تحلیل رفتار کاربر یا UBA، اصطلاح توصیف جستجوی الگوهای مورد استفاده است که فعالیت‌های محاسباتی غیرمعمول را نشان می‌دهد. در این تحلیل اینکه فعالیت از جانب هکر، کارمند یا حتی نرم‌افزار مخرب یا فرآیند دیگری ناشی شود اهمیتی ندارد. در حالیکه UBA مانع از دسترسی هکرها یا خودی‌ها به سیستم بحرانی (حیاتی) نمی‌شود، می‌تواند به سرعت کار آنها را تشخیص داده و آسیب‌ها و خطرات کلی را به حداقل برساند. تحلیل رفتار موجودیت کاربر یا (User and Entity Behavior Analytics) همان تحلیل رفتار کاربر است با تفاوت‌های کوچکی که آن را شرح می‌دهیم.

چه تفاوتی میان UBA و تحلیل‌ رفتار موجودیت کاربر یا UEBA وجود دارد؟

چرا موجودیت‌ها را در نظر می‌گیریم؟

حرف E، البته! با افزودن کلمه “نهاد یا موجودیت” موارد بسیاری ایجاد می‌شود. ایده اصلی این است که UEBA دسترسی به تجزیه و تحلیل‌های خود را برای پوشش دادن فرآیندهای غیرانسانی و موجودیت‌های دستگاه گسترش می‌دهد. آنتون چوواکین، تحلیلگر گارتنر، تفکیک خوبی از UEBA ارائه داده است: به طور خلاصه، UEBA همچنان یک UBA است که با زمینه بیشتر از موجودیت‌ها و تجزیه و تحلیل‌ها، بهبود یافته است.

چرا فراتر از کاربر؟

بسیاری اوقات منطقی است که به منظور پیدا کردن رفتارهای غیرمعمول، حساب‌های کاربری افراد را ملاحظه نکنید. به عنوان مثال، هکرهایی که از رایانه یک قربانی استفاده می‌کنند، ممکن است برای راه‌اندازی پس از بهره‌برداری – به بیانی دیگر حرکت افقی به دستگاه‌های دیگر، از چندین کاربر استفاده کنند.

موجودیت بزرگتری که باید روی آن تمرکز کنید، حساب کاربری نیست؛ بلکه در سطح دستگاه است که می‌تواند توسط یک آدرس IP مشخص شود. به عبارت دیگر، به دنبال فعالیت‌های غیرمعمول باشید که عنصر مشترک آنها، آدرس IP یک ایستگاه کاری باشد.

 یا در مورد نرم‌افزار سیستم عامل ویندوز موجود – regsvr32 یا rundll32 –  که هکرها در زمینه‌ای از آن استفاده می‌کنند که در تضاد با استفاده عادی است، موجودیت منطقی‌تر برای تمرکز، خود نرم‌افزار است.

یادگیری ماشین و تجزیه و تحلیل رفتار موجودیت کاربر

راهنمای گارتنر برای UEBA (از اینجا قابل بارگیری است) بینش‌هایی درباره UEBA و موارد استفاده مناسب از آن دارد. همانطور که اشاره کردند، در UEBA بیش از UBA بر استفاده از علم داده و یادگیری ماشین برای جدا کردن فعالیت‌های عادی افراد و موجودیت‌ها از ناهنجاری‌ها، تاکید می‌شود. گارتنر ملاحظه می‌کند که UEBA برای استفاده از مواردی که تجزیه و تحلیل دقیق‌تر و جمع‌آوری زمینه بیشتر ضروری است، اعمال می‌شود، که این موارد عبارتند از:

  • خودی‌های مخرب
  • گروه‌های APT که آسیب‌پذیری‌های روز صفر را اعمال می‌کنند.
  • استخراج داده‌ها از کانال‌های جدید
  • نظارت بر دسترسی به حساب کاربری

از آنجایی که این موارد استفاده یک سطح حمله متغیر را شامل می‌شود، گارتنر یادآوری می‌کند که یادگیری ماشین یا ML برای ایجاد یک مبنای اساسی ناشی از “تعامل بین همه کاربران، سیستم‌ها و داده‌ها” ضروری است. اما همانطور که محققان ML خاطرنشان کردند، هیچ رویکرد واحدی برای کار کردن با این مقدمات وجود ندارد.

خوشه‌بندی

خوشه‌بندی متوسط k، طبقه‌بندی، رگرسیون، تجزیه و تحلیل مؤلفه، همه در الگوریتم‌های UEBA قابل استفاده هستند. اگر شما در زمینه علوم کامپیوتر مبتدی هستید، می‌توانید در مورد این موضوعات بیشتر مطالعه کنید.

