيل النظام، كما لا يزال التعلم الآلي في أي بيئة يتطلب تدخلًا بشريًا، بالإضافة إلى ذلك، يمكن اعتبار إيقاف هجوم برامج الفدية في مساراته بمثابة توفير في التكلفة من نوع ما، كان من الممكن أن تمنع (UEBA) المؤسسة من الدفع للمهاجمين الإلكترونيين لاستعادة النظام أو خسارة الأموال في ساعات أو أيام من الإنتاجية المفقودة لأن هجوم البرامج الضارة جعل الخادم غير متاح.
يقلل المخاطر
هذه هي الميزة الرئيسية لنظام (UEBA)، التدابير الوقائية في شكل منتجات الأمن المنعزلة تذهب فقط حتى الآن، تواجه مؤسسات اليوم مجموعة من التهديدات المتزايدة، والتي أصبح إحباطها أكثر صعوبة مع انتشار الأجهزة والمواقع، مع إغلاق المكاتب، يعمل الموظفون من المنزل باستخدام أجهزة متعددة متصلة بأجهزة التوجيه التي تصل إلى الإنترنت العام، لا يمكن تنزيل حل (UEBA) على الأجهزة المنزلية للموظفين فحسب، بل يمكن استخدامه أيضًا مع إنترنت الأشياء والأجهزة القوية الموضوعة في بيئات متنوعة مثل تجار التجزئة والمستودعات والمستشفيات، يمكن أن يكون أي جهاز متصل بشبكة الشركة عرضة لهجوم إلكتروني، من المستحيل على فريق تكنولوجيا المعلومات، مهما كان حجمه، أن يتتبع ماديًا كل جهاز قيد الاستخدام، وتزيل (UEBA) الكثير من هذا العمل.
اضرار UEBA على الشركات
من ناحية أخرى، هناك بعض العيوب في (UEBA)، حتى عند استخدامها جنبًا إلى جنب مع أدوات الأمن السيبراني الأخرى، وذلك لأن أن أدوات الأمن السيبراني اليوم أصبحت قديمة، وأصبح الآن المزيد من المتسللين والمهاجمين الإلكترونيين المهرة قادرين على تجاوز الدفاعات الخارجية التي تستخدمها معظم الشركات، في الماضي، كان المستخدم آمنًا إذا كان لديه بوابات ويب وجدران حماية وأدوات لمنع التطفل، لم يعد هذا هو الحال في مشهد التهديدات المعقدة اليوم، وهذا ينطبق بشكل خاص على الشركات الكبرى التي ثبت أن لها محيطًا لتكنولوجيا المعلومات يسهل اختراقه ويصعب أيضًا إدارته والإشراف عليه.
التكلفة الأولية
العيب الأساسي في (UEBA) هو التكلفة الأولية، بينما بالنسبة للشركات الكبيرة، فإن الاستثمار في (UEBA) سيعوض نفسه بسرعة، فقد لا تحتاج الشركات الصغيرة إلى مثل هذا الحل المعقد للمراقبة، نظرًا لأن معظم حلول الاستضافة المخصصة توفر بالفعل عناصر تحكم متقدمة في وصول المستخدم لمواقع الويب وبوابات الويب، فقد ترى الشركات الصغيرة التي تنفذ (UEBA) أنها تكرار للوقت والمال، ان السعر، ببساطة قد يكون بعيدًا عن متناول بعض المؤسسات، تطور (UEBA)، في حين أنه إيجابي للشركات الكبيرة ذات الاحتياجات الأمنية المعقدة والمتطورة، يمكن أن يكون سلبيًا للشركات الصغيرة والمتوسطة الحجم التي يمكنها معالجة اكتشاف التهديدات وإدارتها من خلال مجموعة من حلول النقاط الأخرى، مثل بوابات الويب وجدران الحماية و الشبكة الإفتراضية (VPN).
- “VPN” اختصار ل”Virtual Private Network“.
البيانات المعقدة
البيانات التي تم إنشاؤها بواسطة (UEBA) أكثر تعقيدًا من تلك الناتجة عن أنظمة (UBA) الأساسية، هذا يمكن أن يجعل من الصعب فهم المحللين دون التدريب المطلوب، ومع ذلك، يوفر تدريب (Varonis) وهي شركة رائدة في مجال أمن البيانات والتحليلات الأمنية طريقة لتدريب الموظفين بسرعة وكفاءة على التقنيات المتقدمة مثل (UEBA)، لتفادي هذا العيب.
عدم القدرة على ايقاف المتسللين
من المهم ادراك أن (UEBA) تساعد المستخدم بطرق محددة للغاية، وليست بديلاً لأنظمة الأمن السيبراني الأخرى، سيتيح ذلك اكتشاف السلوك غير المعتاد، لكنه لن يفعل أي شيء لوقف المتسللين.
