ما المقصود بتحليلات استخدامات المستخدمين والكيانات (UEBA)؟

في جوهرها، تتكون تحليلات استخدامات المستخدمين والكيانات من مكونين رئيسيين:تحليلات سلوك المستخدمين (UBA) وتحليلات سلوك الكيان (EBA).

تساعد تحليلات سلوك المستخدمين المؤسسات على رؤية المخاطر الأمنية المحتملة وإيقافها من خلال فهم سلوك المستخدمين. يتم تحقيق ذلك من خلال مراقبة الأنماط وتحليلها عبر نشاط المستخدمين لتكوين نموذج أساسي للسلوك النموذجي. يحدد النموذج احتمال قيام مستخدم معين بتنفيذ نشاط معين استنادًا إلى نمط التعلم السلوكي هذا.

مثل تحليلات سلوك المستخدمين، يمكن لتحليلات سلوك الكيان أيضًا مساعدة المؤسسات في تحديد التهديدات المحتملة عبر الإنترنت على جانب الشبكة. تقوم تحليلات سلوك الكيان بمراقبة النشاط وتحليله بين الكيانات غير البشرية مثل الخوادم والتطبيقات وقواعد البيانات وإنترنت الأشياء (IoT). يساعد هذا في تحديد السلوكيات المشبوهة التي قد تشير إلى حدوث خرق، مثل الوصول غير المصرح به إلى البيانات أو الأنماط غير الطبيعية لنقل البيانات.

تشكل تحليلات سلوك المستخدمين وتحليلات سلوك الكيان معًا حلاً يقارن بين مجموعة متنوعة من الأدوات المختلفة، بما في ذلك المواقع الجغرافية أو الأجهزة أو البيئات أو الوقت أو التردد أوالسلوك على مستوى المؤسسات أو النظراء.

تجمع تحليلات استخدامات المستخدمين والكيانات بيانات المستخدمين والكيانات من جميع مصادر البيانات المتصلة عبر شبكة المؤسسة. قد تتضمن بيانات المستخدم نشاط تسجيل الدخول والموقع وأنماط الوصول إلى البيانات، بينما قد تتضمن بيانات الكيان سجلات من أجهزة الشبكة والخوادم ونقاط النهاية والتطبيقات والخدمات الإضافية الأخرى.

تحلل تحليلات استخدامات المستخدمين والكيانات البيانات المجمعة وتستخدمها لتحديد الخطوط الأساسية أو ملفات تعريف السلوك النموذجية لكل مستخدم ولكل كيان. يتم بعد ذلك استخدام الخطوط الأساسية لإنشاء نماذج سلوكية ديناميكية تتعلم وتتكيف باستمرار مع مرور الوقت استنادًا إلى البيانات الواردة.

باستخدام الخطوط الأساسية كدليل للسلوك النموذجي، تستمر تحليلات استخدامات المستخدمين والكيانات في مراقبة نشاط المستخدمين والكيانات في الوقت الحقيقي لمساعدة المؤسسة على تحديد ما إذا تم اختراق أحد الأصول أم لا. يكتشف النظام الأنشطة الشاذة التي تنحرف عن السلوك الأساسي النموذجي، مثل بدء عملية نقل بيانات كبيرة الحجم بشكل غير طبيعي، مما يؤدي إلى إطلاق تنبيه. على الرغم من أن الحالات الخارجة عن المألوف لا تشير بالضرورة إلى سلوك ضار أو حتى مشبوه، إلا أنه يمكن استخدامها لتحسين عمليات الكشف والاستقصاء وتتبع المخاطر.

يتم إرسال التنبيهات التي تحتوي على نتيجة تحليلات حول سلوك المستخدمين ونوع الحالة الخارجة عن المألوف ومستوى المخاطر المحتملة إلى فريق مركز عمليات الأمان (SOC)فريق مركز عمليات الأمان (SOC). يتلقى فريق مركز عمليات الأمان المعلومات ويحدد ما إذا كان يجب عليه زيادة الفحص استنادًا إلى السلوك والسياق وأولوية الخطر.

باستخدام تحليلات استخدامات المستخدمين والكيانات إلى جانب مجموعة أوسع من حلول المخاطر عبر الإنترنت ، تشكل المؤسسات نظامًا أساسيًا موحدًا للأمان وتستمتع بوضع أمان أقوى بشكل عام. تعمل تحليلات استخدامات المستخدمين والكيانات أيضًا مع أدوات الكشف والاستجابة المُدارة (MDR)وحلول إدارة الوصول المميز (PAM) للمراقبة؛ وإدارة معلومات الأمان والأحداث (SIEM)؛ وأدوات الاستجابة للحوادث للعمل والاستجابة.

