واژه UBA تشکیل شده از کلمات User Behavior Analytics میباشد که وظیفه بررسی و نظارت بر روی رفتارهای کاربران ( انسان ها ) را دارد و با بهرهگیری از AI ( هوش مصنوعی ) و Data Science ( علم داده ) میتواند به راحتی به تشخیص رفتارهای غیرعادی در شبکه بپردازد و تهدیدات متنوعی که میتواند وجود داشته باشد را شناسایی کند.
بیشتر ببینید: دوره جذاب تست نفوذ سازمانی با Metasploit در دوره SANS Security 580
حالا که متوجه شدیم مفهوم UBA چیست بیاید نحوه کار آن راهم بررسی کنیم و ببینیم چگونه UBA توانایی تشخیص این را دارد که یک رفتار از کاربران به صورت غیر عادی میباشد؟ توجه کنید در ابتدای کار UBA یک نمودار ترسیم میکند که این نمودار شامل تمامی رفتارهای عادی کاربران میشود و این رفتارهای عادی را درنظر میگیرد و هرگونه رفتار غیر از این نمودار را به عنوان تهدید شناسایی میکند.
به عنوان مثال ما یک سازمان در کشور ایران داریم که از کاربران خاصی از کشورهای دیگر مانند ايالات متحده آمریکا و کانادا و آلمان و اوکراین و چین به سازمان و زیرساخت ما ارتباطات VPN میزنند و به اصطلاح به منابع خاصی دسترسی پیدا میکنند، از همین جهت رفتارعادی برای این شرایط از دیدگاه UBA میتواند مباحث زیادی را شامل شود
برای مثال درزمان 1 بامداد به وقت تهران کاربران آمریکا به سازمان ما متصل میشوند و این حالت عادی میباشد
اما در شرایطی که در همین حین یک کاربر از کشور چین یا کشورهای دیگر به ما متصل شود این یک رفتار غیرعادی میباشد.
یا که برای مثال در این ساعت کاربر خاصی با Username خاص (برای مثال Barbara) متصل میشود به سازمان از طریق VPN اما درشرایطی که همان Username از طرف یک کشور دیگر برای مثال چین ارتباط VPN را برقرار کند یک رفتار غیرعادی شناسایی میشود.
عوامل دیگری در این شرایط دست دارند مثله آدرس های IP که ارتباطات را میزنند، زمان، مکان و میزان و تعداد ارتباطات VPN برای مثلا نمودار زیر را درنظر بگیرید
در نمودار زیر که یک نمودار عادی کشیده توسط UBA میباشد میزان ارتباطات یا به اصطلاح VPN Connection های کشور اوکراين کمتر از کشور آلمان میباشد
درصورتی که کشور اوکراين میزان VPN Connection های آن از آلمان بیشتر شود UBA این موضوع را به عنوان یک تهدید شناسایی میکند.
توجه داشته باشید که به واسطه UBA تهدیدات زیادی که میتوانند الگو عادی UBA را نقض کنند قابل شناسایی هستند از جمله این تهدیدات: