تحلیل رفتار کاربران (Splunk UBA) و نقش آن در امنیت شبکه
- mentorx
- ۱۸ تیر ۱۴۰۳
راهکار Splunk User & Entity Behavior Analytics که به اختصار Spunk UBA گفته میشود، یک راهکار مبتنی بر یادگیری ماشین (Machine Learning) است که اصلیترین هدف آن ارائه رویکرد جهت شناسایی تهدیدات ناشناخته و رفتارهای غیر معمول کاربران شبکه، نقاط پایانی و نرمافزارها است.
با توجه به اینکه امروزه بسیاری از سازمانها و کسب و کارها از شبکه برای انجام درصد زیادی از امور خود و همچنین دخیرهسازی دادهها و اطلاعات استفاده میکنند، بیشتر از گذشته در معرض حملات سایبری قرار دارند. درصد زیادی از حملات که منجر به از دست رفتن دادههای یک سازمان یا کسب و کار میشود، منشأ داخلی داشته و به همین دلیل باید همواره اقدامات کارمندان، پیمانکاران و شرکا تحت نظارت قرار بگیرد. در واقع سازمانها و کسب و کارها باید فعالیتهای مشکوک را به الگوهایی مانند اسپلانک UBA محول کنند تا بتواند تهدیدات داخلی را به صورت عملیاتی فاش کرده و همچنین از دسترسی به دادهها و داراییهای مالی جلوگیری کند.
اسپلانک UBA چیست؟
راهکار Splunk User & Entity Behavior Analytics که به اختصار Spunk UBA گفته میشود، یک راهکار مبتنی بر یادگیری ماشین (Machine Learning) است که اصلیترین هدف آن ارائه رویکرد جهت شناسایی تهدیدات ناشناخته و رفتارهای غیر معمول کاربران شبکه، نقاط پایانی و نرمافزارها است. در پاسخ به این سوال که Splunk UBA چیست باید گفت که این راهکار فقط برای شناسایی تهدیدات خارجی به کار گرفته نمیشود زیرا میتواند راهکار مناسبی برای تهدیدات داخلی Insider Threats باشد.
در اسپلانک UBA از علوم داده، یادگیری ماشین، اصول رفتاری و آنالیز گروههای مشابه و همبستگی به منظور شناسایی حملات سایبری و تهدیدات داخل سازمان استفاده میشود. این راهکار میتواند در سازمانها و کسب و کارهای مختلف با هر اندازه و ابعاد به کار گرفته شده و از طریق تجزیه و تحلیل پیشرفته امنیتی این امکان را فراهم کند که تهدیدات شناخته شده و پنهان شناسایی شده و به آنها پاسخ مناسب داده شود.
با توجه به این موضوع که اسپلانک UBA چرخه عمر یک تهدید یا حمله سایبری و همچنین تهدیدات داخل سازمانی را توصیف میکند و یک پلتفرم به منظور شناسایی، پاسخگویی و خودکارسازی ارائه میدهد، به عنوان عنوان یکی از بهترین راهکارهای تجزبه و تحلیل امنیتی در صنعت فناوری اطلاعات شناخته میشود.
قابلیتهای اسپلانک UBA چیست؟
در پاسخ به این سوال که Splunk UBA چیست، گفته شده که یک راهکار برای شناسایی و جلوگیری از حملات سایبری برون و درون سازمانی به حساب میآید. این راهکار یا فناوری با استفاده از یک سری از قابلیتها و امکانات میتوانند تهدیدات امنیتی در یک سازمان یا کسب و کار را شناسایی کرده و از آنها جلوگیری کند.
شناسایی تهدیدات به صورت رفتارمحور
همانطور که اشاره شد روند شناسایی تهدیدات در اسپلانک UBA مبتنی بر روشهای یادگیری ماشین یا هوش مصنوعی است؛ در نتیجه این راهکار نیاز به تحلیل انسانی نداشته و میتواند به منظور شناسایی دقیق و خودکار تهدیدات و ناهنجاریها در شبکه پروفایلبندی رفتاری چند هویتی، آنالیز گروههای مشابه کاربران، تجهیزات، حسابهای کاربری سرویسها و نرمافزارها را در شبکه امکانپذیر کند. در این راهکار چرخه عمر عملیات امنیتی که پیشگیری، شناسایی، پاسخگویی و کاهش روند در حال پیشرفت بازخوردها را شامل میشود، برای یکپارچهسازی نیاز به مانیتورینگ یا پایش مستمر و تجزیه و تحلیل پیشرفته نیاز دارند.
