لدى المؤسسات التي ترغب في إضافة إمكانات متقدمة في التعلم التحليلي أو الآلي إلى ترسانة أمان تكنولوجيا المعلومات لديها حل جديد نسبيًا تحت تصرفهم: تحليلات سلوك المستخدم والكيان (UEBA).
تحدد منتجات UEBA الأنماط في سلوك المستخدم النموذجي ، ثم تكتشف الإجراءات غير الطبيعية التي لا تتطابق مع هذه الأنماط وقد تمثل مشكلات أمنية. بالإضافة إلى ذلك ، تكتشف أنظمة UEBA الأحداث غير التقليدية في العديد من الكيانات (الكيانات) ، والتي تشمل محطات العمل ، والبرمجيات ، وحركة مرور الشبكة ، والتخزين ، إلخ ، إلخ
يتم استخدام مجموعة متنوعة من الأساليب التحليلية لتحديد الانحرافات ، بما في ذلك التعلم الآلي. بالمناسبة ، هناك أيضًا فئة من أنظمة UBA ، كما قد تتخيل ، تحلل فقط المعلومات المرتبطة بالمستخدمين وأدوارهم. مصادر البيانات لأنظمة UEBA هي ملفات السجل الخاصة بمكونات الخادم والشبكة وأنظمة الأمان والسجلات المحلية من الكمبيوتر الشخصي النهائي.
عادةً ما تقوم حلول UEBA بعملها بعد أن فشلت أدوات الدفاع الإلكتروني الأخرى في تحديد التهديدات داخل الشبكة.
على الرغم من حلول UEBA التي ظهرت منذ وقت ليس ببعيد ، فإنها سرعان ما أصبحت شعبية مع الشركات الكبيرة. وفقًا لشركة Gartner ، تتضاعف مبيعات حلول UEBA المتخصصة كل عام. بالإضافة إلى ذلك ، يتضمن العديد من البائعين وظائف UEBA في أدوات الأمان الأخرى مثل SIEM (معلومات الأمان وإدارة الأحداث) ، وتحليل حركة مرور الشبكة ، والتحكم في الهوية والوصول (IAM) ، وحماية نقطة النهاية أو منعها تسرب البيانات. يتوقع محللو Gartner أنه على مدار خمس سنوات ، ستتحول منتجات UEBA الفردية التي ستبقى في السوق بحلول ذلك الوقت إلى حلول SIEM من الجيل التالي ، بينما ستجد حلول UEBA الأخرى مكانتها المناسبة في تقنيات الأمان الأخرى.
خوارزمية أنظمة UEBA. المصدر: غارتنر
فيما يلي وصف موجز للمنتجات الأكثر شعبية في قطاع UEBA. يمكن العثور
على مزيد من المعلومات حول المنتجات في
جدول مقارنة UEBA على ROI4CIO ، بناءً على مقارنة بين القادة (وفقًا لدراسة Gartner).
Exabeam تحليلات متقدمة
يوفر Exabeam حلول الأمن والإدارة التي تساعد المؤسسات من جميع الأحجام على حماية المعلومات الأكثر قيمة. تستخدم منتجات Exabeam تقنية التعلم الآلي والتحليلات السلوكية في عملها.
وفقًا لخبراء Gartner ، يعد Exabeam Advanced Analytics أحد الأفضل في فئة UBA. بالمقارنة مع المنافسين ، هذا الحل سهل التعلم لمسؤولي النظام أو المحللين ، مما يعني أن وقت التنفيذ أقصر بكثير. لا يتعين على المحللين قضاء أيام أو أسابيع في جمع الأدلة والتخطيط للحوادث بناءً على معلومات من SIEM. بفضل ميزة التحليلات المتقدمة ، يشير الجدول الزمني للحوادث التي تم إنشاؤها مسبقًا إلى الحالات الشاذة ويعرض التفاصيل من أجل التقاط الحدث وسياقه بالكامل.
ما سبق استغرق أسابيع يمكن الآن القيام به في ثوان. واجهة المستخدم الخاصة بالمنتج مريحة ، كما أن التنقل وعرض البيانات التاريخية سريع للغاية. يحتوي الحل على المئات من النماذج المدمجة ، بعضها فريد ، ولا يمكن العثور عليه بين المنافسين ، وهي الميزة الرئيسية للمنتج. تقدم الشركة الدعم الفني المؤهل لحلولها.
