اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

مزایای امنیتی ادغام یادگیری ماشین و UEBA (آنالیز رفتار موجودیت کاربر)

آنالیز رفتار موجودیت کاربر

هزینه‌ی جرائم سایبری به سرعت رو به افزایش است و به سختی می‌توان آن را کنترل نمود. در حالی که Gartner پیش‌بینی کرده هزینه‌هایی که صرف امنیت اطلاعات می‌شوند، امسال به 124 میلیارد دلار می‌رسد، محققین امنیتی نیز تخمین زده‌اند که هزینه‌ی جرائم سایبری زمانی به بیش از دو تریلیون دلار خواهد رسید و مخارج امنیتی را 16 برابر خواهد کرد.

اکثر بدافزارها صرفا آسیب‌پذیری‌های شناخته‌شده را مورد حمله قرار می‌دهند، در حالی که Botnetها به طور میانگین تقریبا 12 روز به صورت شناسایی‌نشده در سازمان‌های هدف باقی می‌مانند و در بسیاری از موارد، مشکل یکی از منابع است. گسترش سریع سطح حمله (Attack Surface) از طریق تبدیل دیجیتال (Digital Transformation) و به‌‌کارگیری بی‌سابقه‌ی BYOD و دستگاه‌های IoT، به علاوه‌ی پیچیدگی رو به رشد حملات و شکاف رو به گسترش در مهارت‌های امنیتی، بسیاری از تیم‌های امنیتی را از پای درآورده است.

به منظور برطرف ساختن این چالش، سازمان‌ها به چیزهایی مانند یادگیری ماشین روی می‌آورند تا شکاف‌های امنیتی خود را پر کنند. در واکنش به این امر بسیاری از شرکت‌های ارائه‌دهنده‌ جدید در حال پیاده‌سازی و اجرای نوعی یادگیری ماشین در آخرین راهکارهای خود هستند. در حالی که این مهم مساله‌ی کنونی مدیران ارشد امنیت اطلاعاتی (CISOs) است که به دنبال راهکاری ساده و جادویی هستند تا در محافظت در برابر مجرمین سایبری به آن‌ها کمک کند، سوال این است که آیا یادگیری ماشین می‌تواند به حوزه‌ی امنیت سایبری بهای بیشتری بخشد؟

شرکت APK دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور


راهکارهای شناسایی و پیشگیری امنیت سایبری

بسیاری از سازمان‌ها در حال حاضر با کیت امنیت سایبری استاندارد کار می‌کنند. کمدهای سیم‌کشی آن‌ها نیز پر از دستگاه‌هایی با پالیسی‌های امنیتی است که بنابه ادعای شرکت‌های ارائه‌دهنده می‌توانند آخرین تهدیدات را از طریق شناسایی مبتنی بر Signature، پالیسی‌های پیش‌ساخته و آماده (Canned Policies) یا حتی پیکربندی‌های مبتنی بر کاربر، شناسایی و از آن‌ها پیشگیری نماید. حسگرهای این دسته عبارتند از فایروال‌ها، سیستم‌های پیشگیری از فقدان داده (DLP)، سیستم‌های پیشگیری از نفوذ (IPS) و فیلترهای محتوای وب (WCF) و متخصصین نیز تخمین زده‌اند که شاید سازمان‌ها در شبکه‌ی خود از راهکارهای حدود 70 شرکت ارائه‌دهنده‌ امنیت برخوردار باشند. مورد بدتر  این است که از آنجایی که این حسگرها به تعدد خود ادامه می‌دهند، بسیاری از آن‌ها ممکن است حتی به درستی پیکربندی نشوند. بنابه گزارشی از Gartner، مسبب 99% از نقض‌های امنیتی فایروال‌ها پیکربندی اشتباه آن‌ها بوده است.

به علاوه، بسیاری از این دستگاه‌ها به طور کاملا جداگانه عمل می‌کنند و نمی‌توانند هوش تهدیدات را به اشتراک گذاشته یا همبسته کنند، یا با هر شکلی از استراتژی جامع یا هماهنگ به تهدیدات پاسخ دهند. در نتیجه، حتی مانیتور نمودن این تجهیزات مستلزم یک لایه‌ی اضافی از حسگرها،  همراه با اعضای اضافی تیم امنیتی به منظور مدیریت و همبسته ساختن دستی (Hand-Correlate) رویدادهای Syslog آن‌ها است. بدیهی است که حسگرهای بیشتر و داده‌های بیشتر به افراد بیشتری نیاز دارد و با توجه به کمبود کنونی مهارت‌های امنیتی، این استراتژی ماندگار نیست.

راهکارهای AI/ML سیسکو برای شناسایی رویدادها

ویدیوهای بیشتر درباره یادگیری ماشین

مفهوم یادگیری ماشین

یادگیری ماشینی (ML) زیرمجموعه‌ای از AI است و هردوی آن‌ها می‌توانند قابلیت‌های انسانی ما را با میسر ساختن کندوکاو در خلال Datasetهای بزرگ و الگوهای موضعی (Spot Pattern) رفتار یا سیگنال‌های نویز، افزایش دهند، که انجام آن‌ها برای انسان غیر ممکن است. این امر یک افزایش‌دهنده‌ی توان (Force Multiplier) ارائه می‌کند که استعدادهای انسانی موجود ما را قادر می‌سازد تا ابزار UEBA (آنالیز رفتار موجودیت کاربر) و آنالیزهای رفتاری خودکار رفتار غیر معمول را بیابیم. امور روزمره را نیز می‌توان با ML خودکارسازی کرد، که به منابع نادر پرسنلی امنیت سایبری، این امکان را می‌دهد که تمرکز خود را روی امور با ارزش‌تری بگذارند.

