أصبح الأمن السيبراني مهمًا بشكل متزايد للشركات من جميع الأحجام. من الشائع الآن حتى للشركات الصغيرة أن تستخدم مجموعة كبيرة من الأدوات مثل SIEM ، وجدران الحماية ، وشبكات VPN للحماية من التطفل.

القراصنة ، مع ذلك ، أصبحوا متطورين بشكل متزايد. يعتمد نجاحهم على قدرتهم على شن هجمات دون أن يتم اكتشافهم بواسطة هذه الأدوات. وغالبًا ما ينجحون في القيام بذلك. يُعرف أحد الحلول المحتملة لذلك باسم تحليلات سلوك المستخدم والكيان.

إذن ما هو UEBA ، وهل يجب أن يستخدمه عملك؟ دعنا نكتشف أدناه.

ما هي تحليلات سلوك المستخدم والكيان؟

UEBA هو حل للأمن السيبراني يستخدم مجموعات كبيرة من البيانات لنمذجة نشاط الشبكة. يقوم بتحليل كل من مستخدمي الشبكة والشبكة نفسها ، مثل أجهزة التوجيه و أجهزة إنترنت الأشياء. ثم يبحث عن نشاط مشبوه وينبه النشاط التجاري عند اكتشاف مثل هذا النشاط.

يحقق ذلك عن طريق إنشاء خط أساس لما يبدو عليه النشاط العادي على الشبكة. ثم يستخدم التعلم الآلي لاكتشاف السلوك غير الطبيعي تلقائيًا.

إنه شائع لأن العديد من منتجات الأمن السيبراني مدربة على البحث عن البرامج الضارة بشكل أساسي. يمكن للقراصنة هزيمة مثل هذه البرامج عن طريق الدخول إلى شبكة وعدم تثبيت أي ملفات ضارة.

instagram viewer

على عكس ذلك ، يمكن لـ UEBA البحث عن أي شيء غير طبيعي. هذا يسمح لها باكتشاف المزيد من الهجمات المعقدة التي لا تتطابق مع التهديدات المعروفة.

كيف يعمل UEBA؟

تحتوي حلول UEBA عادةً على ثلاثة مكونات أساسية: التحليلات والتكامل والعرض التقديمي. دعونا نلقي نظرة عليها بإيجاز:

تحليلات

تحلل UEBA سلوك جميع مستخدمي الشبكة والأجهزة. يؤدي القيام بذلك إلى إنشاء خط أساسي يوضح كيف تبدو الشبكة عندما لا يحدث هجوم. تُستخدم النماذج الإحصائية بعد ذلك لتحديد متى يتصرف المستخدم أو الجهاز بطريقة لا ينبغي أن يفعلها.

اندماج

تم تصميم حلول UEBA عادةً للتكامل مع برامج الأمان الأخرى. من المحتمل أن يكون عملك يتتبع بالفعل سلوك الشبكة ، ويجب أن يكون منتج UEBA قادرًا على جمع البيانات من هذه المنتجات تلقائيًا.

عرض تقديمي

لا يتخذ UEBA عادة إجراءات ضد التهديدات. بدلاً من ذلك ، تم تصميمه لتقديم بياناته إلى موظفي تكنولوجيا المعلومات لإجراء مزيد من التحقيق. يمكن أن يكون هذا أمرًا بسيطًا مثل إرسال تنبيه. لكن العديد من منتجات UEBA تنتج أيضًا رسومًا بيانية وبيانات إحصائية أخرى يمكن للموظفين استخدامها لإجراء تحليل إضافي.

ما الذي تحمي UEBA منه؟

يمكن لـ UEBA الحماية من التهديدات المختلفة التي قد لا توفرها منتجات الأمان الأخرى. دعونا نرى ما هم ، نحن العرب؟

التهديدات الداخلية

غالبًا ما تجد برامج الأمان صعوبة في ذلك كشف التهديدات الداخلية. على الرغم من أن SIEM قد يكتشف بسهولة اختراق الشبكة ، فقد لا يكتشف أن شخصًا ما داخل شبكة بالفعل يفعل شيئًا ليس من المفترض أن يفعله. سوف يفهم UEBA الذي تم تكوينه بشكل صحيح كيف يتصرف المستخدمون بشكل طبيعي ويجب أن يولد تنبيهًا إذا بدأ المستخدم في فعل شيء آخر.

حسابات المستخدمين المخترقة

إذا كان المستخدم يتصرف بشكل غير طبيعي ، فهذا لا يحدث دائمًا بسبب تهديد من الداخل. يمكن أن يعني أيضًا أن مهاجمًا قد سرق حساب المستخدم. يتم استهداف موظفي الأعمال بانتظام عن طريق التصيد الاحتيالي و اختراق حسابات المستخدمين لذلك هي أمر شائع. يمكن لـ UEBA اكتشاف الحسابات المكونة بمجرد أن يبدأ المهاجم في فعل شيء خارج عن المألوف.