لكن أداة الإبلاغ ، للأسف ، غائبة عمليا. يمكن للمستخدم طباعة / تصدير محتويات نافذة المتصفح ، وإرسال تنبيهات حول الجلسات غير الطبيعية إلى نظام SIEM ، أو يمكنه فقط التقاط لقطات شاشة. إذا كنت بحاجة إلى شيء أكثر ، فيجب اللجوء إلى استخدام أداة بديلة. يتطلب عرض أكثر من عشرة أحداث في المخطط الزمني جهاز عرض عالي الدقة ، على الرغم من أنه في هذه الحالة لن يصلح أكثر من 20 حدثًا. هناك وظيفة بحث مخصصة باستخدام لوحة البحث "Threat Hunter" ، والتي توفر وظائف جيدة.
مايكرو فوكس الأمن ArcSight UBA
يوفر ArcSight User Behavior Analytics للشركات معلومات مفصلة عن مستخدميها ، مما يبسط إلى حد كبير عملية إنشاء البيانات السلوكية للمساعدة في تخفيف التهديدات. يساعد على اكتشاف سلوك المستخدم الضار والتهديدات الداخلية وإساءة استخدام الحساب والتحقيق فيه. وبالتالي ، فإنه يسمح للمنظمات بالكشف عن الانتهاكات قبل أن تتسبب في أضرار كبيرة.
تساعد ArcSight User Behavior Analytics العملاء على تقليل مخاطر الهجمات الإلكترونية واكتشاف السلوكيات غير الطبيعية من خلال مقارنة سجلات نظام إدارة مصادقة المستخدم مع سجلات تكنولوجيا المعلومات الأخرى التي يتم إنشاؤها بواسطة التطبيقات والشبكات. بالإضافة إلى ذلك ، يوفر المنتج استجابة أسرع للتهديدات المحددة من خلال تكامل أعمق مع SIEM ، بالإضافة إلى التحقيق في الحوادث بشكل أسرع. الحقيقة هي أن UBA يحلل البيانات المتعلقة بالمستخدمين ، ويحدد الانحرافات ويقارنها مع نظائرها ، والنشاط التاريخي و / أو انتهاكات السلوك المتوقع المحدد مسبقًا.
بهذه الطريقة ، يكتشف ArcSight UBA سلوك المستخدم غير الطبيعي ، وهو أمر مهم للغاية لاكتشاف القرصنة أو إساءة استخدام الحساب. تقدم Micro Focus حالات الاستخدام الأكثر نضجًا والأكثر إثباتًا للأمان في UBA والتكامل السلس التكافلي مع SIEM.
Forcepoint UEBA
يُمكّن حل Forcepoint User and Entity Beyt Analytics (UEBA) فرق الأمان من مراقبة السلوكيات الشاذة عالية الخطورة في المؤسسة بشكل استباقي. تنشئ منصة الحماية التحليلية سياقًا لا مثيل له من خلال الجمع بين البيانات المهيكلة وغير المنظمة لتحديد ومنع المستخدمين الضارين والمهمشين والمهمشين. يكتشف Forcepoint العديد من المشكلات الهامة ، مثل الحسابات المخترقة ، والتجسس على الشركات ، وسرقة الملكية الفكرية ، والاحتيال.
تقييم الفروق الدقيقة في تفاعل الأشخاص والبيانات والأجهزة والتطبيقات ، تحدد Force Force UEBA المواعيد النهائية لمجموعات الأمان. يعتمد حل برنامج Forcepoint على أربعة مبادئ:
سياق غني. يجمع المنتج محتوى تم جمعه من مصادر بيانات متباينة. وبالتالي ، استكمال قدرات حلول SIEM وغيرها من الحلول في مجال أمن المعلومات ، لتحديد ومنع إجراءات المستخدم غير المرغوب فيها.
التحليلات السلوكية. يستخدم Forcepoint UEBA عدة أنواع من تحليلات السلوك والمحتوى الصارمة التي تركز على اكتشاف التغييرات والأنماط والشذوذ من أجل اكتشاف الهجمات المعقدة بشكل أفضل.
البحث والاكتشاف. يوفر أدوات فحص واكتشاف شرعي قوية من خلال واجهة مستخدم سياقية للمراقبة المستمرة والبحث المتعمق.
سير العمل بديهية. توفر تقارير استباقية تتكامل تمامًا مع سير عمل مسؤول النظام وبنية معلومات العميل الحالية لتحسين الكفاءة التشغيلية.
تحليل سلوك المستخدم
واحدة من نقاط القوة الرئيسية لتحليل سلوك المستخدم في Splunk هي اكتشاف تهديدات مجهولة وسلوك غير طبيعي باستخدام التعلم الآلي.
يوفر تحليل سلوك مستخدم Splunk الميزات التالية:
كشف التهديد المتقدم. يكتشف المنتج العيوب والتهديدات غير المعروفة التي يتم تجاهلها بواسطة أدوات الأمان التقليدية.
