با توجه به اینکه امروزه بسیاری از سازمان‌ها و کسب و کارها از شبکه برای انجام درصد زیادی از امور خود و همچنین دخیره‌سازی داده‌ها و اطلاعات استفاده می‌کنند، بیشتر از گذشته در معرض حملات سایبری قرار دارند. درصد زیادی از حملات که منجر به از دست رفتن داده‌های یک سازمان یا کسب و کار می‌شود، منشأ داخلی داشته و به همین دلیل باید همواره اقدامات کارمندان، پیمانکاران و شرکا تحت نظارت قرار بگیرد. در واقع سازمان‌ها و کسب و کارها باید فعالیت‌های مشکوک را به الگوهایی مانند اسپلانک UBA محول کنند تا بتواند تهدیدات داخلی را به صورت عملیاتی فاش کرده و همچنین از دسترسی به داده‌ها و دارایی‌های مالی جلوگیری کند. 

اسپلانک UBA چیست؟

راهکار Splunk User & Entity Behavior Analytics که به اختصار Spunk UBA گفته می‌شود، یک راهکار مبتنی بر یادگیری ماشین (Machine Learning) است که اصلی‌ترین هدف آن ارائه رویکرد جهت شناسایی تهدیدات ناشناخته و رفتارهای غیر معمول کاربران شبکه، نقاط پایانی و نرم‌افزارها است. در پاسخ به این سوال که Splunk UBA چیست باید گفت که این راهکار فقط برای شناسایی تهدیدات خارجی به کار گرفته نمی‌شود زیرا می‌تواند راهکار مناسبی برای تهدیدات داخلی Insider Threats باشد.

در اسپلانک UBA از علوم داده،‌ یادگیری ماشین، اصول رفتاری و آنالیز گروه‌های مشابه و همبستگی به منظور شناسایی حملات سایبری و تهدیدات داخل سازمان استفاده می‌شود. این راهکار می‌تواند در سازمان‌ها و کسب و کارهای مختلف با هر اندازه و ابعاد به کار گرفته شده و از طریق تجزیه و تحلیل پیشرفته امنیتی این امکان را فراهم کند که تهدیدات شناخته شده و پنهان شناسایی شده و به آن‌ها پاسخ مناسب داده شود.

با توجه به این موضوع که اسپلانک UBA چرخه عمر یک تهدید یا حمله سایبری و همچنین تهدیدات داخل سازمانی را توصیف می‌کند و یک پلتفرم به منظور شناسایی، پاسخگویی و خودکارسازی ارائه می‌دهد، به عنوان عنوان یکی از بهترین راهکارهای تجزبه و تحلیل امنیتی در صنعت فناوری اطلاعات شناخته می‌شود.

قابلیت‌های اسپلانک UBA چیست؟

در پاسخ به این سوال که Splunk UBA چیست، گفته شده که یک راهکار برای شناسایی و جلوگیری از حملات سایبری برون و درون سازمانی به حساب می‌آید. این راهکار یا فناوری با استفاده از یک سری از قابلیت‌ها و امکانات می‌توانند تهدیدات امنیتی در یک سازمان یا کسب و کار را شناسایی کرده و از آن‌ها جلوگیری کند.

شناسایی تهدیدات به صورت رفتارمحور 

همانطور که اشاره شد روند شناسایی تهدیدات در اسپلانک UBA مبتنی بر روش‌های یادگیری ماشین یا هوش مصنوعی است؛ در نتیجه این راهکار نیاز به تحلیل انسانی نداشته و می‌تواند به منظور شناسایی دقیق و خودکار تهدیدات و ناهنجاری‌ها در شبکه پروفایل‌بندی رفتاری چند هویتی، آنالیز گروه‌های مشابه کاربران، تجهیزات،‌ حساب‌های کاربری سرویس‌ها و نرم‌افزارها را در شبکه امکان‌پذیر کند. در این راهکار چرخه عمر عملیات امنیتی که پیشگیری، شناسایی، پاسخگویی و کاهش روند در  حال پیشرفت بازخوردها را شامل می‌شود، برای یکپارچه‌سازی نیاز به مانیتورینگ یا پایش مستمر و تجزیه و تحلیل پیشرفته نیاز دارند.

