اشتراک مقالات

Behavioral Profiling یا پروفایل رفتاری: پایه و اساس تحلیل امنیت مدرن

532 مشاهده 2 20 تیر, 1399

پروفایل رفتاری

تا همین اواخر، سیستم‌های امنیتی فقط می‌توانستند با آنچه می‌دانند مقابله کنند. تیم‌های امنیتی با دقت زیاد قواعد همبستگی را تعریف می‌کردند تا مشخص کنند که کدامیک از یافته‌ها مشکوک هستند، یا سیستم‌ها نرم‌افزارها و الگوهای ترافیکی را در جستجوی امضای آخرین حمله شناخته شده اسکن می‌کردند.این رویکرد در چشم‌انداز امروزی تهدیدات، هنوز مهم است اما برای دفاع در برابر مهاجمین ماهر با مجموعه‌ ابزارهای دائما درحال پیشرفت، کافی نیست. پروفایل رفتاری یا Behavioral Profiling پایه و اساس بسیاری از رویکردها  و ابزارهای امنیتی است که سعی در شناسایی حمله‌ها یا رفتارها‌ی‌ ناشناخته‌ای دارد که با هیچ الگوی از پیش تعیین شده ای مطابقت نداشته اما با این وجود ازهنجار منحرف شده‌اند. درست مانند یک نگهبان امنیتی که متوجه “چیز عجیبی” شده و تصمیم می‌گیرد که نگاهی بیاندازد، پروفایل‌بندی و آنالیز رفتاری نیز به سیستم‌های خودکار امنیتی کمک می‌کند تا تشخیص دهند که موضوعی درباره یک حساب کاربری، یک ماشین یا شبکه درست نیست، همچنین برای پاسخگویی به حوادث نیزبه تیم بررسی امنیت کمک می‌کند.

لایسنس اسپلانک

Behavioral Profiling یا پروفایل رفتاری چیست؟

پروفایل رفتاری استفاده از یادگیری ماشین و تجزیه و تحلیل پیشرفته برای آنالیز داده‌های امنیتی و تعریف پروفایل‌هایی از رفتار معمولی  کاربران یا سیستم‌های محاسباتی است. این امر باعث شناسایی ناهنجاری‌های رفتاری می‌شود که احتمال دارد فعالیت مخرب مهاجمان باشد.

به دلیل افزایش پیچیدگی مهاجمان، نیاز به پروفایل رفتاری بیش از پیش احساس می‌شود. دیگر تمام حملات، با بررسی و استفاده از Signatureها (بطور مثال یک فایل باینری که به‌عنوان بدافزار شناخته می‌شود) یا قوانین (به طور مثال مسدود کردن دسترسی کاربر، اگر بیش از 5 تلاش ناموفق برای ورود به سیستم در عرض یکساعت داشت) قابل شناسایی نیستند. مهاجمان ممکن است از تکنیک‌ها، تاکتیک‌ها و رویه‌هایی (TTP) استفاده کنند که برای سیستم دفاع امنیتی سازمان شناخته شده نباشد. اما نقطه مشترک تمام فعالیت‌های مهاجمان، انحراف از رفتار عادی است.

آشنایی با SIEM یا امنیت اطلاعات و مدیریت رویداد

ویدیوهای بیشتر درباره امنیت

تجزیه و تحلیل رفتاری ، رویه‌ها  و الگوهای ناهنجار را شناسایی کرده و توجه کارمندان امنیتی را به آنها جلب می‌کند. این موضوع در موارد زیر مفید است:

  • شناسایی زودهنگام مهاجمان در زمانی که اولین قدم‌های حمله را برمی‌دارند.
  • توقف فعالیت مهاجمانی که از قبل داخل سیستم‌های سازمان بوده و مخفیانه آن را دستکاری می‌کنند.
  • یافتن دلیل اصلی رخ دادن حوادث امنیتی و تقویت دفاع در برابر حملات مشابه در آینده

انواع ناهنجاری در پروفایل رفتاری

آنالیز رفتاری معمولا برروی  تشخیص ناهنجاری‌های رفتاری کاربر یا سیستم، در ابعاد زیر تمرکز دارد:

  • برنامه زمانی: اغلب کارمندان برنامه کاری مشخص و قابل‌پیش‌بینی‌ای دارند. سرورها یا برنامه‌های کاربردی ممکن است Taskها یا بارکاری از پیش‌تعیین‌شده‌ای را اجرا کنند. یک ورود کاربر یا پردازش سیستم که خارج از زمان معمول اتفاق بیافتد، نشان‌دهنده یک ناهنجاری است.
  • برنامه‌های کاربردی و Portها: اتصال کارمندان به برنامه‌ای که قبلا از آن استفاده نکرده‌اند، یا وصل شدن به سرور یا پورتی (داخلی یا خارجی) که به‌صورت معمول به آن متصل نمی‌شوند، به‌خصوص اگر سرور یا پورت جهت انتقال داده به خارج از سازمان مورد استفاده قرار می‌گیرد، شک‌برانگیز است.
  • مناطق جغرافیایی و آدرس‌های IP: کارمندانی که از یک آدرس IP غیرمعمول یا از یک موقعیت جغرفایایی غیرمنتظره وارد سیستم می‌شوند، نشان‌دهنده یک ناهنجاری بزرگ هستند.
  • دستگاه‌ها: کاربری که از یک دستگاه ناشناخته به سیستم وارد شود، نشان‌دهنده ناهنجاری است. این نوع ورود به سیستم می‌تواند توسط مهاجمی  باشد که از اطلاعات اعتباری آسیب‌دیده استفاده می‌کند، یا کاربر مجازی که در حال استفاده از یک دستگاه ناامن مانند کامپیوتر عمومی است.
  • میزان استفاده از دستگاه: آنالیز رفتاری می‌تواند تشخیص دهد که نحوه استفاده کاربر از دستگاه، با حالت معمول و نرمال آن متفاوت است. به‌طور مثال سرعت تایپ متفاوت، حرکت ماوس در الگوهای متفاوت و یا استفاده از برنامه‌های مختلف در زمان نامتعارف. یک سرور یا برنامه کاربردی قادر است که ترافیک و یا الگوی ورودی/خروجی متفاوتی را نسبت به حالت نرمال ایجاد کند.
  • ترافیک شبکه: آنالیز رفتاری میتواند یک پروفایل برای ترافیک نرمال شبکه که در پورت‌های خاص یا بخش‌های خاص شبکه جریان‌ دارد، ایجاد کند. هر پورتی از شبکه که ترافیک با حجمی غیرمعمول، با استفاده از الگویی متفاوت یا Payload نا آشنا ارسال و یا دریافت می‌کند، می‌تواند یک ناهنجاری باشد.

پروفایل رفتاری و UEBAUEBA چیست؟

آنالیز رفتار کاربر و موجودیت یا UEBA یک راه حل امنیتی است که پروفایل رفتاری و آنالیز آن را در بطن خود دارد. UEBA از شناسایی خودکار ناهنجاری‌ها استفاده می‌کند تا به تیم امنیتی درباره رفتار مشکوک هشدار دهد. اینکار از طریق مقایسه رفتار فعلی کاربر با رفتار عادی یا رفتار همتایان کاربر(مانند افرادی که در یک واحد مشغول به کار هستند) و یا از مقایسه سیستم‌های IT و شبکه‌ها نسبت به رفتار نرمال آنها انجام می‌شود.

شرکت APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور    تماس با کارشناسان 021-88539044-5

قسمت مهمی از سیستم‌های UEBA از آستانه (Threshold) برای شناسایی زمانی که یک ناهنجاری تبدیل به تهدید امنیتی می‌شود، استفاده می‌کند. به عنوان مثال، اگر یک کاربر همیشه کار را از ساعت 8 صبح آغاز کند اما یک روز ساعت 7 صبح وارد سیستم شود، یک ناهنجاری است اما آنقدر غیرمعمول نیست که توجیهی برای شروع یک بررسی باشد. یک ابزار UEBA با سنجش میزان ریسک، حوادث  غیرمعمول را مشخص می‌کند. به طور مثال ورود به سیستم در ساعت 4 یا 5 صبح، همراه با سایر ویژگی‌های غیرمعمولی چون مکان کاربر، دستگاه مورد استفاده و سایر فعالیت‌ها ممکن است میزان ریسک را به حدی بالا ببرد که یک هشدار تولید شود.