أداء أعلى. يقوم تلقائيًا بدمج المئات من الحالات الشاذة المكتشفة في تهديد واحد ، مما يبسط حياة محلل الأمان بشكل كبير
قدرات التحقيق في الحوادث قوية. يستخدم الحل قدرات التحقيق العميقة والخصائص السلوكية الأساسية القوية لأي كيان أو شذوذ أو تهديد.
تحسين الرؤية والكشف. أتمتة الكشف عن التهديد باستخدام التعلم الآلي ، والذي يتيح لك قضاء المزيد من الوقت في القضاء على التهديدات نفسها وتعزيز الأمن.
مطاردة التهديد السريع. يحدد تحليل سلوك المستخدم في Splunk الأشياء الشاذة دون إشراك الإنسان. يحتوي الحل على مجموعة واسعة من أنواع مختلفة من الحالات الشاذة (أكثر من 65) وتصنيفات التهديد (أكثر من 25) للمستخدمين والحسابات والأجهزة والتطبيقات.
موارد SOC المعززة. يجمع تلقائيًا بين المئات من الحالات الشاذة التي لوحظت في العديد من الكيانات - المستخدمون والحسابات والأجهزة والتطبيقات - في تهديد واحد مشترك لاستجابة أسرع.
Securonix UEBA
يقدم حل Securonix UEBA قدرات تحليلات متقدمة قائمة على التعلم الآلي. من بين مزايا المنتج ، يجب ملاحظة ما يلي:
الحد من مخاطر التهديدات الداخلية. تقوم Securonix بإنشاء ملف تعريف شامل للمخاطر لكل مستخدم في بيئة الشركة ، استنادًا إلى معلومات حول الهوية والتوظيف وانتهاكات الأمان ونشاط تكنولوجيا المعلومات والوصول إليها والوصول الفعلي وحتى سجلات الهاتف.
يحدد المنتج مجالات الخطر الحقيقية من خلال مقارنة نشاط المستخدم مع خطوط الأساس الفردية ، وخطوط الأساس للمجموعات التي ينتمون إليها ، ومؤشرات التهديد المعروفة. يتم تقييم النتائج وعرضها في بطاقات الأداء التفاعلية.
رؤية أفضل في السحابة الخاصة بك. تجدر الإشارة هنا إلى ميزات مثل المراقبة من السحابة إلى السحابة مع واجهات برمجة التطبيقات المدمجة لجميع البنى التحتية السحابية الرئيسية وتقنيات التطبيق ؛ اكتشاف النشاط الضار من خلال تحليل حقوق المستخدم والأحداث ؛ الارتباط بين السحابة والبيانات المحلية من أجل إضافة معلومات حول سياق الكائن. بالإضافة إلى ذلك ، ينبغي الإشارة إلى تحليل شامل لأنماط التهديد ، مما يؤدي إلى استجابة.
الكشف الاستباقي عن الاحتيال في المؤسسة. المنتج قادر على تحديد الهجمات الاحتيالية المعقدة التي عادةً ما تتجنب طرق الكشف المعتمدة على التوقيع باستخدام السلوك المتطور بدون إشارات وطرق التحليل الشاذ من نظير إلى نظير. تجدر الإشارة أيضًا إلى وظائف الكشف عن سرقة الحسابات وسلوك المستخدم غير الطبيعي والاحتيال في المعاملات وانتهاكات غسل الأموال.
ملخص
تعد أنظمة فئة UEBA / UBA عنصرًا مهمًا في تحديد أنواع غير معروفة من التهديدات وهجمات APT ، بالإضافة إلى الموظفين الذين ينتهكون قواعد IS داخل الشركة. تركز منتجات UEBA على أربع مهام أساسية.
أولاً ، تحليلات بسيطة ومتقدمة للمعلومات من مصادر مختلفة باستخدام أساليب التعلم الآلي ، بشكل دوري أو مستمر ، في الوقت الحقيقي. ثانياً ، تم تصميم UEBAs للكشف التشغيلي عن الهجمات وغيرها من الحالات الشاذة التي عادة ما لا يتم الكشف عنها بواسطة أدوات أمان المعلومات الكلاسيكية.
ثالثًا ، هذا هو تحديد أهمية الأحداث التي تم جمعها من مصادر مختلفة (أنظمة مثل SIEM ، DLP ، AD ، إلخ) من أجل الاستجابة السريعة لمسؤولي أمن المعلومات.
رابعًا ، استجابة قوية للأحداث ، يضمنها أن مسؤولي IS لديهم معلومات شاملة ومفصلة عن الحادث.
يمكن العثور على المزيد من منتجات UEBA ومعلومات أكثر تفصيلًا عنها في جدول مقارنة UEBA على ROI4CIO.
مؤلف المراجعة: Oleg Pilipenko ، لـ ROI4CIO