ما هي تحليلات سلوك المستخدم (UBA)؟

يمكن لأدوات UBA أن تكشف متي يفعل المستخدمون الأفراد أشياءً لا يفعلونها عادة، مثل التسجيل من عنوان IP جديد أو عرض بيانات حساسة لا يتعاملون معها عادةً.

قد لا تؤدي الحالات الشاذة الطفيفة إلى تشغيل أدوات مراقبة أخرى للشبكة. ومع ذلك، يمكن لتحليلات UBA تحديد أن هذا النشاط غير طبيعي لهذا المستخدم المحدد وتنبيه فريق الأمن. 

نظرًا لقدرة أدوات UBA على كشف السلوكيات المشبوهة بمهارة، يمكن أن تساعد مراكز العمليات الأمنية (SOCs) على اكتشاف الهجمات المراوغة مثل التهديدات الداخلية، والتهديدات المستمرة المتقدمة والمتسللين الذين يستخدمون بيانات الاعتماد المسروقة.

هذه القدرة مهمة بالنسبة لمراكز العمليات الأمنية اليوم. إن إساءة استخدام الحسابات الصالحة هي الطريقة الأكثر شيوعًا لاختراق مجرم إلكتروني للشبكات، وفقًا لمؤشر IBM X-Force Threat Intelligence Index.

تُستخدم أدوات وتقنيات تحليل سلوك المستخدم في مختلف المجالات. على سبيل المثال، يتتبع المسوقون ومصممو المنتجات في أغلب الأحيان بيانات سلوكيات المستخدمين لفهم كيفية تفاعل الأشخاص مع التطبيقات والمواقع الإلكترونية. ومع ذلك، يُستخدم تحليل سلوك المستخدم في الأمن الإلكتروني في المقام الأول في كشف التهديد.

عرّفت Gartner لأول مرة تحليلات سلوك المستخدم والكيان (UEBA) للمحللين في عام 2015، وهي فئة من أدوات الأمن التي تطورت من تحليل سلوك المستخدم (UBA).

مثل UBA، تراقب أدوات UEBA نشاط الشبكة، وتضع أساسيات السلوكيات العادية وكشف الانحرافات عن تلك المعايير. يتمثل الاختلاف الرئيسي في أن UBA تتتبع المستخدمين من البشر فقط، في حين أن أنظمة UEBA تتتبع أيضًا النشاط والمقاييس من كيانات غير بشرية مثل التطبيقات والأجهزة.

هناك بعض الجدل حول ما إذا كانت المصطلحات قابلة للتبادل. وترى بعض الشركات مثل IDC أن هاتين فئتين مختلفتان من التقنية.¹ من ناحية أخرى، قال Anton Chuvakin، المحلل السابق في Gartner، إنه يعتبر UBA وUEBA مترادفتين تقريبًا.

بغض النظر عن ذلك، فإن التركيز على المستخدمين هو ما يفصل بين UBA وUEBA عن أدوات الأمن المماثلة مثل إدارة المعلومات والأحداث الأمنية (SIEM)، وكشف نقطة النهاية والاستجابة لها (EDR). تمكِّن هذه الأدوات فرق الأمن من فهم وتحليل نشاط النظام على مستوى المستخدم الفردي. يمكن أن يضيف تعقب الكيانات غير البشرية سياقًا، ولكنه ليس بالضرورة الغرض الأساسي من هذه الأدوات.

أو على حد تعبير Chuvakin، فإن: "'U' أمر لا بد منه،" ولكن "تجاوز 'U' إلى 'E' أخرى ليس كذلك."

تجمع أدوات تحليل سلوك المستخدم بيانات المستخدم باستمرار من مصادر في جميع أنحاء الشبكة، وتستخدمها لإنشاء نماذج أساسية لسلوك المستخدم وتنقيحها. تقارن الأدوات نشاط المستخدم مع خطوط الأساس في الوقت الفعلي. عندما تكتشف سلوكًا شاذًا يشكِّل خطرًا كبيرًا، فإنها تنبّه الأطراف المعنية بذلك.