جریان‌کاری ساده‌ی تهدیدات

یکی از مهم‌ترین قابلیت‌های اسپلانک UBA این است که می‌تواند میلیاردها رویداد خام را بررسی کرده و آن‌ها را به چند هزار ناهنجاری و چند ده تهدید کاهش دهد؛ در این شرایط فرایند بازنگری و همچنین ارائه راه‌ حل امنیتی با سرعت بالایی انجام می‌شود. در این راهکار از الگوریتم‌های مبتنی بر امنیت و معناشناسی به منظور یادگیری ماشین و همچنین روش‌های آماری پویا و همبستگی‌ها استفاده می‌شود تا بتوان تهدیدات پنهان را بدون نیاز به تجزیه و تحلیل انسانی شناسایی کرد. این قابلیت شرایطی را فراهم می‌کند تا بتوان با آگاهی از مفاهیم، موقعیت‌ها و محتوا موارد مثبت کاذب (False Positive) را به میزان قابل توجهی کاهش داد.

بازنگری و شناسایی تهدیدات

یکی از مهم‌ترین قابلیت‌های اسپلانک UBA این است که می‌تواند تهدیدها را به صورت بصری مرتب کرده و نمایش دهد تا بتوان از این طریق مسیرها و فرکانس‌های غیر طبیعی و مشکوک را مشخص کرد. این راهکار می‌تواند با استفاده از همبستگی‌های پیشرفته در مدل‌ها، تهدیدهای حیاتی را شناسایی کرده و الگوریتم‌های یادگیری فردی و انطباقی را مورد استفاده قرار داهد تا بتوان تهدیدات و شواهد مربوط به هر کدام را به صورت اکتیو مورد بررسی قرار داد.

شناسایی Kill Chain و Attack Vector

در پاسخ به این سوال که Splunk UBA چیست باید گفت راهکاری است که می‌تواند APTهای ناهنجار، عملکردهای نقض (مانند CnC،‌ ارتباطات جانبی) و حملات Kill Chain را شناسایی کند. با استفاده از راهکار اسپلانک UBA می‌تواند الگوهای جانبی بدافزارها یا تکثیرهای داخلی مخرب را شناسایی کرده و به نشانه‌های Real Time که به عملکردهای غیر عادی مانند URL‌های مشکوک مربوط می‌شود، به بهترین شکل پاسخ داد. در این راهکار، بی‌نظمی‌های رفتارمحور مانند عملکرد تهدید کانتینرهای VM یا AWS شناسایی شده و عملکرد بات‌نت یا CnC از جمله تروجان‌ها یا بدافزارهای چند شکلی مورد توجه قرار می‌گیرد.

خدمات ما: خدمات امنیت شبکه

معماری و پیاده‌سازی Splunk UBA چگونه است؟

در مورد اسپلانک UBA و معماری و پیاده‌سازی آن در یک سازمان یا کسب و کار باید گفت که شامل یک اکوسیستم Hadoop مقرون به صرفه و مقیاس‌پذیر است که به منظور تداوم داده‌های باز (Open Data) مورد استفاده قرار می‌گیرد. این راهکار شامل پایگاه‌های داده گراف و سری زمانی بوده که به منظور تحلیل رویدادها در مقیاس بزرگ و به صورت Real Time طراحی شده و جهت پردازش و ایجاد ارتباطات امنیتی در شبکه مورد استفاده قرار می‌گیرد.

در این راهکار می‌توان با استفاده از APIهای RESTful فرایند وارد کردن داده‌ها (Data Ingestion) را با محصولات Third Party خودکارسازی کرده و از این طریق به فرایند اصلاح و پیشگیری کمک کرد. در خصوص پیاده‌سازی اسپلانک UBA باید به این موضوع اشاره کرد که می‌تواند به منظور Scale نمودن میلیاردها رویداد به کار گرفته شده و به عنوان نرم‌افزار به صورت On-Premise بر روی دستگاه‌های مجازی یا به عنوان Public Cloud Instance با مدیریت مشتری یعنی AWS و vCloud Air پیاده‌سازی شود. 