التصعيد امتياز

يحدث تصعيد الامتياز عندما يتم منح المستخدم امتيازات إضافية للوصول إلى أجزاء أخرى من الشبكة. هذا شيء سيستفيد منه المتسلل. يمكن تعيين UEBA للكشف عن زيادة امتيازات المستخدم وإرسال تنبيه للتحقيق.

هجمات القوة الغاشمة

هجمات القوة الغاشمة تتضمن محاولات متكررة للوصول إلى حسابات المستخدمين والشبكات. لأنه من الواضح أن هذا ليس ضمن السلوك الطبيعي ، يمكن بسهولة اكتشافه بواسطة UEBA. في هذا السيناريو ، قد يصدر UEBA تنبيهًا ، أو يمكن إعداده لطرد المهاجم تلقائيًا.

الوصول المقيد إلى المعلومات

يمكن لـ UEBA مراقبة من يصل إلى المعلومات السرية. لذلك يمكنه منع انتهاكات البيانات عن طريق إصدار تنبيه عندما يصل المستخدم إلى شيء غير مطلوب لعمله.

UEBA مقابل. سيم

تتشابه أدوات معلومات الأمان وإدارة الأحداث مع UEBA ولكنها ليست متشابهة تمامًا. تقوم أدوات SIEM أيضًا بتحليل الشبكة وإنشاء تنبيهات عند اكتشاف نشاط مشبوه.

الفرق هو أن SIEM يولد تنبيهًا فقط عندما يقوم المهاجم بشيء معروف بأنه ضار. لذلك ، إذا كان المهاجم حذرًا ، فلا يزال بإمكانه الدخول إلى الشبكة وتجنب الكشف.

تم تصميم UEBA لاكتشاف الهجمات ، ليس بسبب السلوك الضار ولكن بسبب سلوك خارج عن القاعدة. هذا يسمح لها باكتشاف الهجمات التي لا تتطابق مع أي تهديدات معروفة.

تتضمن العديد من أدوات SIEM الآن UEBA لهذا السبب ، لكن الغالبية لا تفعل ذلك.

هل يجب على جميع الشركات استخدام UEBA؟

يجب أن تفكر جميع الشركات في استخدام حل UEBA ، ولكن مثل العديد من حلول الأمن السيبراني الجديدة ، من الضروري الموازنة بين الإيجابيات والسلبيات قبل تنفيذها.

UEBA قادر على اكتشاف التهديدات التي لا تستطيع SIEM القيام بها. كما أنه قادر على التقاط التهديدات التي قد يفوتها موظفو الأمن. غالبًا ما تستحق هذه الحماية الإضافية الاستثمار فيها ، مع الأخذ في الاعتبار الخسائر المتكبدة بعد هجوم إلكتروني ناجح.

توفر حلول UEBA أيضًا حماية آلية. قد يسمح هذا للشركة بأن يكون لها قسم أمن إلكتروني أصغر ، وبالتالي ، توفير مدخرات كبيرة في الأجور.

الجانب السلبي لـ UEBA هو أنه مكلف في التنفيذ. قد يكون خارج ميزانية العديد من الشركات الصغيرة في حين أنه ليس ضروريًا تمامًا. سيتطلب تنفيذ حل UEBA أيضًا تدريب الموظفين على استخدامه ، مع إضافة تكاليف إضافية.

كما أن UEBA ليس بديلاً مناسبًا لمنتجات الأمن السيبراني الأخرى. بينما قد يشتمل منتج SIEM على UEBA ، فإن UEBA ليس بديلاً عن SIEM أو أي منتجات أمان أخرى تمتلكها الشركة بالفعل.

تقدم UEBA حماية فائقة

تقدم منتجات UEBA تحسينًا كبيرًا على منتجات SIEM القياسية وهي قادرة على تحديد التهديدات التي قد لا يتم اكتشافها لولا ذلك. بينما تكافح SIEM غالبًا مع التهديدات الداخلية ، يمكن لـ UEBA اكتشاف نشاط الشبكة غير المعتاد تلقائيًا بواسطة المستخدمين المصرح لهم.

يعتمد ما إذا كان UEBA مناسبًا لعملك أم لا على ميزانية الأمن السيبراني الخاصة بك. على الرغم من أن UEBA متفوق ، إلا أن التكلفة العالية للتركيب ، وحقيقة أنه لا يحل محل المنتجات الأخرى ، يعد جانبًا سلبيًا واضحًا.