جریانکاری سادهی تهدیدات
یکی از مهمترین قابلیتهای اسپلانک UBA این است که میتواند میلیاردها رویداد خام را بررسی کرده و آنها را به چند هزار ناهنجاری و چند ده تهدید کاهش دهد؛ در این شرایط فرایند بازنگری و همچنین ارائه راه حل امنیتی با سرعت بالایی انجام میشود. در این راهکار از الگوریتمهای مبتنی بر امنیت و معناشناسی به منظور یادگیری ماشین و همچنین روشهای آماری پویا و همبستگیها استفاده میشود تا بتوان تهدیدات پنهان را بدون نیاز به تجزیه و تحلیل انسانی شناسایی کرد. این قابلیت شرایطی را فراهم میکند تا بتوان با آگاهی از مفاهیم، موقعیتها و محتوا موارد مثبت کاذب (False Positive) را به میزان قابل توجهی کاهش داد.
بازنگری و شناسایی تهدیدات
یکی از مهمترین قابلیتهای اسپلانک UBA این است که میتواند تهدیدها را به صورت بصری مرتب کرده و نمایش دهد تا بتوان از این طریق مسیرها و فرکانسهای غیر طبیعی و مشکوک را مشخص کرد. این راهکار میتواند با استفاده از همبستگیهای پیشرفته در مدلها، تهدیدهای حیاتی را شناسایی کرده و الگوریتمهای یادگیری فردی و انطباقی را مورد استفاده قرار داهد تا بتوان تهدیدات و شواهد مربوط به هر کدام را به صورت اکتیو مورد بررسی قرار داد.
شناسایی Kill Chain و Attack Vector
در پاسخ به این سوال که Splunk UBA چیست باید گفت راهکاری است که میتواند APTهای ناهنجار، عملکردهای نقض (مانند CnC، ارتباطات جانبی) و حملات Kill Chain را شناسایی کند. با استفاده از راهکار اسپلانک UBA میتواند الگوهای جانبی بدافزارها یا تکثیرهای داخلی مخرب را شناسایی کرده و به نشانههای Real Time که به عملکردهای غیر عادی مانند URLهای مشکوک مربوط میشود، به بهترین شکل پاسخ داد. در این راهکار، بینظمیهای رفتارمحور مانند عملکرد تهدید کانتینرهای VM یا AWS شناسایی شده و عملکرد باتنت یا CnC از جمله تروجانها یا بدافزارهای چند شکلی مورد توجه قرار میگیرد.
خدمات ما: خدمات امنیت شبکه
معماری و پیادهسازی Splunk UBA چگونه است؟
در مورد اسپلانک UBA و معماری و پیادهسازی آن در یک سازمان یا کسب و کار باید گفت که شامل یک اکوسیستم Hadoop مقرون به صرفه و مقیاسپذیر است که به منظور تداوم دادههای باز (Open Data) مورد استفاده قرار میگیرد. این راهکار شامل پایگاههای داده گراف و سری زمانی بوده که به منظور تحلیل رویدادها در مقیاس بزرگ و به صورت Real Time طراحی شده و جهت پردازش و ایجاد ارتباطات امنیتی در شبکه مورد استفاده قرار میگیرد.
در این راهکار میتوان با استفاده از APIهای RESTful فرایند وارد کردن دادهها (Data Ingestion) را با محصولات Third Party خودکارسازی کرده و از این طریق به فرایند اصلاح و پیشگیری کمک کرد. در خصوص پیادهسازی اسپلانک UBA باید به این موضوع اشاره کرد که میتواند به منظور Scale نمودن میلیاردها رویداد به کار گرفته شده و به عنوان نرمافزار به صورت On-Premise بر روی دستگاههای مجازی یا به عنوان Public Cloud Instance با مدیریت مشتری یعنی AWS و vCloud Air پیادهسازی شود.