موارد استفاده Splunk UBA چیست؟

همانطور که اشاره شد،‌ راهکار اسپلانک UBA از طریق توصیف چرخه عمر یک حمله سایبری یا تهدید درون سازمانی به صورت کامل و ارائه پلتفرمی به منظور شناسایی، پاسخگویی و خودکارسازی یکی از بهترین راهکارها به منظور تجزیه و تحلیل امنیت در شبکه به حساب می‌آید. از مهم‌ترین موارد استفاده از این راهکار امنیتی می‌توان به موارد زیر اشاره کرد:

• شناسایی شواهد مربوط به سرقت IP و انتقال غیر مجاز داده‌ها (Data Exfiltration) در سازمان‌ها یا کسب و کارها
  
• شناسایی سریع حساب‌های کاربری در معرض تهدید هک شدن و ایجاد دید کامل نسبت به تهدیدهای مرتبط با حساب‌های کاربری ویژه (Privileged Account)
  
• انجام روند تعیین اصول رفتاری، تشخیص موارد غیر عادی و شناسایی تهدیدات در Containerهای مجازی و برنامه‌های ابری (Cloud Asset)
  
•  اجرای مدل‌سازی رفتاری بر روی تراکنش‌ها و همچنین مدل‌سازیی خودکار تهدیدات به منظور شناسایی فعالیت‌های مرتبط با کلاهبرداری
  
•  تجزیه و تحلیل رفتاری کاربران به منظور شناسایی تهدیدات و ناهنجاری‌های مربوط به آن‌ها در یک سازمان یا کسب و کار
  
•   شناسایی حملات سایبری و ارائه یک دید کامل در خصوص حرکت همه جانبه‌ تهدیدها در داخل سازمان یا کسب و کار

جمع‌بندی

اسپلانک UBA یک راهکار امنیتی در شبکه به حساب می‌آید که از آن می‌توان برای شناسایی حملات سایبری و همچنین تهدیدات داخل سازمانی استفاده کرد؛ این راهکار از علوم داده، یادگیری ماشین،‌ اصول رفتاری و آنالیز گروه‌های مشابه و همبستگی پیشرفته به منظور شناسایی این موارد استفاده می‌کند. تفاوتی ندارد که یک سازمان یا کسب و کار دارای چه اندازه و ابعادی باشد؛ زیرا اسپلانک UBA می‌تواند از طریق تجزیه و تحلیل پیشرفته امنیتی، تهدیدات شناخته شده،‌ شناخته نشده و پنهان را شناسایی کرده و پاسخ مناسب به آن‌ها ارائه دهد. همین امر باعث شده که این راهکار به عنوان یکی از بهترین راهکارهای تجزیه و تحلیل امنیتی در صنعت IT شناخته شده و در بسیاری از سازمان‌ها و کسب و کارها به منظور شناسایی و ارائه پاسخ به حملات و تهدیدات مورد استفاده قرار بگیرد.  

سوالات متداول

اسپلانک UBA چیست؟

یک راهکار امینتی مبتنی بر یادگیری ماشین یا هوش مصنوعی است که به منظور شناسایی تهدیدات و رفتارهای غیر معمول کاربران در شبکه‌ها مورد استفاده قرار می‌گیرد.

اسپلانک UBA از چه مواردی برای شناسایی تهدیدات استفاده می‌کند؟

اسپلانک UBA به عنوان یکی از بهترین راهکارهای امنیتی به منظور شناسایی حملات و تهدیدها از علم داده، یادگیری ماشین، اصول رفتاری و همچنین آنالیز گروه‌های مشابه و همبستگی استفاده می‌کند.

اسپلانک UBA چه کاربردهایی دارد؟

از مهم‌ترین موارد کاربرد این راهکار می‌توان به شناسایی سرقت IP و انتقال غیرمجاز داده‌ها (Data Exfiltration)، شناسایی حساب‌های کاربری در معرض تهدید، تشخیص و شناسایی کلاهبرداری، شناسایی تهدید در Cloud Asset و Container مجازی، شناسایی رفتار مشکوک کاربران، ‌تجهیزات و برنامه‌ها و غیره اشاره کرد.