آنالیز رفتار موجودیت کاربر (UEBA)

ML و AI بر مبنای Big Data هستند و هرچه داده‌ی بیشتری دریافت کنند، کارآمدی و دقت آن‌ها بهتر می‌شود. اما چیزی که مهم است این است که شخص داده‌های درست را جمع‌آوری کند و در اینجاست که سیستم‌های UEBA یا آنالیز رفتار موجودیت کاربر وارد کار می‌شوند. ترکیب داده‌های رفتاری ضروری و دقیق کاربر با یادگیری ماشین این اجازه را به ما می‌دهد تا به طور دقیق‌تری کاربران را بر یک مبنای Endpoint-by-Endpoint مانیتور کنیم که قابلیت دید گسترده‌ای نسبت به آنچه که به طور منظم بر خلاف میل ما انجام می‌دهند، ارائه می‌کند.

زمانی که یک Baseline از رفتار نرمال ایجاد می‌شود، هرگاه کاربر کاری انجام دهد که سیستم UEBA (آنالیز رفتار موجودیت کاربر) آن را غیر عادی در نظر بگیرد، به تیم عملیات امنیت سایبری هشدار داده می‌شود. اگر فعالیت مجاز کاربر به عنوان مختل علامت‌گذاری شود، که غالبا در طی مراحل آغازین یادگیری ممکن است رخ دهد، تحلیلگرها می‌توانند آن را به عنوان فعالیت روزمره و معمول Tag نموده و یادگیری ماشین سیستم UEBA آن داده‌ها را یکپارچه سازد و به روال عادی کار خود برگردد. از آنجایی که یادگیری ماشین چنین خطاهایی را در اعلام هشدار کاهش می‌دهد، هرگاه کاربر از رفتار نرمال خارج شود این هشدارها جدی‌تر می‌شوند.

مزایای ادغام یادگیری ماشین با UEBA (آنالیز رفتار موجودیت کاربر)

استفاده از یادگیری ماشین همراه با داده‌های رفتاری کاربر، سطحی از آینده‌نگری امنیتی را به همراه دارد که با اتکا بر سیستم‌های شناسایی و پیشگیری قدیمی و مبتنی بر Signature امکان‌پذیر نیست، بدین دلیل که افراد می‌توانند تغییرات ریز را هم شناسایی کنند و انجام این کار با Signatureها دشوار است. به علاوه، نمی‌توان به راحتی سیستمی را با هر تغییر اساسی قواعد پیکربندی نمود تا تمام حملات را شناسایی کند.

تشخیص فعالیت شناسایی سطح پایین یا Low-Level Reconnaissance Activity با استفاده از UEBA و یادگیری ماشین، پیش‌بینی بسیار بهتری را نسبت به ادغام یادگیری ماشین با اقدامات شناسایی قدیمی و مبتنی بر Signature، به افراد ارائه می‌کند. این امر مزیت بزرگ دیگری نیز دارد، بدین صورت که با قرار دادن مهاجمین در رادار مبتنی بر قواعد، کنترل شرایط را برای آن‌ها بسیار سخت می‌کند.

 مزایای استفاده از راهکار امنیتی UEBA (آنالیز رفتار موجودیت کاربر) بر مبنای پلتفرم یادگیری ماشین، بسیار زیاد است. از آنجایی که توانایی آن‌ها در ایجاد یک Baseline در فعالیت شبکه، اصلاح شده است، نه تنها قادر هستند تا تغییرات مخرب در رفتار را شناسایی کنند، بلکه آن اطلاعات می‌توانند با شناسایی و پیشگیری از رفتارهای مشخصی، پیش از آن که رخ دهند، آینده‌نگری را نیز مقدر سازند. همچنین از آنجایی که راهکارهای یادگیری ماشین به طور کلی موارد مورد نیاز خاص خود را ارائه می‌کنند، به غیر از چند تغییر جزئی و کوچک در اینجا و آنجا، سربار مدیریت آن‌ها به حداقل می‌رسد.

اما شاید از همه مهم‌تر این نکته باشد که یادگیری ماشین در زمان بسیار مناسبی وارد صحنه شده است، چراکه تعداد تحلیلگران لازم برای جست‌وجوی دستی در میان داده‌ها برای شناسایی تهدیدات، به سرعت در حال سبقت از تعداد متخصصین در دسترس است. با حذف انسان از وظیفه‌ای که مشخصا برای آن مناسب نیست، افراد می‌توانند تمرکز خود را بر حوزه‌هایی مانند توسعه بیشتر راهکار امنیت سایبری بگذارند که باعث افزایش ارزش آن خواهد شد.

مقاله های مرتبط:

پکیج آموزشی VMware NSX شرکت APK