شناسایی و واکنش به تهدیدات از جانب Insiderهای مخرب همچنان یک چالش پیچیده است که شرکتها قادر به نادیده گرفتن آن نیستند. خطر کاربران درون یک سازمان از نظر امنیت سایبری و همچنین تطبیق پذیری میتواند نقطهی کور مهمی باشد. انتقال به برنامه های مبتنی بر Cloud و تغییر سریع به دورکاری به جهت پیشگیری از انتشار COVID-19 باعث کاهش قابلیت دید و تاثیر کنترلهای امنیتی قدیمی برای علامتگذاری فعالیتهای نامناسب کارمندان شده است. Fortinet FortiSIE درSecurity Operation Center یا SOC این چالشها را برطرف میکند. پلتفرم Security Information and Event Management یا SIEM امکان مشاهده تهدید در Real-Time را در کل اکوسیستم IT فراهم میکند. علاوه بر این، User and Entity Behavior Analytics مربوط به FortiSIEM شامل امنیت منحصر به فرد داده ها و قابلیت شناسایی تهدید است که به صورت پیشرفته به جستجوی تهدید میپردازد. با استفاده از قابلیت نظارت و تجزیه و تحلیل Endpoint، سازمانها میتوانند رفتارهای مخاطره آمیز کاربری را که اطلاعات مهم کسب وکار را در معرض خطر قرار میدهد، شناسایی نمایند، پاسخ دهند و مدیریت کنند.
به دست آوردن قابلیت مشاهده
سازمانها برای دستیابی به قابلیت دید فعالیت در ایستگاههای کاری End-User و شناسایی رفتار نامطلوب کاربر، با طیف وسیعی از چالشها روبرو هستند. FortiSIEM UEBA، مبتنی بر فناوری پیشرفته و اثبات شده ی FortiInsight، این چالشهای قابلیت دید را به روشی موثر و در عین حال غیر مداخله گرانه برطرف میکند. علاوه بر این، استفاده از FortiSIEM UEBA آسان است و با عملکرد قدیمی SIEM FortiSIEM کار میکند و نظارت بر فعالیت End-To-End، از Endpointها گرفته تا سرورهایPremises و فعالیت شبکه و خدمات Cloud را فراهم میکند. FortiSIEM شامل دیدگاههای عملی و Real-Time در مورد رفتار غیرعادی کاربر در رابطه با داده های مهم کسب و کار است. این امر امکان ایجاد پروفایل های جامعی از کاربران، برنامه ها، Peer Groupها، فایلها، Endpointها و شبکه ها را فراهم میکند. قابلیتهای اصلی عبارتند از:
• قابلیت مشاهده ی Endpoint
داشتن قابلیت دید کامل از جریان داده ها به واسطهی سبک رفتار کاربر و رفتار Endpoint از طریق پلتفرم ها و Form Factorها، هم در حالت On-Network و هم Off-Network.
• Federated Security
اختصاص چندین نام کاربری و رمز عبور به اعضای مختلف گروه برای واکنش به هشدارها و رخدادها.
• گزارش اختصاصی
قابلیتها به حفظ تطبیق پذیری منظم مانند General Data Protection Regulation یا GDPR و Health Insurance Portability And Accountability Act یا HIPAA کمک میکنند.
• تصویرساری و داشبوردها
مشاهده ی اطلاعات کلیدی کاربر، فرآیندها، Endpoint، نوع منبع مانند فایل، دیتابیس، برنامه و رفتار.
• Detailed Forensics Trail یا جرمشناسی دقیق
مشاهده ی ثبت کامل کلیه ی فعالیت های کاربر و Endpoint که از واکنش سریع به تخلفات احتمالی یا رخ داده پشتیبانی میکنند. این امر برای واکنش موثر به رویداد، Casebuilding و تعهدات تطبیق پذیری ضروری به عنوان مثال، قانون 72-Hour Disclosure مربوط به GDPR است.