تجمع أدوات تحليل سلوك المستخدم بيانات عن سمات المستخدم (على سبيل المثال: الأدوار، والأذونات، والموقع) وأنشطة المستخدم (على سبيل المثال: التغييرات التي يجريها على ملف ما، والمواقع التي يزورها، والبيانات التي ينقلها). يمكن أن تجمع تحليلات سلوك المستخدم هذه المعلومات من مصادر بيانات مختلفة، بما في ذلك:

• أدلة المستخدمين، مثل Microsoft Active Directory
   

• سجلات حركة مرور الشبكة من أنظمة كشف التطفل والوقاية منه (IDPSs)، وأجهزة التوجيه، والشبكات الافتراضية الخاصة (VPN) وغيرها من البنية التحتية
   

• بيانات نشاط المستخدم من التطبيقات، والملفات، ونقاط النهاية، وقواعد البيانات
   

• بيانات تسجيل الدخول والمصادقة من أنظمة إدارة الهوية والوصول
   

• بيانات الأحداث من أنظمة SIEMs، وEDRs، وغيرها من الأدوات الأمنية

تستخدم أدوات تحليل سلوك المستخدم أدوات تحليل البيانات لتحويل بيانات المستخدم إلى نماذج أساسية للنشاط الطبيعي.

يمكن لأدوات تحليل سلوك المستخدم استخدام أساليب التحليلات الأساسية مثل النمذجة الإحصائية ومطابقة الأنماط. كما يستخدم العديد منهم أيضًا التحليلات المتقدمة، مثل الذكاء الاصطناعي (AI) والتعلم الآلي (ML).

تسمح أدوات الذكاء الاصطناعي والتعلم الآلي (ML) لأدوات تحليل سلوك المستخدم بتحليل مجموعات البيانات الضخمة؛ لإنشاء نماذج سلوكية أكثر دقة. يمكن لخوارزميات التعلم الآلي أيضًا تنقيح هذه النماذج بمرور الوقت بحيث تتطور جنبًا إلى جنب مع التغييرات التي تطرأ على عمليات الأعمال وأدوار المستخدمين.

يمكن لأدوات تحليل سلوك المستخدم إنشاء نماذج سلوك لكلٍّ من المستخدمين الفرديين والمجموعات.

بالنسبة للمستخدم الفردي، قد يأخذ النموذج في الاعتبار أشياء مثل المكان الذي يسجل المستخدم الدخول منه ومتوسط الوقت الذي يقضيه في التطبيقات المختلفة.

بالنسبة لمجموعات المستخدمين -مثل جميع المستخدمين في قسم ما- قد يأخذ النموذج في الحسبان أشياء مثل قواعد البيانات التي يصل إليها هؤلاء المستخدمون والمستخدمون الآخرون الذين يتفاعلون معهم.

قد يكون لدى المستخدم المنفرد عدة حسابات مستخدمين لمختلف التطبيقات والخدمات التي يستخدمها خلال يوم العمل المعتاد. يمكن أن تتعلم العديد من أدوات تحليل المستخدم دمج النشاط من هذه الحسابات تحت هوية مستخدم واحدة وموحدة.

يساعد توحيد نشاط الحساب الفرق الأمنية في الكشف عن أنماط سلوك المستخدم حتى عندما يكون نشاط المستخدم متفرقًا على أجزاء متباينة من الشبكة.

بعد إنشاء النماذج الأساسية، تراقب أدوات تحليل سلوك المستخدم المستخدمين وتقارن سلوكهم بهذه النماذج. عندما تكتشف انحرافات قد تُشير إلى وجود تهديدات محتملة، تنبّه الفريق الأمني.

يمكن لأدوات تحليل سلوك المستخدم أن تكشف عن حالات شاذة بعدة طرق مختلفة، وتستخدم العديد من أدوات تحليل سلوك المستخدم مزيجًا من طرق الكشف.

تستخدم بعض أدوات تحليل سلوك المستخدم أنظمة قائمة على القواعد حيث تحدِّد الفرق الأمنية يدويًا الحالات التي يجب أن تؤدي إلى إصدار تنبيهات، مثل محاولة المستخدمين الوصول إلى الأصول خارج مستويات الأذونات الخاصة بهم.

كما تستخدم العديد من أدوات تحليل سلوك المستخدم أيضًا خوارزميات الذكاء الاصطناعي والتعلمي الآلي (ML) لتحليل سلوك المستخدم واكتشاف حالات الخلل. مع الذكاء الاصطناعي والتعلّم الآلي (ML)، يمكن أن تكشف أدوات تحليل سلوك المستخدم الانحرافات عن السلوك التاريخي للمستخدم.