 اما حتی بزرگترین تقویت‌کننده تجزیه و تحلیل مبتنی بر ML به شما خواهد گفت، محدودیت‌هایی وجود دارد. تنظیم آنها بسیار سخت است و می‌تواند منجر به ناسزاگویی به تمامی سیستم‌های UEBA شود: خیلی از موارد دارای مثبت کاذب بسیار است. به عبارت دیگر، الگوریتم‌ها به قدری حساس هستند که نسبت به شرایطی هشدار می‌دهند که ممکن است یک فعالیت غیرعادی باشد اما غیر‌طبیعی نیستند و نشان‌دهنده یک مهاجم یا خودی است.

شاید یک معمار سیستم در طول تعطیلات آخر هفته نیز کار کرده باشد تا یک پروژه که زمان تحویل آن نزدیک است، آماده نماید  و صدها پرونده را کپی کند. الگوریتم‌های خوشه‌بندی UEBA، این کارمندان را غیرطبیعی در نظر گرفته، حساب کاربری وی را قفل می‌کند و بدین ترتیب باعث به تاخیر انداختن یک پروژه مهم شدند. هیچ کس چنین چیزی را نمی‌خواهد!

UEBA، پاک کردن داده‌ها و مدل‌های تهدید

سوال بزرگتر در مورد UEBA  – همانطور که برای سیستم مدیریت رویداد و اطلاعات یا سیستم های SIEM بود – یک منبع داده است.

همانطور که قبلاً در وبلاگ IOS خاطر نشان کردیم، اساس تجزیه و تحلیل امنیتی بر روی گزارش رویدادهای ویندوز خام بسیار دشوار است. این یک فرآیند پیچیده (و بالقوه مستعد خطا) برای مرتبط کردن رویدادهای مرتبط با سیستم گزارش‌دهی است. مهم‌تر از آن، منابع مورد نظر فشرده هستند. راه‌حل‌های بهتری وجود دارد که می‌توانند تاریخچه وقایع مربوط به پرونده‌های پاک‌تری تولید نمایند.

مشکل دیگری که الگوریتم‌های UEBA ایجاد می‌کنند، این است که آنها به اشکال مختلفی در ابتدا آغاز می‌شوند: آنها باید از طریق آموزش رسمی نظارت شده یا از طریق جنبش به صورت نیمه نظارت، آموزش داده شوند. ما هیچ مشکل ماهیتی با این ایده نداریم زیرا این روش، نحوه کار ML است.

اما در فضای امنیت داده‌ها، ما از این مزیت بزرگ برخوردار هستیم که می‌دانیم بیشتر حوادث بحرانی چگونه رخ می‌دهند. خوشبختانه، افرادی که در بخش MITER هستند، کارهای سخت و مهم را انجام داده و تکنیک‌ها و تاکتیک‌های زیادی را در مدل‌های مختلف ترتیب داده‌اند.

ماتریس تاکتیک‌های MITRE؛ ما می‌دانیم حمله‌کننده‌ها چگونه کار خود را انجام می‌دهند.

و این موضوع، چیز خوبی است!

برای UEBA، ما نیازی به تکیه بر تکنیک‌های ML نداریم تا یاد بگیریم که عوامل اصلی در تعیین رفتارهای غیرطبیعی چیست. MITER و دیگران به ما می‌گویند، برای مثال، حرکت جانبی، دسترسی به اعتبار و افزایش امتیاز، برخی از روش‌های شناخته شده مهاجمان هستند. شروع با این الگوهای به خوبی درک شده، شروع بزرگی در سازماندهی داده‌های رویداد است. این روند به طور طبیعی به موضوع مدل‌سازی تهدید منجر می‌شود.

مدل‌سازی تهدید

مدل‌های تهدید، ویژگی‌های کلیدی حملات در دنیای واقعی هستند که در گروه‌های معنادار بزرگتری سازمان یافته‌اند. و این جایی است که یک شرکت ارئه دهنده خدمات امنیت می‌تواند کمک کند.

یکی از شرکت های ارائه دهنده خدمات امنیت از مدلهای تهدید پیشگویانه استفاده می‌کند تا به طور خودکار رفتارها را در چندین سیستم عامل تجزیه و تحلیل کند و به شما در مورد یک مهاجم بالقوه هشدار دهد. از مشکلات Crypto Locker گرفته تا حساب‌های کاربری خدمات به خطر افتاده تا کارکنان ناراضی، ما تمامی رفتارهای غیر عادی کاربر را تشخیص می دهیم و به شما هشدار می دهیم.