ניטור התנהגות המשתמש הוא תרגול יעיל לזיהוי מוקדם ומניעה של איומים פנימיים. זיהוי התנהגות חשודה של משתמשים יכול לסייע במניעת איומים פוטנציאליים, הפרות נתונים והפרות מדיניות. לפיכך , הארגון שלך יעמוד טוב יותר בדרישות של תקנים רבים בתעשייה כגון NIST , HIPAA , PCI DSS ועוד . אבל כדי להפיק את המרב מניטור התנהגות המשתמש, עליך להבין טוב יותר את העקרונות שלו.
במאמר זה, אנו מסבירים מה הם ניתוח התנהגות משתמשים (UBA) וניתוח התנהגות משתמשים וישות (UEBA) ואיזה תפקידים הם ממלאים באבטחת סייבר. אנו גם חושפים את היתרונות שניטור וניתוח התנהגות משתמשים יכולים להביא לארגון שלך ברמות שונות.
מהו ניטור וניתוח התנהגות משתמשים?
UEBA באבטחת סייבר הוא תהליך של מעקב, ניתוח ופירוש אינטראקציות של משתמשים בתוך רשת. ניטור וניתוח התנהגות משתמשים יכולים לעזור לך לקבל תובנות לגבי האופן שבו העובדים שלך מתקשרים עם המערכות והנתונים שלך.
"ניתוח התנהגות משתמשים עוזר לארגונים לזהות איומים פנימיים, התקפות ממוקדות והונאות פיננסיות."
מדריך השוק של גרטנר לניתוח התנהגות משתמשים (נדרש מנוי)
UBA ו-UEBA הן שתי גישות עיקריות לניטור וניתוח התנהגות משתמשים. פתרונות המבוססים על אחת מהגישות הללו עוזרים לך לנטר ולנתח את התנהגות המשתמשים ברשת של ארגון. כך, אתה יכול לזהות איומים פנימיים פוטנציאליים כמו חשבונות שנפגעו, פעילות זדונית, תנועה לרוחב ועוד.
עם זאת, ל-UBA ול-UEBA יש כמה הבדלים. בואו נחקור אותם בפירוט.
UBA לעומת UEBA: מה ההבדל?
פתרונות UBA עוקבים אחר דפוסי ההתנהגות האנושית ומיישמים אלגוריתמים כדי לזהות חריגות בדפוסים אלה. הם מנתחים יומני אירועים כדי לזהות פעילות חריגה ומזהים שחקנים אנושיים שעלולים להוות איומים על אבטחת הארגון שלך. ניתוח התנהגות משתמשים הוא היעיל ביותר כאשר משתמשים בהם כחלק מאסטרטגיית אבטחת סייבר מקיפה הכוללת אמצעי אבטחה אחרים.
UEBA היא הטכנולוגיה ליצירת פרופיל הן של התנהגות המשתמש והן של ישות וזיהוי חריגות. בעוד שפתרונות UBA מנתחים רק התנהגות משתמשים, UEBA מרחיבה את היקף ניטור המשתמשים לפעילויות המבוצעות על ידי גורמים שאינם משתמשים: יישומים, שרתים והתקנים.
UEBA מבוססת על למידת מכונה, אלגוריתמים, סטטיסטיקה וניתוח כדי לצפות ולפרש כיצד אנשים ומכשירים מקיימים אינטראקציה עם הנכסים והנתונים הקריטיים שלך. תוכנת UEBA הולכת צעד קדימה ומספקת אפשרויות דיווח מורכבות יותר ממערכות UBA, מה שמאפשר זיהוי איומים מקיף יותר.
בהמשך מאמר זה, אנו בוחנים את רמות הניטור והניתוח של התנהגות המשתמשים המוצעים על ידי רוב פתרונות UEBA.
כיצד UEBA מאפשרת זיהוי איומים יעיל
UEBA יכולה לזהות איומי אבטחה פנימיים (בין אם מכוונים או מקריים) שכלי אבטחה מסורתיים מבוססי כללים יכולים לפספס. UEBA מתאימה את עצמה לאופי הדינמי של איומים פנימיים על ידי ניתוח התנהגות המשתמש והישות לאורך זמן, הבנת ההקשר ושימוש בניתוחים מתקדמים.