يستخدم متتبعو المخاطر التحليل الذكي لمخاطر الإنترنتللمساعدة في تحديد ما إذا كانت استعلاماتهم قد كشفت عن سلوك مشبوه. عندما يكون السلوك مريبًا، تشير الحالات الشاذة إلى مسارات محتملة لإجراء المزيد من الفحص. من خلال تحليل الأنماط بين كل من المستخدمين والكيانات، يمكن لتحليلات استخدامات المستخدمين والكيانات اكتشاف نطاق أوسع بكثير من الهجمات عبر الإنترنت في وقت أقرب، بما في ذلك المخاطر المبكرة عبر الإنترنت، والتهديدات الإلكترونية الداخلية، والهجمات الموزعة لحجب الخدمة، وهجمات القوة الغاشمة، قبل تصعيدها إلى حادث أو خرق محتمل.

يتم تشغيل نماذج تحليلات استخدامات المستخدمين والكيانات بواسطة خوارزميات التعلم الآلي التي تتعلم باستمرار من أنماط سلوك الكيانات والمستخدمين المتطورة باستخدام تحليل البيانات. من خلال التكيف مع احتياجات الأمان في الوقت الحقيقي، يمكن أن تظل حلول الأمان فعالة في مواجهة مشهد أمني متغير يتميز بمخاطر معقدة عبر الإنترنت.

يستخدم محللو الأمن الحالات الشاذة للمساعدة في تأكيد الخرق، وتقييم تأثيره، وتقديم رؤى في الوقت المناسب وقابلة للتنفيذ حول الحوادث الأمنية المحتملة، والتي يمكن لفرق مركز عمليات الأمان استخدامها لإجراء المزيد من الفحص على الحالات. يؤدي هذا بدوره إلى حل أسرع وأكثر فعالية للحوادث، مما يقلل من التأثير العام للتهديدات عبر الإنترنت على مؤسسة بأكملها.

في عصر العمل المختلط أو عن بعد، تواجه المؤسسات اليوم مخاطر على الشبكات تتطور دائمًا - ولهذا السبب يجب أن تتطور أساليبها أيضًا. للكشف عن المخاطر على الشبكات الجديدة والحالية بشكل أكثر فعالية، يبحث محللو الأمان عن الحالات غير المألوفة. في حين أن حالة خارجة عن المألوف واحدة لا تشير بالضرورة إلى سلوك ضار، فإن وجود حالات خارجة عن المألوف متعددة عبر سلسلة الهجوم يمكن أن يشير إلى خطر أكبر. يمكن لمحللو الأمان تحسين عمليات الكشف عن طريق إضافة تنبيهات للسلوك غير العادي المحدد. من خلال اعتماد تحليلات استخدامات المستخدمين والكيانات وتوسيع نطاق الأمان الخاص بها ليشمل الأجهزة خارج بيئة المكتب التقليدية، يمكن للمؤسسات تحسين أمان تسجيل الدخول بشكل استباقي، والتخفيف من التهديدات عبر الإنترنت، وضمان بيئة أكثر مرونة وأمانًا بشكل عام.

في المجالات الخاضعة للتنظيم مثل الخدمات المالية وخدمات الرعاية الصحية، تأتي لوائح حماية البيانات والخصوصية مع معايير يجب على جميع الشركات الامتثال لها. تساعد إمكانات المراقبة والإبلاغ المستمرة التي توفرها تحليلات استخدامات المستخدمين والكيانات المؤسسات على تتبع متطلبات الامتثال التنظيمي هذه.

على الرغم من أن تحليلات استخدامات المستخدمين والكيانات توفر للمؤسسات نتائج تحليلات قيمة، فإنها تأتي أيضًا مع مجموعة فريدة من التحديات التي يجب أخذها في الاعتبار. فيما يلي بعض المشكلات الشائعة التي يجب معالجتها عند تنفيذ تحليلات استخدامات المستخدمين والكيانات:

• الإيجابيات والسلبيات الخاطئة
  في بعض الأحيان، يمكن لأنظمة تحليلات استخدامات المستخدمين والكيانات تصنيف السلوكيات العادية بشكل خاطئ على أنها مريبة وإنشاء نتيجة إيجابية خاطئة. قد تفوت تحليلات استخدامات المستخدمين والكيانات أيضًا معلومات الأمان عبر الإنترنت الفعلية، والتي يمكن أن تؤدي إلى إنشاء نتيجة سلبية خاطئة. للكشف عن المخاطر على الشبكات بشكل أكثر دقة، تحتاج المؤسسات إلى التحقق من التنبيهات بعناية.
  