موارد کاربردی امنیتی UEBA

پروفایل رفتاری یا Behavioral Profiling و سیستم‌های UEBA به کدام سناریوی امنیتی کمک می‌کنند؟ در اینجا تعدادی از تهدیدهای متداول که در راهکارهای امنیتی سنتی، اغلب شناسایی نمی‌شوند، اما توسط UEBA قابل شناسایی و توقف هستند بیان می‌شوند.

اطلاعات اعتباری آسیب‌دیده: اگر یک حمله کننده اطلاعات اعتباری از یک کاربر مجاز را بدست آورد، فعالیت آنها میتواند در ظاهر، شبیه هم باشد. تنها سیستم‌های UEBA میتوانند رفتار غیرعادی حساب کاربری را تشخیص دهند.

حساب‌های کاربری مدیریتی و دستگاه‌ها: مهاجمین پیشرفته می‌توانند مستقیما به Endpointهای مورد استفاده مدیرعامل، CFO و سایر مدیران ارشد حمله کنند. UEBA به شناسایی در خطر بودن دارایی‌های مدیریتی و رفتارهای ناهنجار در این حساب‌های کاربری کمک کند.

بیشتر بخوانید: محافظت آسان در برابر تهدیدات با هوش مصنوعی پیشرفته در تحلیل‌گر امنیت مجازی FortiAI

سیستم‌ها و Hostهای آسیب‌دیده: زمانی که حمله‌کنندگان کنترل سرور یا سایر ماشین‌ها را در یک شبکه سازمانی به دست می‌آورند، ممکن است تا سالها ناشناخته باقی بمانند. UEBA قادر است تغییر رفتار سیستم در برخی نقاط را تشخیص داده و به بررسی انجام فعالیت‌های مخرب در سیستم بپردازد.

تهدیدات داخلی: فعالیت‌های مخرب داخلی از نگرانی‌های رو به رشد امنیتی هستند که با روش‌های سنتی امنیت عملا غیرقابل کشف هستند. راهکارهای UEBA قادر به تشخیص فعالیتهای غیرمعمول و مخاطره‌آمیز کاربران مانند انتقال داده‌ها، افزایش سطح دسترسی یا دسترسی به برنامه‌ها و سیستم‌های غیرمعمول هستند که نشان‌دهنده رفتار مخربند.

حرکات جانبی: حمله‌کنندگان از نفوذ به یک Endpoint یا سیستم شروع کرده و سپس برای دستیابی به سیستم‌ها و حساب‌های کاربری بیشتر، حرکات جانبی در در سراسر شبکه آغاز می‌کنند. UEBA میتواند چندین سیستم را در یک تصویر کلی دیده و فعالیتهای نابهنجار و مشکوک که با حرکت جانبی در شبکه همراه است، را شناسایی کند.

نقل و انتقال غیرمجاز داده‌ها: انتقال داده‌ها به خارج از سازمان، میتواند توسط یک کاربر متصل به یک سرویس خارجی مجاز، یک مهاجم که در حال انتقال اطلاعات دزدیده شده است، یا یک بدافزار که از طریق دستورات با مرکز کنترل ارتباط برقرار می‌کندف انجام شود. سیستم‌های UEBA انتقال داده‌ها را آنالیز کرده و مجاز بودن مقصد را تشخیص میدهد. همچنین بررسی می‌کند آیا داده‌های در حال انتقال برای کاربر و موقعیت فعلی، معنا دارد یا خیر.

استفاده از UEBA و SIEM جهت بهبود جریان کاری امنیت مدرن

گارتنر UEBA را به دیدگاه خود برای تکنولوژی امنیت اطلاعات و مدیریت رویدادهای امنیتی نسل بعد یا SIEM اضافه کرده است. یک SIEM نسل بعدی باید با یک UEBA ترکیب شود تا به سازمانهای برای داشتن درک بهتری از رویدادهای امنیتی، شناسایی ناهنجاری‌ها و پاسخ بهتر به حوادث یاری دهد.

برچسب ها : قابلیتهای پروفایل رفتاریپروفایل رفتاریپروفایل رفتاری چیستکاربرد پروفایل رفتاری

مطلب مفید بود؟

 
بیشتر بخوانید