تحليلات سلوك المستخدم والكيان، أو UEBA هي نوع من برامج الأمان التي تستخدم التحليلات السلوكية وخوارزميات التعلم الآلي والأتمتة لتحديد سلوك المستخدم والجهاز غير الطبيعي والذي يحتمل أن يكون خطيرًا. تمنح UEBA الفرق رؤى أمنية أفضل وتعزز برامج الأمان القائمة على مبدأ الثقة صفرية.
UEBA، وهو مصطلح صاغته Gartner لأول مرة في 2015، يمثِّل تطورًا لتحليلات سلوك المستخدم (UBA). بينما كان نظام UBA يتتبع فقط أنماط سلوك المستخدمين النهائيين، يراقب UEBA أيضًا الكيانات غير البشرية، مثل الخوادم والموجهات وأجهزة إنترنت الأشياء (IoT)، للكشف عن السلوك الشاذ أو الأنشطة المشبوهة التي قد تُشير إلى تهديدات أو هجمات أمنية.
يُعَد نظام UEBA فعَّالًا في تحديد التهديدات الداخلية –الهجمات الداخلية الخبيثة أو المتسللين الذين يستخدمون بيانات اعتماد داخلية مخترقة– التي يمكنها تجاوز أدوات الأمان الأخرى نظرًا إلى محاكاتها حركة المرور المصرح بها على الشبكة.
يتم استخدام أنظمة UEBA في مراكز العمليات الأمنية (SOCs) إلى جانب أدوات الأمن المؤسسي الأخرى، وغالبًا ما تُدمج وظائف UEBA في حلول الأمن المؤسسي مثل إدارة المعلومات والأحداث الأمنية (SIEM)، وكشف نقاط النهاية والاستجابة لها (EDR)، والكشف والاستجابة الموسَّعة (XDR)، ومنصات إدارة الهوية والوصول (IAM).
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
توفِّر حلول UEBA رؤى أمنية من خلال تحليلات البيانات والتعلم الآلي. تعمل أدوات تحليلات السلوك داخل نظام UEBA على استيعاب وتحليل كميات كبيرة من البيانات من مصادر متعددة لإنشاء صورة أساسية عن كيفية عمل المستخدمين والكيانات المميزة عادةً. ثم يستخدم التعلم الآلي (ML) لتحسين النموذج الأساسي. مع تقدُّم التعلم الآلي في التعلم بمرور الوقت، يحتاج حل UEBA إلى جمع وتحليل عيّنات أقل من السلوك الطبيعي لإنشاء نموذج أساسي دقيق.
بعد إنشاء نموذج للسلوكيات الأساسية، يطبِّق UEBA نفس قدرات التحليلات المتقدمة والتعلم الآلي على بيانات نشاط المستخدمين والكيانات الحالية لاكتشاف الانحرافات المشبوهة عن السلوكيات الأساسية في الوقت الفعلي. يقيّم UEBA سلوك المستخدمين والكيانات من خلال تحليل البيانات من أكبر عدد ممكن من مصادر المؤسسة، فكلما زاد عددها، كان أفضل. وتشمل هذه المصادر عادةً:
المعدات وحلول الوصول إلى الشبكة، مثل جداران الحماية، وأجهزة التوجيه، والشبكات الافتراضية الخاصة، وحلول إدارة الهوية والوصول (IAM).
الأدوات والحلول الأمنية، مثل برامج مكافحة الفيروسات والبرمجيات الضارة، واكتشاف نقاط النهاية والاستجابة لها، وأنظمة كشف الاختراق والوقاية منه (IDPS) وإدارة المعلومات والأحداث الأمنية (SIEM).
تحتوي قواعد بيانات المصادقة، مثل Active Directory، على معلومات حساسة حول بيئة الشبكة، بما في ذلك حسابات المستخدمين وأجهزة الكمبيوتر النشطة داخل النظام والأنشطة المسموح للمستخدمين بأدائها.
موجزات استعلامات التهديدات وأطر العمل، مثل MITRE ATT&CK، والتي توفِّر معلومات عن التهديدات الإلكترونية الشائعة والثغرات الأمنية، بما في ذلك الهجوم دون انتظار والبرامج الضارة وشبكات الروبوتات وغيرها من المخاطر الأمنية.
أنظمة تخطيط موارد المؤسسة (ERP) أو الموارد البشرية (HR) التي تحتوي على معلومات ذات صلة بالمستخدمين الذين قد يشكِّلون تهديدًا، مثل الموظفين الذين قدموا استقالتهم أو قد يكونون غير راضين.