פתרונות UEBA משתמשים במערכת ניקוד סיכון גבוהה ואינם מדווחים בהכרח על כל החריגות כמסוכנות. אם יש סטייה מקו הבסיס הרגיל, UEBA מעלה את ציון הסיכון של המשתמש או המכשיר החשודים – ככל שההתנהגות חריגה יותר, כך ציון הסיכון גבוה יותר. כאשר פעילויות חשודות מצטברות, ציון הסיכון עולה עד שהוא מגיע לסף מוגדר. לאחר מכן, תוכנת ניטור התנהגות המשתמש מתריע בפני קציני האבטחה על פעילות חשודה, ומאפשרת להם לבצע פעולות נוספות.
מכיוון ש-UEBA מפחיתה תוצאות כוזבות ומספקת מודיעין סיכונים מדויק יותר שניתן לפעול לצוותי אבטחה, זה עוזר ל:
- הפחת עומס העבודה והגבר את הפרודוקטיביות של צוות האבטחה שלך
- צמצם את הזמן הממוצע של תגובה לאירוע
- שפר את ההגנה מפני איומים פנימיים
במקום לבזבז זמן בהגדרת כללים לכל תרחיש אפשרי ולנטר כל הזמן התנהגות חשודה של משתמשים, צוות האבטחה שלך יכול להתמקד בהפחתת תקריות ובתגובה. בנוסף, UEBA יכולה לעזור לך במהלך חקירות שלאחר התקרית על ידי מתן תובנות מפורטות לגבי דפוסי ההתנהגות שהובילו לאירוע אבטחה. צוות האבטחה שלך יכול להמשיך להשתמש בתובנות אלה כדי לשנות ולשפר את תוכנית האיומים הפנימיים שלך .
5 רמות של ניתוח התנהגות משתמש וישות
ניטור וניתוח התנהגות משתמשים מורכבים מחמש רמות. רמות אלו מייצגות התקדמות מניתוח התנהגות משתמש בסיסי לשיטות מתוחכמות של זיהוי התנהגות חריגה.
רמה 1: איסוף הקשר מועיל
השלב הראשון של מעקב אחר התנהגות המשתמש כולל איסוף נתונים מהמערכת, מהישויות ומהאירועים שפתרון UEBA צריך לנתח.
כל פתרון של UEBA מתעד מערך נתונים ייחודי בהתאם למקרי השימוש שהוא מכסה. לדוגמה, תוכנת UEBA עשויה לאסוף את המידע הבא:
- זמני כניסה ויציאה
- בקשות לגישה לנכסים רגישים
- ביקר באתרים
- התחילו יישומים
- התקני USB מחוברים
- דינמיקה של הקשות ועוד
האפקטיביות של כל שאר הרמות של ניטור התנהגות תלויה בנתונים שנאספו בשלב זה. חלק מפתרונות UEBA יכולים לאסוף את המידע הדרוש בעצמם. עם זאת, עדיף להשתמש בתוכנת ניטור פעילות משתמש מקיפה עם מודול UEBA מובנה.
רמה 2: זיהוי איומים
ברגע שפתרון ניתוח התנהגות משתמש אסף מידע על התנהגות רגילה של משתמשים ושל ישות, הוא הופך להיות מסוגל לזהות איומים פנימיים. על ידי ניתוח הנתונים שנאספו בעבר, UEBA יכולה לקבוע דפוסים עבור קטגוריות שונות של משתמשים (עובדים רגילים, משתמשים מועדפים, קבלני צד שלישי וקציני אבטחה).
ברמה זו, תוכנת UEBA יכולה לעזור לך:
- זיהוי איומים על סמך פעולות המשתמש בזמן אמת . לדוגמה, מודול Syteca UEBA מנתח את שעות העבודה של כל עובד ומגדיר שעות רגילות לכניסה וליציאה. אם משתמש מנסה להיכנס בזמן חריג (למשל באמצע הלילה), Syteca יכולה להודיע לקצין האבטחה שלך או לחסום אוטומטית את ניסיון הכניסה.
