تحلیل رفتاری شامل مطالعه گرایشها و الگوهای فعالیت کاربران یک سازمان است. تجزیه و تحلیل رفتاری در امنیت سایبری بر رفتار کاربر در شبکهها و اپلیکیشنها تمرکز کرده و فعالیتهای غیرمعمولی که ممکن است به معنای یک تهدید امنیتی باشد را بررسی میکند.
با افزایش پیچیدگی و ظرافت تهدیدات سایبری مدرن، نقش تجزیه و تحلیل رفتاری در امنیت سایبری نیز مهم تر میشود.آنالیز رفتاری با شناسایی ناهنجاریهایی که اقدامات امنیتی سنتی ممکن است در برابرشان کارایی خودشان را از دست بدهند، یک لایه حفاظتی اضافی ارائه میدهد.
در این پست، مفهوم تجزیه و تحلیل رفتاری، کاربردهای آن در امنیت سایبری و برخی از چالشهای آن را بررسی خواهیم کرد.
درک تحلیل رفتاری
تجزیه و تحلیل رفتاری بسیار فراتر از جمع آوری صرف دادهها است. این شامل یک تجزیه و تحلیل عمیق از فعالیتهای کاربر و سیستم در یک سازمان است که چگونگی، زمان و چرایی آن را آشکار میکند. ارزیابی بیدرنگ فعالیت به شناسایی دقیق الگوها کمک میکند و در نتیجه ناهنجاریهای استفاده یا رفتار بالقوه مضر را نمایان میکند.
هوش مصنوعی (AI) و یادگیری ماشین (ML) اغلب تجزیه و تحلیل رفتاری را بهبود میبخشند. AI/ML میتواند مقادیر زیادی داده را برای شناسایی الگوها و بی نظمیها بررسی کند. با استفاده از AI/ML، فرآیندهای تحلیل رفتاری سازمان خودکار و بسیار کارآمد تر از قبل میشوند.
انواع داده های مورد استفاده در تجزیه و تحلیل رفتاری عبارتند از:
- ترافیک شبکه
- فعالیت پایگاه داده
- فعالیت کاربر
- رویدادهای سیستم
تجزیه و تحلیل رفتاری با ایجاد یک خط پایه رفتاری آغاز می شود: فعالیتهای استانداردی که در شبکه یک سازمان عادی تلقی میشوند. هنگامی که خط پایه شناسایی شد، موتور تجزیه و تحلیل رفتار میتواند انحرافها را از خط مبنا شناسایی کند که می تواند تهدید امنیتی یا آسیب پذیری را نشان دهد. انحرافها را میتوان بر اساس تفاوت گسترده آنها با خط پایه رفتاری علامت گذاری کرد.
تجزیه و تحلیل رفتاری در امنیت سایبری
تجزیه و تحلیل رفتار دارای طیف وسیعی از کاربردها در امنیت سایبری است. یکی از ارزشمندترین منابع در صنعت امنیت سایبری برای تجزیه و تحلیل رفتار، چارچوب MITER ATT&CK است. این چهارچوب دانش صنعت امنیت سایبری از تاکتیکها، روشها و رویههای دشمن (TTP) را نشان میدهد. نگاشت فعالیت در چارچوب MITER ATT&CK به سازمانها این امکان را میدهد که بفهمند چرا عاملان مخرب ممکن است اقدامات خاصی را انجام دهند و چگونه این رفتارها آنها را قادر میسازد به اهداف خود دست یابند. در زیر چند نمونه از کاربردهای آنالیز رفتاری در امنیت سایبری آورده شده است:
- شناسایی تهدیدات داخلی: آنالیز رفتاری به شناسایی فعالیتهای غیرعادی که میتواند نشان دهنده رفتار مخرب از داخل سازمان باشد کمک میکند – توسط کارمندان یا پیمانکاران.
- شناسایی تهدیدهای پایدار پیشرفته (APT): یک APT یک حمله سایبری است که در آن نفوذگر به صورت مخفیانه به شبکه دسترسی پیدا میکند تا دادههای حساس را در مدت زمان طولانی به سرقت ببرد. تجزیه و تحلیل رفتاری میتواند با علامتگذاری الگوهای غیرعادی که ممکن است مورد توجه قرار نگیرند، APT را شناسایی کند.
- تشخیص ناهنجاری و شکار تهدید: با شناسایی الگوهای فعالیتی که از خط پایه رفتاری منحرف میشوند، آنالیز رفتار میتواند به جستجوی فعال تهدیدهای بالقوه کمک بزرگی کند.
- واکنش و بررسی حادثه: پس از یک حادثه، سازمانها از تحلیل رفتاری برای کمک به تجزیه و تحلیل forensic با بررسی ناهنجاریهایی که در زمان حمله رخ دادهاند استفاده میکنند.
اگرچه کاربردهای آنالیز رفتار در امنیت سایبری گسترده است، همچنین با چالشها و محدودیتهایی همراه است:
چالشها و محدودیتهای آنالیز رفتار در امنیت سایبری
نکات مثبت و منفی کاذب
موارد مثبت کاذب – زمانی رخ میدهند که فعالیتهای بیضرر به عنوان مخرب علامتگذاری شوند – میتوانند منجر به هدر رفتن منابع در تحقیقات و کاهش آن شوند. برعکس، منفیهای کاذب – زمانی رخ میدهند که تهدیدهای واقعی شناسایی نشده باشند – می توانند منجر به حوادث امنیتی شوند و به طور کلی اعتماد به سیستم را تضعیف کنند.
نگرانیهای حریم شخصی
تجزیه و تحلیل رفتاری بر مجموعهای جامع از دادههای فعالیت کاربر در شبکههای سازمان متکی است. این میتواند نگرانیهایی را در مورد حفظ حریم شخصی کاربران ایجاد کند. ابزارهای تحلیل رفتاری به طور بالقوه می توانند اطلاعات حساس کاربر را جمع آوری کنند. به همین دلیل، سازمانها باید در مورد نوع دادههایی که جمع آوری میکنند برای رسیدگی به ملاحظات اخلاقی و الزامات انطباق، شفاف و دقیق باشند.
پیچیدگیهای یکپارچه سازی ابزارها
هنگامی که یک سازمان شروع به اجرای آنالیز رفتاری میکند، مجبور به ادغام ابزارهای جدید در زیرساخت امنیتی موجود خواهد بود. یکپارچهسازی ابزار میتواند پیچیده و زمان بر باشد. این کار منابع سازمان را مصرف میکند و خطر شکافهای امنیتی در مرحله انتقال وجود خواهد داشت.
منبع: https://www.crowdstrike.com/cybersecurity-101/secops/behavioral-analytics/