  
• تسمية غير متسقة عبر الكيانات
  قد يقوم موفر الموارد بإنشاء تنبيه لا يحدد الكيان بشكل كافٍ، مثل اسم المستخدم بدون سياق اسم المجال. عندما يحدث ذلك، لا يمكن دمج كيان المستخدم مع مثيلات أخرى لنفس الحساب، ثم يتم تحديده بعد ذلك ككيان منفصل. لتقليل هذا الخطر، من الضروري تحديد الكيانات باستخدام نموذج موحد، ومزامنة الكيانات مع موفر الهوية الخاص بها لإنشاء دليل واحد.
  
  
• مخاوف الخصوصية
  لا ينبغي أن يأتي تعزيز عمليات الأمان على حساب حقوق خصوصية الأفراد. تثير المراقبة المستمرة لسلوك المستخدم والكيان أسئلة تتعلق بالأخلاقيات والخصوصية، ولهذا السبب من الضروري استخدام أدوات الأمان - وخاصة أدوات الأمان المعززة بالذكاء الاصطناعي - بشكل مسؤول.
  
  
• المخاطر عبر الإنترنت المتطورة بسرعة 
  على الرغم من أن أنظمة تحليلات استخدامات المستخدمين والكيانات مصممة للتكيف مع بيئات المخاطر على الشبكات المتغيرة، إلا أنها قد لا تزال تواجه تحديات في مواكبة المخاطر على الشبكات سريعة التطور. مع تغير تقنيات وأنماط الهجوم عبر الإنترنت، من المهم الاستمرار في ضبط تقنية تحليلات استخدامات المستخدمين والكيانات لتلبية احتياجات المؤسسة.

ومع التقدم في التعلم الآلي، وتكامل الذكاء الاصطناعي، وتحليلات البيانات المقررة لتعزيز قدراتها، يبدو مستقبل تحليلات استخدامات المستخدمين والكيانات مشرقًا. فيما يلي بعض الاتجاهات والتطورات الأكثر جاذبية التي من المحتمل أن تشكل تطور تحليلات استخدامات المستخدمين والكيانات:

• التقدمات في الذكاء الاصطناعي للأمان عبر الإنترنت
  مع استمرار نمو الذكاء الاصطناعي والتعلم الآلي بشكل أكثر قوة وتطورًا، من المتوقع أن تتطور قدرات تحليلات استخدامات المستخدمين والكيانات التنبؤية بشكل أكبر. ومن المتوقع أن تحدد خوارزميات التعلم الآلي، التي تتعلم باستمرار بناءً على البيانات الواردة، الأنماط والحالات غير المألوفة المعقدة بشكل أفضل، وتحسن دقة الكشف عن المخاطر على الشبكات، وتقلل من النتائج الإيجابية الخاطئة.
  
  
• التكامل مع الكشف والاستجابة الموسعة (XDR) والكشف التلقائي والاستجابة على النقط النهائية (EDR) 
  من المتوقع أن تتكامل تحليلات استخدامات المستخدمين والكيانات بشكل أوثق مع الكشف التلقائي والاستجابة على النقط النهائية و حلول الكشف والاستجابة الموسعة. توسع حلول الكشف التلقائي والاستجابة على النقط النهائية نطاق الأمان لتوفير رؤية عبر الأنظمة الأساسية عبر نقاط النهاية. توسع حلول الكشف والاستجابة الموسعة هذا النطاق بشكل أكبر من خلال توفير الأمان عبر نطاق أوسع من المنتجات، بما في ذلك الشبكات والخوادم والتطبيقات المستندة إلى السحابة، بالإضافة إلى نقاط النهاية. يؤدي دمج تحليلات استخدامات المستخدمين والكيانات في الكشف والاستجابة الموسعة والكشف التلقائي والاستجابة على النقط النهائية إلى تعزيز التحليل الذكي للمخاطر التي توفرها هذه الحلول، بحيث تتمكن المؤسسات من اكتشاف المخاطر عبر الإنترنت والاستجابة لها بشكل أكثر فعالية عبر بيئة متعددة السحابة ومتعددة الأنظمة الأساسية.
  
  
• أتمتة الاستجابة للحوادث 
  عند دمجها مع نتائج تحليلات استخدامات المستخدمين والكيانات، ستصبح الاستجابات التلقائية للحوادث أسرع وأكثر تعقيدًا وأكثر كفاءة، مما يقلل من تأثير حوادث الأمان بشكل عام.
  