يستخدم UEBA ما يتعلمه لتحديد السلوكيات الشاذة وتقييمها بناءً على مستوى المخاطر التي تمثّلها. على سبيل المثال، قد تُشير عدة محاولات مصادقة فاشلة خلال فترة قصيرة أو أنماط وصول غير طبيعية إلى النظام إلى وجود تهديد داخلي، ما يولِّد تنبيهًا منخفض الدرجة. وبالمثل، قد يشير توصيل المستخدم لعدة أجهزة USB والانخراط في أنماط تحميل غير طبيعية إلى محاولة استخراج بيانات، وسيُعطى تنبيهًا بدرجة خطر أعلى.
يتيح استخدام هذا المعيار التقييمي لفرق الأمن تجنّب التنبيهات الإيجابية الزائفة وترتيب أكبر التهديدات حسب الأولوية، مع توثيق ومراقبة التنبيهات منخفضة المستوى على المدى الطويل، والتي قد تُشير مجتمعةً إلى تهديد بطيء التطور لكنه خطير.
يساعد UEBA الشركات على تحديد السلوك المشبوه ويعزز جهود منع فقدان البيانات (DLP). بالإضافة إلى هذه الاستخدامات التكتيكية، يمكن لنظام UEBA أيضًا أن يخدم أغراضًا أكثر استراتيجية، مثل إظهار الامتثال للوائح المحيطة ببيانات المستخدم وحماية الخصوصية.
الهجمات الداخلية الخبيثة: المهاجمون في هذه الهجمات هم أشخاص لديهم وصول مصرح به، وأحيانًا وصول مميز، إلى شبكة المؤسسة ويعملون على شنّ هجوم إلكتروني. البيانات وحدها -مثل سجلات الأحداث أو ملفات السجل- لا تستطيع دائمًا كشف هؤلاء الأشخاص، لكن التحليلات المتقدمة قادرة على ذلك. نظرًا لأن UEBA يوفر رؤى حول المستخدمين المحددين بدلًا من عناوين IP، فإنه قادر على تحديد المستخدمين الأفراد الذين ينتهكون سياسات الأمان.
الشبكات الداخلية المخترقة: يحصل المهاجمون في هذا النوع على إمكانية الوصول إلى بيانات الاعتماد للمستخدمين أو الأجهزة المصرح لهم من خلال مخططات التصيّد الاحتيالي أو هجمات القوة الغاشمة أو وسائل أخرى. قد لا تكشف أدوات الأمان التقليدية عنهم، لأن استخدام بيانات اعتماد شرعية، وإن كانت مسروقة، يجعل المهاجم يبدو كمستخدم مصرح له. بمجرد دخولهم، يتحرّك هؤلاء المهاجمون جانبيًا داخل الشبكة، ويحصلون على بيانات اعتماد جديدة لزيادة صلاحياتهم والوصول إلى أصول أكثر حساسية. على الرغم من أن هؤلاء المهاجمين قد يستخدمون بيانات الاعتماد الرسمية، فإن UEBA يمكنه اكتشاف سلوكهم الشاذ للمساعدة على إحباط الهجوم.
الكيانات المخترقة: تستخدم العديد من المؤسسات، ولا سيّما الشركات المصنعة والمستشفيات، عددًا كبيرًا من الأجهزة المتصلة، مثل إنترنت الأشياء (IOT)، وغالبًا ما تكون تكوينات الأمان فيها قليلة أو معدومة. وعدم وجود حماية يجعل هذه الكيانات هدفًا رئيسيًا للمتسللين، الذين قد يختطفون هذه الأجهزة للوصول إلى مصادر البيانات الحساسة، أو تعطيل العمليات أو شنّ الهجمات الموزعة لحجب الخدمة (DDoS). يمكن أن يساعد UEBA على تحديد السلوكيات التي تُشير إلى أن هذه الكيانات قد تم اختراقها بحيث يمكن معالجة التهديدات قبل تصاعدها.
النقل غير المصرح به للبيانات: غالبًا ما تسعى الجهات الداخلية المخترقة والمهاجمون الضارون إلى سرقة البيانات الشخصية، أو الملكية الفكرية، أو مستندات استراتيجية الأعمال من الخوادم أو أجهزة الكمبيوتر أو الأجهزة الأخرى المخترقة. يساعد UEBA فرق الأمن على اكتشاف اختراقات أمن البيانات في الوقت الفعلي من خلال تنبيه الفرق إلى أنماط التنزيل والوصول إلى البيانات غير المعتادة.
تنفيذ الأمن القائم على مبدأ الثقة الصفرية: إن نهج الأمن القائم على مبدأ الثقة الصفرية هو نهج لا يثق في جميع المستخدمين أو الكيانات ويتحقق منهم باستمرار، سواء أكانوا خارج الشبكة أو داخلها بالفعل. يتطلب نموذج الثقة الصفرية أن يتم التحقق من هوية جميع المستخدمين والكيانات، ومنحهم الأذونات اللازمة، والتأكد من صحتهم قبل السماح لهم بالوصول إلى التطبيقات والبيانات. بمجرد منح الوصول، يجب إعادة مصادقة جميع المستخدمين والكيانات باستمرار، وإعادة تفويضهم، وإعادة التحقق من صحتهم للحفاظ على الوصول أو توسيعه طوال مدة الجلسة.
تتطلب بنية الثقة الصفرية الفعَّالة أقصى قدر من الرؤية لجميع المستخدمين والأجهزة والأصول والكيانات على الشبكة. يمنح UEBA محللي الأمان رؤية غنية في الوقت الفعلي لجميع أنشطة المستخدم النهائي والكيانات، بما في ذلك الأجهزة التي تحاول الاتصال بالشبكة، والمستخدمين الذين يحاولون تجاوز امتيازاتهم، وغيرهم.
الامتثال للّائحة العامة لحماية البيانات (GDPR): تفرض اللائحة العامة لحماية البيانات العامة للاتحاد الأوروبي (GDPR) متطلبات صارمة على المؤسسات لحماية البيانات الحساسة. بموجب اللائحة العامة لحماية البيانات (GDPR)، يجب على الشركات تتبُّع البيانات الشخصية التي يتم الوصول إليها، ومن يمكنه الوصول إليها، وكيف يتم استخدامها ومتى يتم حذفها. يمكن أن تساعد أدوات UEBA الشركات على الامتثال للائحة العامة لحماية البيانات (GDPR) من خلال مراقبة سلوك المستخدم والبيانات الحساسة التي يصلون إليها.
يتم تضمين UEBA، أو قدرات من نوع UEBA، في العديد من الأدوات الأمنية المتاحة اليوم. رغم إمكانية استخدامه كمنتج مستقل، يجب النظر إلى UEBA كأداة واحدة ضمن مجموعة الأدوات الأمنية الإلكترونية الشاملة. على وجه الخصوص، غالبًا ما يتم استخدام UEBA مع الأدوات التالية أو يكون مدمجًا فيها.
إدارة المعلومات والأحداث الأمنية (SIEM): تعمل أنظمة SIEM على تجميع بيانات أحداث الأمان من أدوات الأمان الداخلية المختلفة في سجل واحد وتحليل هذه البيانات لاكتشاف السلوك غير المعتاد والتهديدات المحتملة. يمكن لنظام UEBA توسيع قدرة SIEM على رؤية الشبكة من خلال قدراته في كشف التهديدات الداخلية وتحليل سلوك المستخدمين. اليوم، يشتمل العديد من حلول SIEM على أنظمة UEBA.
اكتشاف نقاط النهاية والاستجابة لها (EDR): تعمل أدوات EDR على مراقبة نقاط نهاية النظام، مثل أجهزة الكمبيوتر المحمول والطابعات وأجهزة إنترنت الأشياء، لرصد أي سلوك غير معتاد قد يُشير إلى تهديد. عند اكتشاف التهديدات، يعمل نظام EDR على احتوائها تلقائيًا. يعمل UEBA بشكل تكاملي مع حل EDR، وغالبًا كجزء منه، وذلك من خلال متابعة سلوك المستخدمين على نقاط النهاية هذه. على سبيل المثال، قد يؤدي تسجيل دخول مشبوه إلى إطلاق تنبيه منخفض المستوى إلى EDR، ولكن إذا وجد UEBA أن نقطة النهاية يتم استخدامها للوصول إلى معلومات سرية، يمكن رفع مستوى التنبيه بشكل مناسب ومعالجته بسرعة.
إدارة الهوية والوصول (IAM): تضمن أدوات إدارة الهوية والوصول إمكانية استخدام الأشخاص المناسبين والأجهزة المناسبة للتطبيقات والبيانات المناسبة عند الحاجة. إدارة الهوية والوصول (IAM) استباقية وتسعى إلى منع الوصول غير المصرح به مع تسهيل الوصول المصرح به. تضيف UEBA مستوى آخر من الحماية من خلال مراقبة إشارات بيانات الاعتماد المخترقة أو إساءة استخدام الامتيازات من قِبَل المستخدمين المصرح لهم.