على سبيل المثال، إذا سجَّل أحد المستخدمين الدخول إلى التطبيق فقط خلال ساعات العمل فيما مضى، وسجَّل الآن خلال الليالي وعطلات نهاية الأسبوع، فقد يشير ذلك إلى اختراق الحساب.

يمكن لأدوات تحليل سلوك المستخدم أيضًا استخدام الذكاء الاصطناعي والتعلّم الآلي (UBA) لمقارنة المستخدمين بأقرانهم والكشف عن حالات شاذة بهذه الطريقة.

على سبيل المثال، هناك احتمال كبير ألا يحتاج أي شخص في قسم التسويق إلى استخراج سجلات بطاقات ائتمان العملاء. إذا بدأ أحد مستخدمي التسويق في محاولة الوصول إلى تلك السجلات، فقد يُشير ذلك إلى محاولة نقل غير مصرح للبيانات.

بالإضافة إلى تدريب خوارزميات الذكاء الاصطناعي والتعلم الآلي (ML) على سلوكيات المستخدم، يمكن للمؤسسات استخدام موجزات استعلامات التهديدات لتعليم أدوات تحليل سلوك المستخدم اكتشاف المؤشرات المعروفة للأنشطة الضارة.

لا تُصدر أدوات تحليل سلوك المستخدم تنبيهات في كل مرة يفعل فيها المستخدم شيئًا خارج عن المألوف. ففي النهاية، يكون لدى الناس في أغلب الأحيان أسباب مشروعة للانخراط في "سلوك غير مألوف". على سبيل المثال، قد يشارك المستخدم البيانات مع طرف لم يكن معروفًا من قبل لأنه يعمل مع بائع جديد لأول مرة.

بدلًا من الإبلاغ عن الأحداث الفردية، تعمل العديد من أدوات تحليل سلوك المستخدم على تعيين درجة مخاطر لكل مستخدم. كلما فعل المستخدم شيئًا غير معتاد، تزداد درجة خطورته. كلما زادت خطورة الحالة الشاذة، زادت الدرجة. عندما تتجاوز درجة مخاطر المستخدم حدًا معينًا، تنبّه أداة تحليل سلوك المستخدم فريق الأمن.

بهذه الطريقة، لا ترسل أداة تحليل سلوك المستخدم إلى الفريق الأمني الحالات الشاذة البسيطة. ومع ذلك، ستظل قادرة على اكتشاف نمط من الحالات الشاذة المنتظمة في نشاط المستخدم، ما يشير على الأرجح إلى تهديد إلكتروني. قد تؤدي حالة شاذة واحدة كبيرة أيضًا إلى إطلاق تنبيه إذا كانت تشكِّل خطرًا كبيرًا بما يكفي.

عندما تكون درجة المخاطر التي يتعرض لها المستخدم عالية بما يكفي، تنبّه أداة تحليل سلوك المستخدم مركز العمليات الأمنية أو فريق الاستجابة للحوادث أو أي أطراف أخرى معنيّة.

تحتوي بعض أدوات تحليل سلوك المستخدم على لوحات معلومات مخصصة حيث يمكن لفرق الأمن مراقبة نشاط المستخدم، وتتبُّع درجات المخاطر، وتلقي التنبيهات. يمكن للعديد من أدوات تحليل سلوك المستخدم أيضًا إرسال تنبيهات إلى إدارة المعلومات والأحداث الأمنية (SIEM) أو غيرها من الأدوات الأمنية.

على الرغم من أن أدوات تحليل سلوك المستخدم لا تمتلك عادةً القدرة على الاستجابة للتهديدات بشكل مباشر، فإنها يمكن أن تتكامل مع الأدوات الأخرى التي لديها القدرة على ذلك.

على سبيل المثال، تستخدم بعض منصات إدارة الهوية والوصول (IAM) بيانات تحليل سلوك المستخدم للمصادقة التكيفية. إذا تجاوزت درجة مخاطر المستخدم حدًا معينًا -ربما لأنه يسجّل الدخول من جهاز جديد- فقد يطلب نظام إدارة الهوية والوصول (IAM) عوامل مصادقة إضافية.

