مع تقدم التهديدات السيبرانية، أصبح من الضروري أن تجمع فرق الأمن أكبر قدر ممكن من البيانات وتحللها لفهم سياق الهجمات المحتملة. غالباً ما يكون مستوى الفهم هو الفارق بين الهجوم الناجح ووقفه في وقت مبكر من سلسلة الهجوم. تأتي التحليلات السلوكية وإدارة الهوية في طليعة هذه المعركة من أجل تقديم رؤية أفضل للمخاطر ، ويمكنها أيضاً تقديم السياق اللازم لفهم ما إذا كان نشاط الشبكة عادي، غير عادي أو ضار (سواء كان من مستخدم داخلي أو خارجي).
مراحل الهجمات السيبرانية
هناك الكثير من الأدوات والتكتيكات والإجراءات (TTPs) التي يستخدمها المهاجمون بمجرد دخولهم إلى شبكة مؤسسة ما. ويتمثل هدفهم عادة في العثور على بيانات حساسة، وتوفير الأدوات، وإخفاء النشاط، ثم استخراج البيانات أو بدء شكل آخر من أشكال الهجوم. على سبيل المثال، في حالة هجوم برامج الفدية، قد يستخدم أحد الجهات الفاعلة في التهديد هجوم موجه للحصول على إمكانية الوصول إلى الشبكة، ثم تثبيت برامج ضارة تتواصل مع مخدم قيادة وتحكم خارجي، ثم تبدأ في التحرك أفقياً للعثور على أصول بالغة الأهمية – مثل البيانات الشخصية أو البيانات المالية. عند هذه النقطة، قد يختارون سرقة البيانات وبيعها، قبل تشفير النظام والمطالبة بفدية. ولكن القدرة على تحديد هذه الخطوات كأحداث في هجوم برامج الفدية قد تكون صعبة.
على الرغم من أنه قد يكون لديك أدوات مثل نقطة النهاية، ومكافحة الفيروسات، و EDR، وأجهزة IPS وغيرها، فإن الواقع هو أن المؤسسات لا تزال تتعرض للهجوم والاختراق. لماذا؟ لأنه لا يمكن لأي جهاز تحديد 100% من هذه الهجمات أو إعطاء رؤية بنسبة 100%. وعندما لا يتم التنبه لخطوات الهجوم في الوقت المناسب، فماذا تفعل؟ هذه الأسئلة وهذه المشكلة هي ما تعمل التحليلات السلوكية على معالجتها.
التحليلات السلوكية – عودة إلى الأساسيات
يمكن أن تكون التحليلات السلوكية نهجاً فعالاً لتحديد ما إذا كان السلوك الشاذ ضاراً أو محفوفاً بالمخاطر أو حميداً. فهي تنشئ خط أساس للسلوك القياسي للمستخدمين والكيانات داخل الشبكة وتبحث عن الانحرافات عن هذا الخط الأساسي، وتنبه إلى أي شيء قد يشير إلى تهديد أمني محتمل. كما تجمع بيانات في الوقت الحقيقي تتضمن تصرفات المستخدم (مثل التطبيقات المستخدمة والتفاعلات مع البيانات وما إلى ذلك) والنشاط على الأجهزة المتصلة بالشبكة (مثل المخدمات والراوتر وما إلى ذلك) والأحداث الأمنية من الأجهزة والمنصات المتضمنة في الأعمال.
إنها مصممة للعثور على هذا الشذوذ وإعطائه سياقاً في سلسلة القتل (Cyber Kill Chain)، حتى تتمكن المؤسسات من سد الفجوة بين ما تراه في التنبيهات الأمنية وفهم السلوكيات. تم تصميم معظم منصات التحليلات للبحث عن السلوكيات الضارة، ولكن غالباً ما توجد مناطق رمادية، إما أن تكون عرضية (أي خرق للسياسات)، أو أن تكون علامات مبكرة حقيقية لهجوم.