- תעדוף התראות אבטחה . בהתבסס על ניתוחים של התנהגות משתמשים, פתרונות UEBA יכולים ליצור רשימה של פעולות משתמש חשודות. כאשר משולבים ב-SIEM או במערכת זיהוי איומים , UEBA יכולה לתעדף התראות מבוססות כללים ולמיין אותן מהפחות למסוכנות ביותר. פונקציונליות זו שימושית במיוחד עבור ארגונים שבהם פתרון זיהוי איומים יכול לייצר מאות התראות ביום.
- שפר את יעילות החקירה . השוואת התנהגות משתמשים נורמלית עם פעולות זדוניות המובילות לאיום פנימי חוסכת זמן רב לקציני האבטחה. השוואה כזו מאפשרת לקבוע איזו פעולה מדויקת הפכה איום למתקפה.
ברמה השנייה, פתרון של UEBA כבר הופך את כלי אבטחת האיומים הפנימיים שלך ליעילים יותר, אך הוא עדיין דורש תיאורים מדויקים של ההפרות שעליו לאתר, מנגנוני התראה וכלים לחקירה נוספת.
רמה 3: יצירת פרופיל התנהגותי של העובדים
בפסיכולוגיה, פרופיל התנהגותי מתאר את המאפיינים ודפוסי ההתנהגות של אנשים או קבוצות. בזיהוי איומים פנימיים, פרופילים התנהגותיים משמשים ליצירת קו בסיס של התנהגות משתמשים. קו בסיס זה עוזר למערכת לזהות פעולות משתמש חריגות. קצין האבטחה שלך יכול גם להשתמש בקו הבסיס הזה כדי לבנות דיוקן של מקורב זדוני .
פרופיל משתמש מכיל קבוצה של פעולות אופייניות לעובד מסוים בהתבסס על הנתונים שנאספו במהלך תקופת הבסיס. אם יש שינוי בהתנהגות של משתמש מסוים, הפתרון משווה אותו להתנהגות האופיינית של משתמשים אחרים בקבוצת השווים ודפוסים ידועים של איומים פנימיים. אם UEBA מזהה חריגות כלשהן, היא מזהירה קצין ביטחון.
פונקציונליות כזו שימושית לציפייה לאירועים.
דיוקנאות של מקורבים מבוססים על חקירות של הפרות אבטחה קודמות. על ידי ניתוחם, UEBA מגלה דפוסים המעידים על כוונת זדון. אלה יכולים להיות תוספת שימושית לתגובה לאירועים מבוססי התראה .
איך עובד פרופיל התנהגותי?
מערכת UEBA מנתחת נתונים שנאספו כדי לקבוע התנהגות נורמלית של משתמשים וישות ולבסס דפוסים המצביעים על פעילות זדונית.
בהתאם לכמות הנתונים שנאספו ולמורכבות הניתוח, ביסוס התנהגות המשתמש הבסיסית עשויה להימשך בין שבוע למספר חודשים. ברמה זו, עדיף לשלב ניתוח התנהגות אוטומטי עם קלט מקציני האבטחה שלך, שכן חקירה ידנית תעזור למנוע אזעקות חיוביות שווא בעתיד.
קציני אבטחה צריכים לשקול ניטור עובדים בנושאים אתיים והשלכות משפטיות. מאחר שייתכן שיחלפו שנים עד שעובד נאמן יהפוך למקורב זדוני, חלק מהחברות עוקבות אחר פעילות המשתמשים ברשת ואף עוקבות אחר פעילות המדיה החברתית. אם גם אתם עושים זאת, ודאו שזה בא לידי ביטוי במדיניות אבטחת הסייבר שלכם והעובדים שלכם מודעים לכך.
רמה 4: קבלת אזהרה מוקדמת
רמות 4 ו-5 של ניטור התנהגות משתמשים עוזרות לחזות הפרות חמורות של אבטחת סייבר בהתבסס על נתונים שנאספו, באמצעות למידת מכונה וניתוח סטטיסטי.
ברמה 4, פתרון של UEBA מזהה חריגות בהתנהגות העובדים המעידות על כוונת זדון. אזהרה מוקדמת פירושה שאירוע מזוהה לפני אובדן נתונים – בדרך כלל בשלב שבו התוקף מתכנן רק פעולות זדוניות אך עדיין לא החליט על הזמן, הכלים, ההיקף וכו'.