شناسایی تهدیدهای شناخته و ناشناخته
FortiSIEM UEBA تهدیدهای شناخته شده و ناشناخته، از خطای کاربر گرفته، تا نقض پالیسی ها، فعالیت مخرب Insider و حسابهای کاربری به خطر افتاده یا تصاحب شده توسط Insiderهای مخرب را شناسایی میکند. به عبارتی ترکیبی از یادگیری ماشینی قدرتمند و انعطافپذیر با جرمشناسی دقیق درباره ی فعالیتهای کاربران است. این امر با نظارت بر رفتار کاربر و انتقال داده ها، چه در شبکه و چه در خارج از شبکه، قابلیت دید کامل بر فعالیت های موثر بر داده های سازمان را فراهم میکند. FortiSIEM رفتار کاربر مربوط به جریان داده را برای مشاهده فعالیت غیرمعمول مانند دسترسی کاربران به فایلهایی که معمولاً به آنها مربوط نمیشود، یا تغییر در الگوی کار، حسابهای کاربری به خطر افتاده یا اقدامات غیرمعمول Peer-Group را بررسی میکند. با شناسایی رفتارهای دارای اختلال، هشدارهای Real-Time برای بررسی فوری به ذینفعان مربوطه ارسال میشود.
عملکرد
موتور FortiSIEM UEBA در FortiSIEM Supervisor Node اجرا میشود و از طریق Agent FortiSIEM UEBA دادهها را از ماشینهای End-User جمع آوری میکند. Agent UEBA به طور مستقیم Logهای High-Fidelity را جمع آوری و از ارایه ی داده های دقیق اطمینان حاصل می نماید. علاوه بر این، هزینه های بالای دستگاه کاربر را به حداقل میرساند. یک راهکار مبتنی برAgent همچنین قابلیت دید درایو USB را فراهم می نماید و حتی میتواند در صورت عدم اتصال کاربر به شبکه ی شرکت، یعنی خارج از شبکه، Logها را جمع آوری نماید. فعالیتهای خارج از شبکه را میتوان به صورت Locall برای کاربر ذخیره کرد تا بعداً مورد تجزیه و تحلیل قرار گیرند، یا یک Collector FortiSIEM را میتوان در یک DMZ برای Agentهای خارج از شبکه نصب کرد تا هنگام اتصال به اینترنت در آنها آپلود شود. همانطور که در تصویر زیر نشان داده شده است، AgentهایUEBA مربوط به FortiSIEMکه فضای کمی اشغال میکنند، دادههای High-Fidelity را در داخل و خارج از شبکه با استفاده از یک مدل سنجش پنج عاملی، Capture مینمایند و برای درک رفتار کاربران، از اطلاعات زیر استفاده میکنند:
کاربران
فرایندها
دستگاهها
منابع
اقدامات
حفظ حریم خصوصی کارمندان هنگام مانیتورینگ
FortiSIEM UEBA یک راهکار سرگرم کننده برای نظارت بر کارمندان نیست. این کارLog کردن با استفاده از چند کلید، Screen recording یا Log نمودن دقیق فعالیت وب نیست، که ممکن است مد نظر برخی از سازمانها باشد. بلکه Agent، تعامل کاربران را با منابع یا فایلها روی دستگاه Log مینماید، که این امر امکانات زیر را فراهم میکند:
• نظارت بر فعالیت کاربر، به هنگام پردازش و دسترسی به فایلها، در لپتاپ به منظور کمک به انجام فعالیت هایی مانند بررسی فعالیت کاربر و شناسایی تهدید.
• کمک به شناسایی فعالیت احتمالی Insider-Threat
• جلوگیری از انتقال غیرمجاز دادهها به درایوهای USB
• کنترل و شناسایی استفاده از برنامههای خاصی درEndpoint
• کنترل یا شناسایی نام یا انواع فایلهای خاص. به عنوان مثال:
• نام فایل هایی که به ظاهر حاوی دادههای محرمانه هستند. CustomerData.csv
• نام فایل هایی که در بر دارنده ی مدیاهای نامطلوب هستند با پسوندهای mp3 ،avi،mpg
• نام فایل هایی که ممکن است خطر امنیتی ایجاد کنند. passwords.txt
• هشدار هنگام تشخیص رفتار غیر عادی کاربر
- امنیت در داخل و خارج شبکه
FortiSIEM UEBA با نظارت مداوم بر کاربران و Endpointها با قابلیت تشخیص و واکنش خودکار، سازمانها را در برابر تهدیدات داخلی محافظت میکند. و به طور خودکار رفتارهای Noncompliant، مشکوک یا دارای اختلال را در درون یا خارج از شبکه شناسایی و سپس به سرعت هشدارها را ارسال مینماید. با استفاده از یادگیری ماشینی و تجزیه و تحلیل پیشرفته، این رویکرد فعالانه محافظت و قابلیت دید بیشتری را در زمینه ی شناسایی تهدید، در کل شبکه سازمانی ایجاد میکند.