توفر التحليلات السلوكية الأرضية التي تمكن فريق الأمن السيبراني من التدخل قبل حدوث ضرر أو نتائج سلبية. وقد يشمل ذلك التهديدات الداخلية، واكتشاف تسريب البيانات، وإساءة استخدام الوصول المتميز، واكتشاف الحسابات المخترقة، واكتشاف النظام أو المضيف المخترق،
مثال عملي للتحليلات السلوكية
لنفترض أن شخصاً ما يحاول تسجيل الدخول إلى نظام باستخدام بيانات اعتماد ويفشل عدة مرات قبل أن ينجح. هل يشير ذلك إلى هجوم القوة الغاشمة -Brute-force attack-؟ ربما. لكن النظام يُظهر أن هذا الشخص لديه إمكانية الوصول إلى هذا النظام. بعد ذلك، يبدأ نفس المستخدم في الوصول إلى مواقع ويب غير عادية أو لديه اتصال غير عادي. تربط التحليلات السلوكية بين هذين العاملين لفهم ملف تعريف المخاطر بشكل أفضل، وإبلاغه إلى فريق الأمن حتى يتمكنوا من التقدم قبل ما قد يكون مراحل مبكرة في هجوم محتمل. كما توفر نظام إنذار مبكر للفريق للعمل عليه.
تبحث التحليلات السلوكية في البنية الأساسية والأنظمة والتطبيقات لربط البيانات وتحديد ما إذا كان سلوكاً ضاراً بالفعل أو ربما مجرد خرق غير مقصود للسياسة من قبل المستخدم. إن فهم هذه التفاصيل (أو ربط هذه الأحداث معاً) حتى يتمكن فريق الأمن من التصرف وفقاً لذلك أمر بالغ الأهمية في تقليل التنبيهات وزيادة كفاءة الأمان ووقف الهجمات في وقت مبكر من دورة الحياة.
إدارة الهوية في الأمن السيبراني
للتحقق من صحة السلوك الشاذ (والاستفادة بشكل صحيح من التحليلات السلوكية)، يجب أن تفهم الهوية. إنها ذات دور هام في تحديد مدى صحة السلوك و التهديد الأمني. هل المستخدم صالح، هل هو داخلي، هل هو شريك؟ ما هي الأنظمة التي يمكنه الوصول إليها وما هي عمليات تسجيل الدخول أو الحسابات أو التطبيقات المدعومة داخل تلك الأنظمة؟ ما هي الحقوق التي لديه وما هي البيانات التي يمكنه عرضها أو الوصول إليها في تلك التطبيقات؟ هل يحق للمستخدم نسخ أو نقل البيانات من النظام؟ وأخيراً، ما هي وظيفته؟ هل لديه امتيازات كتابة أنواع معينة من البيانات؟ من المهم معرفة ما إذا كان المستخدم متدرب جديد أو مديراً في الموارد البشرية، على سبيل المثال.
يجب جمع هذا النوع من معلومات الهوية وتوحيدها والنظر إليها بشكل شامل حتى يمكن مقارنتها ببيانات سلوك المستخدم والكيان واتخاذ الإجراءات. على سبيل المثال، قد يكون هناك مستخدم مستقيل أو كان سابقاً ضمن فريق عمل طرف ثالث انتهى تعاقده مع المؤسسة، ، أو قد نجد بعض القيم الشاذة الأخرى التي تتطلب حظرهم من الشبكة. أو قد يكون هناك حساب خامل، أو مشكلات مصادقة عبر النطاقات تعتمد على الهوية، أو فصل الواجبات، أو أكثر من ذلك.
يرتبط نجاح تحليلات الهوية بجمع البيانات الشاملة. إن مجرد جمع معلومات Active Directory لا يوفر صورة الهوية الكاملة. يتعين على الشركات الاستعانة بأنظمة الحوكمة وأنظمة إدارة الهوية وأنظمة إدارة الوصول وأنظمة إدارة الوصول إلى الامتيازات – عبر البيئات المحلية والسحابية وSaaS. يوفر ذلك عرضاً واضحاً للمستخدمين وامتيازات الوصول والحقوق ، مما يوفر ملف تعريف مستخدم يمكن استخدامه لإجراء تحليلات أكثر تقدماً.