פתרון של UEBA יכול לזהות סימנים מוקדמים של כוונת זדון על ידי ניתוח הגורמים הבאים:
- כניסה למערכות ארגוניות ללא שעות עבודה
- גישה לנתונים רגישים מעבר לתחום אחריותו של העובד
- חיבור התקני USB חשודים וכו'.
עם זאת, פרופיל משתמש וישויות וניתוח למידת מכונה עדיין יכולים לייצר תוצאות חיוביות שגויות ברמה זו. לכן קציני האבטחה שלך צריכים לסקור פרופילי התנהגות באופן ידני כדי לפרש את ההתראות בצורה נכונה.
אם משתמש מפר בעקביות את כללי אבטחת הסייבר (למשל נכנס לשרת מחוץ לשעות העבודה כדי לעבוד מהבית), פתרון UEBA יסמן התנהגות כזו כרגיל. עם זאת, פעולות כאלה חושפות את הרשת ועלולות להוביל לדליפת נתונים. לכן, עדיף לבצע ניתוח נוסף לפני נקיטת פעולה כלשהי בהתבסס על התראת UEBA. עליך לדחות את המדיניות של הארגון שלך במקום להסתמך אך ורק על ניתוח סטטיסטי ופרופיל.
רמה 5: חיזוי איומים פנימיים
ברמה הסופית, פתרון של UEBA יכול ליצור ציון סיכון פנימי למשתמשים הרבה לפני שהם מבצעים התקפה. תחזית איום פנימי מבוססת בדרך כלל על:
- פרופיל התנהגות של משתמש
- דפוסי התקפות פנים
- מודלים חזויים לסוגים שונים של התקפות
- הערכת ביצועים
- נתונים מסופקים על ידי מחלקות משאבי אנוש, חשבונאות ומשפטים
למרות ש-UEBA אוספת ומנתחת נתונים אלה ללא כל קלט מקציני אבטחה, צוות האבטחה שלך צריך לבדוק מקרוב את כל ההתראות שהופעלו על ידי UEBA. תוצאות חיוביות כוזבות בעלות סבירות גבוהה ברמה זו, ותוכל להפחית אותן על ידי:
- מתן פתרון מתמיד של UEBA עם נתוני ניטור רלוונטיים . ככל שמערכות ארגוניות משולבות יותר בתהליך זה, כך תקבלו תוצאות טובות יותר.
- מאפשר צמיחה הדרגתית של המודל . כשאתה שוכר עובדים חדשים ויוצר משרות חדשות, עליך לוודא ש-UEBA יוצרת פרופילי עובדים חדשים ותשייך אותם לפרופילים קיימים.
- מתן משוב אוטומטי וידני לתוכנה . האלגוריתם צריך תמיד להשוות את התחזיות שלו עם פעולות משתמש אמיתיות, וצוות האבטחה שלך צריך לתקן השוואה זו לפי הצורך.
- ביצוע בסיס לטווח ארוך וקצר טווח . תרגול זה מלמד את האלגוריתם לחזות הפרות תוך שימוש בתוצאות האחרונות והן בעבר.
מַסְקָנָה
ניטור התנהגות המשתמש יעיל ביותר לאיתור ומניעת איומים פנימיים. בשילוב עם פתרונות אבטחת סייבר אחרים, אתה יכול לבנות תמונה ברורה של הרשת שלך.
Syteca היא פלטפורמת ניהול סיכונים פנימית מקיפה עם מודול UEBA מובנה שיכול לעזור לך להרוג שתי ציפורים במכה אחת. בנוסף לפונקציונליות של ניתוח התנהגות המשתמשים והישויות שלה, Syteca מצוידת בערכת כלים עצומה לזיהוי איומים פנימיים :
- ניטור מקיף של פעילות המשתמש והקלטת הפעלות של המשתמש
- ניהול זהות וגישה
- התראה ותגובה לפעילות חשודה
- פונקציונליות ביקורת ודיווח .
על ידי מינוף של Syteca, אתה יכול לחזק את עמדת אבטחת הסייבר שלך ולמזער איומים פוטנציאליים המגיעים מבפנים.
