تجزیه و تحلیل رفتار کاربر

تجزیه و تحلیل رفتار کاربر

تجزیه و تحلیل رفتار کاربر ( UBA ) به عنوان گارتنر تعریف شده است یک فرایند امنیت سایبری در مورد تشخیص تهدیدهای داخلی ، حملات هدفمند و تقلب مالی است. راهکارهای UBA به الگوهای رفتار انسان نگاه می کنند و سپس الگوریتم ها و تجزیه و تحلیل آماری را برای تشخیص ناهنجاری های معنی دار از آن الگوهای-ناهنجاری هایی که نشان دهنده تهدیدات بالقوه هستند، اعمال می کنند. باعصر اطلاعات همراه باشید.

به جای ردیابی دستگاه ها و رویدادهای امنیتی، UBA یک کاربر سیستم را دنبال می کند.  سیستم های اطلاعاتی بزرگ مانند Apache Hadoop افزایش قابلیت های UBA را با اجازه دادن به آنها برای تجزیه و تحلیل داده های petabytes برای شناسایی تهدیدات خودی وتهدیدات مداوم است.

مشکل UBA به این معنا است که، همانطور که توسط جونا تیل جانسون، مدیر عامل Nemertes Research توضیح داده شده، چنین است: ” سیستم های امنیتی اطلاعات زیادی را ارائه می دهند که اطلاعات دقیق را کشف می کند که واقعا نشان دهنده یک پتانسیل واقعی برای حمله است. داده های مربوط به SIEM ، IDS / IPS، سیاههای مربوط به سیستم و دیگر ابزارهای جمع آوری شده است. ابزارهای UBA از یک نوع تحلیل تخصصی امنیتی استفاده می کنند که بر رفتار سیستم ها و افرادی که از آنها استفاده می کنند متمرکز است. تکنولوژی UBA ابتدا در زمینه بازاریابی، شرکت ها می توانند الگوهای خرید مصرف کننده را درک کنند و پیش بینی کنند. اما همانطور که معلوم است، UBA نیز می تواند در زمینه امنیت بسیار مفید باشد

تحولات در تکنولوژی UBA به Gartner کمک کرد تا این دسته را به تجزیه و تحلیل رفتار کاربر و نهاد ( UEBA ) ارتقاء دهد . در سپتامبر ۲۰۱۵، گارتنر راهنمای معاونت برای کاربر و انتیاتیت آنالیز را به وسیله معاون رئیس جمهور و تحلیلگر برجسته Avivah Litan منتشر کرد که تعریف و توضیح کامل را ارائه داد. UEBA در گزارش های قبلی گارتنر، اما در عمق زیادی نیست. گسترش تعریف از UBA شامل دستگاهها، برنامه ها، سرورها، دادهها یا هر چیزی با یک آدرس IP است . این فراتر از تمرکز تمرکز بر تمرکز UBA به یک برنامه گسترده تر شامل رفتارهای بدخواهانه و سوءاستفاده شده است که در سیستم های نظارت امنیتی موجود مانند SIEM و DLP غیر قابل مشاهده است. اضافه کردن “entity” نشان دهنده این است که دستگاه ها ممکن است در یک حمله شبکه نقش داشته باشند و همچنین ممکن است در کشف فعالیت حمله مفید باشند. “هنگامی که کاربران نهایی در معرض خطر قرار می گیرند، بدافزارها می توانند به حالت غیر فعال و ماه ها ناپدید شوند. به جای تلاش برای پیدا کردن جایی که بیگانه وارد شده است، UEBA برای تشخیص سریع تر با استفاده از الگوریتم ها برای تشخیص تهدیدات داخلی، اجازه می دهد.”

به خصوص در بازار امنیت کامپیوتر ، فروشندگان بسیاری برای برنامه های UEBA وجود دارد. آنها می توانند براساس اینکه آیا آنها برای نظارت بر برنامه های کاربردی مبتنی بر ابر یا مبتنی بر ابر به عنوان سرویس(SaaS)، روش هایی که داده های منبع آنها را به دست می آورند، نوع تجزیه و تحلیل استفاده می کنند (یعنی تجزیه و تحلیل بسته بندی شده، مبتنی بر کاربر یا فروشنده ارسال شده) و روش ارائه خدمات (به عنوان مثال، محل سکونت یا مبتنی بر ابر). “ طبق راهنمای بازار ۲۰۱۵ که توسط Gartner منتشر شد، “بازار UEBA به طور قابل توجهی در سال ۲۰۱۵ افزایش یافت؛ فروشندگان UEBA مشتریان خود را افزایش دادند، تثبیت بازار آغاز شد، و علاقه مشتری مشتری به UEBA و تحلیل امنیتی افزایش یافت. این گزارش بیشتر پیش بینی کرد: “طی سه سال آینده، سیستم عامل های پیشرو UEBA، سیستم های ترجیحی عملیات های امنیتی و تحقیقات در برخی از سازمان های خدمتی خواهد بود. برخی از رویدادهای امنیتی و تجزیه و تحلیل افراد مجرم در UEBA از آن است که در بسیاری از سیستم های نظارت بر امنیت می باشد.