نظراً لتركيزها على نشاط المستخدمين داخل الشبكة، يمكن لأدوات تحليل سلوك المستخدم مساعدة فرق الأمن في القبض على الجهات الخبيثة التي تتجاوز دفاعات المحيط الخارجي.

علاوةً على ذلك، من خلال تتبُّع الأنماط طويلة الأجل في سلوك المستخدم، يمكن أن تكشف تحليلات سلوك المستخدم الآثار غير المحسوسة تقريبًا التي تتركها الهجمات الإلكترونية الأكثر تطورًا. 

يمكن أن تنتج أدوات تحليل سلوك المستخدم نتائج إيجابية زائفة وسلبية زائفة في بعض الظروف. ويمكن أن تخفف المؤسسات من هذه الاحتمالات باستخدام درجات المخاطر، وتدريب خوارزميات الذكاء الاصطناعي والتعلم الآلي (ML) على الأنماط الفريدة لمستخدميها، لكنها قد لا تقضي على المخاطر بالكامل. 

لنفترض أن أحد المستخدمين بدأ في نقل كميات هائلة من البيانات الحساسة من تقنية سحابية إلى أخرى كجزء من عملية ترحيل مخطط لها. قد لا يأخذ النموذج الأساسي لأداة تحليل سلوك المستخدم في الحسبان هذا النشاط المعتمد والنادر، وبالتالي يطلق الإنذار.

تنشأ النتائج السلبية الكاذبة عندما تتعلم أداة تحليل سلوك المستخدم التعامل مع التهديدات المحتملة على أنها سلوك مقبول. يمكن أن يحدث ذلك عندما تحدث الحالات الشاذة بشكل متكرر دون تصحيح.

على سبيل المثال، لنفترض وجود بائع يعرض قدرات اكتشاف التهديدات في UBA من خلال محاكاة اختراقات أمن بيانات للعملاء أثناء العروض التوضيحية. ستشهد أداة UBA حدوث نفس الخرق مرارًا وتكرارًا. في النهاية، قد تحدِّد الأداة أن هذا الخرق سلوك طبيعي -لأنه يحدث بشكل منتظم جدًا- وتتوقف عن إصدار تنبيهات بشأنه.

في حين أن بعض البائعين يقدمون حلولًا مستقلة لتحليل سلوك المستخدم، فإن السوق تتحول بشكل متزايد نحو أداء تقديم UBA كحل للتكامل مع أدوات أمنية أخرى أو كإضافة إليها. على وجه التحديد، غالبًا ما تكون قدرات UBA مدمجة ضمن أنظمة SIEM وEDR ومنصات IAM.

تجمع أنظمة SIEM بيانات الأحداث الأمنية من أدوات الأمان الداخلية المختلفة في سجل واحد وتحللها لاكتشاف النشاط غير المعتاد. تشتمل العديد من أنظمة SIEMS الآن على قدرات تحليل سلوك المستخدم (UBA) أو تتكامل بسهولة مع أدوات UBA التي يمكن أن تساعد المؤسسات على تحسين بيانات SIEM.

يمكن أن يساعد الجمع بين بيانات سلوك المستخدم وبيانات الأحداث الأمنية المؤسسات على اكتشاف التهديدات بشكل أسرع وتحديد أولويات حالات الخروج عن المألوف الأكثر خطورة للتحقيق فيها.

تكمّل أدوات تحليل سلوك المستخدم أدوات اكتشاف نقاط النهاية والاستجابة لها من خلال إضافة بيانات سلوك المستخدم إلى بيانات نشاط نقطة النهاية. وهذا يمنح الفريق الأمني المزيد من المعلومات عما يفعله المستخدمون في نقاط النهاية الخاصة بهم، ما يسهّل تحديد أنماط السلوك المشبوه عبر الأجهزة.

تستخدم المؤسسات أدوات إدارة الهوية والوصول (IAM) للتحكم في المستخدمين الذين يمكنهم الوصول إلى أي من الموارد. كما ذكرنا سابقًا، فإن دمج أدوات تحليل سلوك المستخدم مع أنظمة إدارة الهوية والوصول (IAM) يمكّن المؤسسات من تصميم عمليات مصادقة ذكية وقابلة للتكيف تعزز متطلبات المصادقة مع ارتفاع درجة مخاطر المستخدم.