موارد استفاده Splunk UBA چیست؟
همانطور که اشاره شد، راهکار اسپلانک UBA از طریق توصیف چرخه عمر یک حمله سایبری یا تهدید درون سازمانی به صورت کامل و ارائه پلتفرمی به منظور شناسایی، پاسخگویی و خودکارسازی یکی از بهترین راهکارها به منظور تجزیه و تحلیل امنیت در شبکه به حساب میآید. از مهمترین موارد استفاده از این راهکار امنیتی میتوان به موارد زیر اشاره کرد:
- شناسایی شواهد مربوط به سرقت IP و انتقال غیر مجاز دادهها (Data Exfiltration) در سازمانها یا کسب و کارها
- شناسایی سریع حسابهای کاربری در معرض تهدید هک شدن و ایجاد دید کامل نسبت به تهدیدهای مرتبط با حسابهای کاربری ویژه (Privileged Account)
- انجام روند تعیین اصول رفتاری، تشخیص موارد غیر عادی و شناسایی تهدیدات در Containerهای مجازی و برنامههای ابری (Cloud Asset)
- اجرای مدلسازی رفتاری بر روی تراکنشها و همچنین مدلسازیی خودکار تهدیدات به منظور شناسایی فعالیتهای مرتبط با کلاهبرداری
- تجزیه و تحلیل رفتاری کاربران به منظور شناسایی تهدیدات و ناهنجاریهای مربوط به آنها در یک سازمان یا کسب و کار
- شناسایی حملات سایبری و ارائه یک دید کامل در خصوص حرکت همه جانبه تهدیدها در داخل سازمان یا کسب و کار
جمعبندی
اسپلانک UBA یک راهکار امنیتی در شبکه به حساب میآید که از آن میتوان برای شناسایی حملات سایبری و همچنین تهدیدات داخل سازمانی استفاده کرد؛ این راهکار از علوم داده، یادگیری ماشین، اصول رفتاری و آنالیز گروههای مشابه و همبستگی پیشرفته به منظور شناسایی این موارد استفاده میکند. تفاوتی ندارد که یک سازمان یا کسب و کار دارای چه اندازه و ابعادی باشد؛ زیرا اسپلانک UBA میتواند از طریق تجزیه و تحلیل پیشرفته امنیتی، تهدیدات شناخته شده، شناخته نشده و پنهان را شناسایی کرده و پاسخ مناسب به آنها ارائه دهد. همین امر باعث شده که این راهکار به عنوان یکی از بهترین راهکارهای تجزیه و تحلیل امنیتی در صنعت IT شناخته شده و در بسیاری از سازمانها و کسب و کارها به منظور شناسایی و ارائه پاسخ به حملات و تهدیدات مورد استفاده قرار بگیرد.
سوالات متداول
اسپلانک UBA چیست؟
یک راهکار امینتی مبتنی بر یادگیری ماشین یا هوش مصنوعی است که به منظور شناسایی تهدیدات و رفتارهای غیر معمول کاربران در شبکهها مورد استفاده قرار میگیرد.
اسپلانک UBA از چه مواردی برای شناسایی تهدیدات استفاده میکند؟
اسپلانک UBA به عنوان یکی از بهترین راهکارهای امنیتی به منظور شناسایی حملات و تهدیدها از علم داده، یادگیری ماشین، اصول رفتاری و همچنین آنالیز گروههای مشابه و همبستگی استفاده میکند.
اسپلانک UBA چه کاربردهایی دارد؟
از مهمترین موارد کاربرد این راهکار میتوان به شناسایی سرقت IP و انتقال غیرمجاز دادهها (Data Exfiltration)، شناسایی حسابهای کاربری در معرض تهدید، تشخیص و شناسایی کلاهبرداری، شناسایی تهدید در Cloud Asset و Container مجازی، شناسایی رفتار مشکوک کاربران، تجهیزات و برنامهها و غیره اشاره کرد.