يمكن لفهم الهوية والوصول أن يسلط الضوء على أنواع مختلفة من شذوذ سلوك المستخدم. خذ على سبيل المثال مستخدماً داخلياً لديه حق الوصول كقراءة فقط، ولكن ليس حق الكتابة، إلى/على مستندات حساسة (لا يمكنه حتى نسخ الملفات). ولكن تبين أنه لدى هذا المستخدم قدر غير عادي من نشاطات الطباعة وأخذ لقطات للشاشة. قد يكون هذا علامة على تسرب البيانات.
اكتشاف التهديدات السيبرانية
إن ربط البيانات السلوكية وبيانات الهوية معاً يتجاوز مجرد تسلسل التهديدات ويمكن أن يخلق رؤى قوية لفرق الأمن. يمكن لذلك تعزيز التحقق مما إذا كان السلوك المحفوف بالمخاطر أو الشذوذ خارج نطاق ما يُسمح للمستخدم أو الكيان بفعله بناءً على السياسات المعتمدة. لا يقلل هذا الربط من الإيجابيات الخاطئة فحسب، بل إنه من خلال ربط هذا السياق الهرمي للخطوات الفردية، يسمح لفريق الأمن بالذهاب إلى ما هو أبعد من مجرد الاعتماد على إجراء ضار محدد في سلسلة القتل السيبرانية. دعنا نلقي نظرة على بعض حالات الاستخدام المحددة للجمع بين التحليلات السلوكية وتحليلات الهوية.
في المثال الأول، يصل موظف مبيعات إلى قاعدة بيانات المبيعات الخاصة به عبر هاتفه المحمول. وفي هذه العملية، أدخل كلمة المرور الخاصة به بشكل غير صحيح عدة مرات. يؤدي ذلك إلى تشغيل تنبيه سلوكي يشير إلى هجوم محتمل بالقوة الغاشمة. ومع ذلك، من خلال النظر في تحليلات الهوية – امتيازات وصول موظف المبيعات، ودوره داخل المؤسسة ، وحقوقه، وحتى بيانات الموقع – يمكن للمحلل تحديد أنه ليس تهديداً.
بعد ذلك، هناك موظفان لهما مناصب وظيفية وأدوار متشابهة داخل مؤسسة. ومع ذلك، تم وضع التنبه أن أحد هذين الموظفين وصل إلى مورد بالغ الأهمية (على الرغم من أنه لم يتفاعل مطلقاً مع هذا النظام). يتم تحديد ذلك على أنه نشاط غير طبيعي. من خلال تحليلات الهوية، يمكن للمحللين مقارنة المستخدمين المتشابهين لتحديد العيوب المحتملة أو التكوينات الخاطئة في سياسات الوصول. بعد ذلك، يمكن إجراء مزيد من التحقيق في نشاط المستخدم المخالف.
يمكن أن ينطبق المثال أعلاه أيضاً على حالتي استخدام مختلفتين. إذا تم تصنيف المستخدم المخالف الذي يتم التحقيق معه على أنه تهديد داخلي، فيمكن مراقبة المستخدم بشكل أكثر نشاطاً استناداً إلى سياسات الشركة وموافقاتها. ولكن إذا كانت الحالة بيانات اعتماد مسروقة ونشاط ضار، فإن تحليلات الهوية مفيدة لإن تحديد ما إذا كان النشاط يتسق مع السياسات الأمنية الحالية هو بداية، ومن ثم يمكن استخدام تحليلات أخرى لربط عناصر حملة هجوم محتملة.
كلمة أخيرة
مع التهديدات المتقدمة اليوم، يعد تحديد السلوك الشاذ في وقت مبكر من سلسلة الهجوم أمرًا بالغ الأهمية لإيقاف الضرر أو تخفيفه. إن الجمع بين التحليلات السلوكية وتحليلات الهوية هو المفتاح لفهم هذا السياق والقدرة على التركيز على الخطوات الحقيقية في الهجوم المتكشف.