  
• إمكانات الأمان الأكثر استباقية 
  ستصبح تحليلات استخدامات المستخدمين والكيانات أكثر تضمينًا في الكشف عن الهوية ونقاط النهاية، بالإضافة إلى حلول الحماية. في مواجهة الهجمات الإلكترونية المتطورة بشكل متزايد، ستتطور تحليلات استخدامات المستخدمين والكيانات إلى جانب حلول الأمان التكميلية لتوفير كشف أكثر تقدمًا للتهديدات، بالإضافة إلى الاستجابات السريعة للأحداث. على سبيل المثال، يجمع الكشف والاستجابة الموسعة المُدارة (MXDR)، بين خدمات المراقبة والتتبع والمعالجة المدارة للكشف والاستجابة المدارة (MDR) مع حماية الأمان الموسعة للكشف والاستجابة الموسعة لتوفير تغطية للمخاطر على الشبكات سريعة وفعالة واستباقية تتجاوز نقطة النهاية. ستمنح قدرات تحليلات استخدامات المستخدمين والكيانات الجديدة هذه فرق مركز عمليات الأمان القدرة على البحث بشكل استباقي عن المخاطر عبر الإنترنت عبر مجموعة متنوعة من بيئات تكنولوجيا المعلومات، مما يمكن المؤسسات من البقاء في صدارة المخاطر عبر الإنترنت الناشئة.

تحليل نسبة استخدام الشبكة (NTA) هو نهج أمان عبر الإنترنت يشارك العديد من أوجه التشابه مع تحليلات استخدامات المستخدمين والكيانات في التطبيق ولكنه يختلف من حيث التركيز والتطبيق والمقياس. عند تشكيل حل شامل للأمان عبر الإنترنت، يعمل النهجان معًا جيدًا:

• يركز على فهم سلوكيات المستخدمين والكيانات ومراقبتها داخل الشبكة من خلال التعلم الآلي والذكاء الاصطناعي.
• يجمع البيانات من مصادر المستخدمين والكيانات، والتي قد تتضمن نشاط تسجيل الدخول، وسجلات الوصول، وبيانات الأحداث، بالإضافة إلى التفاعلات بين الكيانات.
• يستخدم النماذج أو الخطوط الأساسية لتحديد الخطر الداخلي والحسابات المخترقة والسلوكيات غير العادية التي قد تؤدي إلى وقوع حادث محتمل.

• تركز على فهم ومراقبة تدفق البيانات داخل الشبكة من خلال فحص حزم البيانات وتحديد الأنماط التي قد تشير إلى وجود تهديد محتمل.
• تجمع البيانات من نسبة استخدام الشبكة، والتي قد تتضمن سجلات الشبكة والبروتوكولات وعناوين IP وأنماط نسبة استخدام الشبكة.
• تستخدم أنماط نسبة استخدام الشبكة لتحديد التهديدات المستندة إلى الشبكة مثل الهجمات الموزعة لحجب الخدمة والبرامج الضارة والنقل غير المصرح به وسرقة البيانات.
• تعمل بشكل جيد مع أدوات وتقنيات أمان الشبكة الأخرى، بالإضافة إلى تحليلات استخدامات المستخدمين والكيانات.

مع استمرار تطور تهديدات الأمان عبر الإنترنت بسرعة، أصبحت حلول تحليلات استخدامات المستخدمين والكيانات أكثر أهمية لاستراتيجية الدفاع الخاصة بمؤسسة من أي وقت مضى. يتمثل المفتاح لحماية مؤسستك بشكل أفضل من المخاطر المستقبلية عبر الإنترنت في البقاء على اطلاع واستباقية والتحلي بالدراية.

إذا كنت مهتمًا بتعزيز وضع الأمان عبر الإنترنت لمؤسستك من خلال إمكانات تحليلات استخدامات المستخدمين والكيانات من الجيل التالي، فستحتاج إلى استكشاف أحدث الخيارات. يجمع حل عمليات الأمان الموحد بين قدرات إدارة معلومات الأمان والأحداث وتحليلات استخدامات المستخدمين والكيانات معًا لمساعدة مؤسستك على فحص المخاطر عبر الإنترنت المتقدمة وإيقافها في الوقت الحقيقي، كل ذلك من نظام أساسي واحد. تقدّم بشكل أسرع بفضل الأمان والرؤية الموحدة عبر السحابات والأنظمة الأساسية وخدمات نقاط النهاية لديك. احصل على نظرة عامة كاملة على وضع الأمان ​​من خلال تجميع بيانات الأمان من مجموعتك التقنية بأكملها، واستخدم الذكاء الاصطناعي للكشف عن المخاطر عبر الإنترنت المحتملة.