यूईबीए (उपयोगकर्ता और इकाई व्यवहार विश्लेषण) क्या है?
नेटवर्क को सुरक्षित रखने के कई तरीके हैं। सर्वोत्तम तरीकों में आमतौर पर सॉफ़्टवेयर समाधान शामिल होते हैं जो दुर्भावनापूर्ण कोड से लड़ते हैं या बाहर से अनधिकृत पहुंच प्रयासों पर नज़र रखते हैं। तथापि,एक पहलू जिसे अक्सर हल्के में लिया जाता है या यहां तक कि नजरअंदाज कर दिया जाता है, वह है हमलेअंदरनेटवर्क - फ़ायरवॉल के पीछे उपयोगकर्ताओं द्वारा.
यूईबीए टूल्स का उपयोग करके इस प्रकार के हमलों पर अंकुश लगाया जा सकता है।
खैर, यूईबीए क्या है?
उपयोगकर्ता और इकाई व्यवहार विश्लेषण (यूईबीए)यह एक साइबर सुरक्षा प्रक्रिया हैइसमें शामिल है:
- हम सामान्य उपयोग और व्यवहार के डेटा की निगरानी कर रहे हैं।'उपयोगकर्ताओं और संस्थाओं का.
- आधार रेखा निर्धारित करनाइस डेटा का उपयोग कर रहे हैं.
- किसी भी विचलन का पता लगाने के लिए वास्तविक समय में उनकी वर्तमान गतिविधियों पर नज़र रखनाआधार रेखा से.
किसी उपयोगकर्ता या इकाई द्वारा दुर्भावनापूर्ण गतिविधि के किसी भी संकेत को खोजने के लिए इन विचलनों का विश्लेषण किया जाता है।
यूईबीए नेटवर्क इवेंट का लाभ उठाता है- आमतौर पर बड़े डेटासेट को लॉग और ऑडिट ट्रेल्स के रूप में संग्रहीत किया जाता है - नेटवर्क पर उपयोगकर्ताओं और उपकरणों के विशिष्ट और असामान्य व्यवहार को मॉडल करने के लिए।
प्रक्रिया का उपयोग करता हैयंत्र अधिगम,एल्गोरिदम,आंकड़े, औरधमकी भरे हस्ताक्षरों का विश्लेषणपिछले डेटा पर. इसके बाद इसकी तुलना उपयोगकर्ताओं की वर्तमान दिन-प्रतिदिन की गतिविधियों से की जाती है, जिन्हें तब 'सामान्य' या संभावित रूप से वास्तविक के रूप में वर्गीकृत किया जाता है।धमकी“.
उदाहरण के तौर पर, मान लें कि एक उपयोगकर्ता आमतौर पर हर दिन 15MB डेटा डाउनलोड करता है। यदि वे अचानक गीगाबाइट डेटा डाउनलोड करना शुरू कर दें, तो यह मानक से बाहर होगा और एक विचलन के रूप में वर्गीकृत किया जाएगा जिस पर ध्यान देने की आवश्यकता होगी।
इस पद्धति का उपयोग करके जिन कुछ गतिविधियों का पता लगाया जा सकता है उनमें शामिल हैंसाख से समझौता किया गया,पार्श्व गतियाँ, और अन्य दुर्भावनापूर्ण गतिविधियाँ।
यहां समझने वाली एक महत्वपूर्ण बात यह होगीयूईबीए सुरक्षा घटनाओं को ट्रैक नहीं करता है या उपकरणों की निगरानी नहीं करता है. बजाय,यह नेटवर्क पर केंद्रित हैगतिविधियाँजैसे-जैसे उपयोगकर्ता और उपकरण अपना व्यवसाय करते हैं. अतः ऐसा कहा जा सकता हैयह एक उपकरण है जो अंदरूनी सूत्रों - आमतौर पर कर्मचारियों - पर नज़र रखता है जिनकी साख चोरी हो गई है या जानबूझकर दुष्ट हो गए हैं.इसके अलावा, इसका उपयोग उन खाताधारकों को रोकने के लिए किया जाता है जिनके पास पहले से ही पहुंच हैनेटवर्क और उससे जुड़ी संपत्तियों पर लक्षित हमले करने या धोखाधड़ी करने का प्रयास करने से।अंत में, यह एप्लिकेशन, डिवाइस और सर्वर को भी ट्रैक करता हैयह सुनिश्चित करने के लिए कि ये दुर्भावनापूर्ण उपयोगकर्ता उनका शोषण नहीं कर रहे हैं।
यूबीए और यूईबीए के बीच अंतर
यूईबीए से पहले, हमारे पास थायूबीए - उपयोगकर्ता व्यवहार विश्लेषण. यह प्रक्रिया केवल मानवीय पहलू पर केंद्रित थी; यह उपयोगकर्ताओं का ट्रैक रखता था और कुछ नहीं।
अब,यूईबीए ने संस्थाओं को शामिल करने के लिए यूबीए का विस्तार किया हैजैसे राउटर, एंडपॉइंट और सर्वर। इसने एक अधिक मजबूत सुरक्षा उपकरण तैयार कियाउपयोगकर्ता, डिवाइस और आईपी एड्रेस इनपुट को सहसंबंधित करके जटिल हमलों का पता लगाएं.
यह विस्तार तब एक आवश्यकता बन गया जब यह माना गया कि, किसी खतरे की स्थिति में, संस्थाओं का उपयोग सूचना के स्रोत के रूप में भी किया जा सकता है और साथ ही प्रशासकों को खतरों के स्रोतों को सटीक रूप से पहचानने में मदद की जा सकती है।
यह आज और भी अधिक महत्वपूर्ण है क्योंकि हम हर प्रकार के कनेक्टेड डिवाइस के उदय को देख रहे हैं जिसे अब हम '' कहते हैं।इंटरनेट ऑफ थिंग्स' याIoT. जैसे-जैसे इन उपकरणों की संख्या बढ़ती है, वैसे-वैसे हमले के संभावित प्रवेश बिंदुओं की संख्या भी बढ़ती है।
यूईबीए कैसे काम करता है?
यूईबीए प्रक्रिया में नेटवर्क गतिविधियों को विशिष्ट उपयोगकर्ताओं से जोड़ना शामिल हैहार्डवेयर या उनके आईपी पते के बजाय।
डेटा स्रोत आमतौर पर सामान्य डेटा रिपॉजिटरी होते हैं - जैसे लॉग और ऑडिट ट्रेल्स - जिन्हें संग्रहीत किया जाता है डेटा झीलें या डेटा वेयरहाउस . स्रोत डेटा सुरक्षा सूचना और इवेंट प्रबंधन से भी आ सकता है ( सिएम ) औजार।
टिप्पणी: यूईबीए लॉग, पैकेट कैप्चर और समान क्रॉस-संगठनात्मक डेटासेट में जानकारी को एकीकृत करता है जो आमतौर पर एसआईईएम टूल द्वारा कैप्चर किया जाता है। यही कारण है कि यूईबीए और सिएम को अक्सर एक साथ लागू किया जाता है।
मानव और इकाई के व्यवहार की निगरानी का यह अनूठा दृष्टिकोण किसी भी असामान्य गतिविधियों की स्पष्ट तस्वीर पेश करता है, जिसे पारंपरिक परिधि निगरानी उपकरणों द्वारा चिह्नित करना तो दूर, ध्यान भी नहीं दिया जा सकता है। इसके अलावा, यहां तक कि थोड़ी सी भी विचलन को खतरे की चेतावनी ट्रिगर करने के लिए कॉन्फ़िगर किया जा सकता है, जिससे प्रशासकों को यह निर्णय लेने की अनुमति मिलती है कि क्या यह वास्तव में खतरे का प्रारंभिक संकेत है।
विश्लेषण के लिए उपयोग किए जाने वाले डेटा में निम्न जानकारी शामिल होती है:
- जहां से उपयोगकर्ता लॉग इन करता है
- वे फ़ाइलें, एप्लिकेशन और सर्वर जिनका वे नियमित रूप से उपयोग करते हैं
- उन्हें जो भूमिकाएँ और विशेषाधिकार सौंपे गए हैं
- पहुंच का स्थान, आवृत्ति और समय
- एक्सेस के लिए उपयोग की जाने वाली कनेक्टिविटी या IoT डिवाइस
यूईबीए इन इनपुट का उपयोग गैर-मैलवेयर-आधारित हमलों की पहचान करने, खतरे के स्तर का आकलन करने, जोखिम स्कोर बनाने और यह तय करने के लिए करता है कि इसे प्रशासकों के ध्यान में लाया जाना चाहिए या नहीं। उपकरण उन्हें उचित प्रतिक्रिया की दिशा में मार्गदर्शन करने में भी मदद कर सकता है।
इस डेटा का उपयोग करके, यूईबीए एक अपराधी को पकड़ सकता है, जिसने उदाहरण के लिए, उपयोगकर्ता के खाते तक पहुंच प्राप्त कर ली है क्योंकि वे अपने पीड़ितों की गतिविधियों का सटीक अनुकरण करने में सक्षम नहीं होंगे।
यूईबीए का दायरा क्या है? या, यह किसकी रक्षा कर सकता है?
के अलावाकिसी संगठन के नेटवर्क के भीतर से हमले,यूईबीए उन क्लाउड परिसंपत्तियों की भी निगरानी कर सकता है जिन्हें गतिशील रूप से प्रावधानित किया गया है या दूरस्थ रूप से एक्सेस किया गया है- कुछ ऐसा जो पारंपरिक सुरक्षा उपकरणों का उपयोग करके करना कठिन होगा, मुख्य रूप से यदि उन्हें स्थानीय नेटवर्क के भीतर, परिसर में लागू किया गया हो।
यूईबीए किन विशेषताओं पर गौर करता है?
एक अच्छा UEBA टूल होगाकई विशेषताओं की निगरानी करेंइसे संदिग्ध गतिविधियों को तुरंत और सटीक रूप से पहचानने और सचेत करने में मदद करने के लिए।इसके अलावा, सुविधाओं का संयोजन एक अधिक समावेशी आधार रेखा की अनुमति देगा जो कई मानवीय विशेषताओं को कवर करती है,जिससे मूर्ख बनाना कठिन हो जाएगा।
मॉनिटर करने के लिए कुछ आवश्यक विशेषताओं में शामिल हैं:
- संचारइसमें उन लोगों को ट्रैक करने के लिए ईमेल, चैट और वीओआईपी डेटा पर नज़र रखना शामिल है जिनके साथ उपयोगकर्ता बातचीत कर रहे हैं।
- प्रणाली- उनके डिजिटल पदचिह्न और कनेक्ट होने पर वे कैसे व्यवहार करते हैं, यह जानकारी का एक मूल्यवान स्रोत है जिसे एंडपॉइंट, ब्राउज़र, साझा फ़ाइलों और लॉग-इन आदतों से निकाला जा सकता है; इस डेटा को सिएम से भी हटाया जा सकता है।
- मानव संसाधन- प्रत्येक संदिग्ध गतिविधि के पीछे की प्रेरणा और यह एक दुर्भावनापूर्ण प्रयास क्यों हो सकता है, इसका पता एचआर कर्मचारी प्रदर्शन समीक्षा और सक्रिय निर्देशिका (एडी) से लगाया जा सकता है।
- भौतिक जगह की जानकारी- परिसर के चारों ओर भौतिक गतिविधियों पर नज़र रखने से बहुमूल्य जानकारी मिल सकती है; इसे बैज डेटा, लॉगिन स्थानों और यात्रा इतिहास की निगरानी करके निकाला जा सकता है।
जैसा कि हम देख सकते हैं, इन सभी डेटासेट को एक साथ लाने से उपयोगकर्ता, उनकी गतिविधियों और - यदि लागू हो - उनके दुर्भावनापूर्ण इरादों के बारे में एक स्पष्ट तस्वीर सामने आ सकती है।
आधार रेखा कैसे बनाई जाती है?
एक प्रश्न जो यहां पूछे जाने की आवश्यकता है वह यह है कि आधार रेखा कैसे बनाई जाए जो उपयोगकर्ता पर नज़र रखने में मदद करेगी। खैर, कुछ कदम उठाने होंगे:
- उपयोग के मामलों को परिभाषित करना- शुरू से ही यह स्पष्ट होना चाहिए कि क्या ट्रैक किया जाएगा। उदाहरणों में दुर्भावनापूर्ण उपयोगकर्ताओं, समझौता किए गए खातों, ज्ञात सुरक्षा खतरों या सभी के संयोजन का पता लगाना शामिल होगा।
- डेटा स्रोतों को परिभाषित करना- यहां वह जगह है जहां प्रत्येक उपयोगकर्ता के व्यवहार संबंधी प्रोफाइल बनाने के लिए डेटा की उत्पत्ति निर्धारित की जाती है। स्रोतों के उदाहरणों में लॉग, ईमेल, सोशल मीडिया प्लेटफ़ॉर्म, एचआर समीक्षा रिपोर्ट, नेटवर्क डेटा पैकेट प्रवाह और एसआईईएम शामिल हैं।
- निगरानी के लिए व्यवहारों को परिभाषित करना- यूईबीए समाधान में यथासंभव अधिक से अधिक विशेषताओं को शामिल किया जाना चाहिए। यहीं पर विवरण का वर्णन किया गया है। ये कार्यालय समय, टाइपिंग गति, कॉर्पोरेट एप्लिकेशन और एक्सेस किए गए डेटा, विज़िट की गई वेबसाइटें, माउस डायनेमिक्स और गैर-आईटी डेटा जैसे कर्मचारी नौकरी संतुष्टि स्तर के बारे में एचआर इनपुट हो सकते हैं।
- आधारभूत स्थापना समय को परिभाषित करना- हालाँकि कर्मचारी आम तौर पर दिन-ब-दिन एक ही कार्य करते हैं, पेरोल दिन, बजट समापन सप्ताह, या फ्लू का मौसम जैसे बाहरी कारक कार्य दिवस में आदत में बदलाव ला सकते हैं। आधारभूत कार्यक्रम की योजना बनाते समय इन कारकों को ध्यान में रखा जाना चाहिए और इनसे बचा जाना चाहिए। डेटा संग्रह में एक सप्ताह से लेकर 90 दिनों तक का समय लग सकता है, जिसके दौरान यूईबीए उपयोगकर्ताओं के बारे में 'सीखता है' और एक आधार रेखा स्थापित करता है। प्रशासकों के पास यह सुनिश्चित करने के लिए भी पर्याप्त समय होना चाहिए कि आधार रेखाएँ वास्तव में समझदार हैं।
- नीतियों को परिभाषित करना और प्रशिक्षण प्रदान करना- एक बार जब यूईबीए समाधान उपयोग के लिए तैयार हो जाए, तो सुरक्षा नीतियां लागू की जानी चाहिए और उपयोगकर्ताओं को उनके बारे में जागरूक किया जाना चाहिए। जहां आवश्यक हो, यह सुनिश्चित करने के लिए प्रशिक्षण दिया जाना चाहिए कि हर कोई जानता है कि उस जानकारी तक क्या और कैसे पहुंचना है जिसके बारे में जानकारी रखने के लिए वे ही अधिकृत हैं। अंत में, सभी को इसमें शामिल किया जाना चाहिए - मानव संसाधन, कानूनी विभाग, प्रशासक, सुरक्षा दल और स्वयं उपयोगकर्ता।
- एक परीक्षण अवधि- किसी भी प्रणाली को उत्पादन में लाने से पहले परीक्षण अवधि से गुजरना चाहिए। यही बात यूईबीए पर भी लागू होती है। परीक्षण अवधि के दौरान, बग और विसंगतियों को देखा जा सकता है और उन्हें दूर किया जा सकता है।
- गो-लाइव और निगरानी- एक बार यूईबीए लाइव हो जाने पर, यह सुनिश्चित करने के लिए कि सभी सिस्टम उम्मीद के मुताबिक प्रदर्शन कर रहे हैं, करीबी निगरानी की आवश्यकता होती है। पहले कुछ महीनों के दौरान बदलाव और सुधार आवश्यक हो सकते हैं। कुल मिलाकर, आधार रेखा को संगठन में पेश की गई किसी भी नई विशेषताओं जैसे नए शेड्यूल, सुरक्षा प्रणाली उन्नयन और कर्मचारी स्थानांतरण को पूरा करने के लिए समायोजित किया जाना चाहिए।
यूईबीए के तीन स्तंभ
अब तक हमने जो जानकारी देखी है, उसके आधार पर अब हम यूईबीए के तीन स्तंभों को परिभाषित कर सकते हैं। ये स्तंभ निर्धारित करते हैंUEBA क्या करता है,यह कैसे करता है, औरपरिणाम.
इसलिए, गार्टनर के अनुसार, यूईबीए समाधान तीन आयामों में परिभाषित हैं:
- बक्सों का इस्तेमाल करें- यूईबीए समाधान कॉर्पोरेट नेटवर्क पर उपयोगकर्ताओं और संस्थाओं द्वारा दुर्भावनापूर्ण गतिविधियों की निगरानी, पता लगाता है और रिपोर्ट करता है। उदाहरण के लिए, उन्हें विश्वसनीय होस्ट निगरानी, धोखाधड़ी का पता लगाने और कर्मचारी निगरानी के विश्लेषण में भी प्रासंगिक रहना चाहिए।
- डेटा स्रोत- डेटा एकत्र करने में सक्षम होने के लिए यूईबीए समाधान को सीधे नेटवर्क पर या यहां तक कि आईटी वातावरण में भी तैनात नहीं किया जाना चाहिए। इसके बजाय, इसे डेटा रिपॉजिटरी जैसे डेटा लेक, डेटा वेयरहाउस या एसआईईएम के माध्यम से डेटा निकालना चाहिए।
- एनालिटिक्स- यूईबीए समाधानों को विभिन्न विश्लेषणात्मक दृष्टिकोणों का उपयोग करके विसंगतियों का पता लगाना चाहिए जिसमें मशीन लर्निंग, नियम, सांख्यिकीय मॉडल, खतरे के हस्ताक्षर और बहुत कुछ शामिल हैं।
यूईबीए के क्या फायदे हैं?
अब जब हमने परिभाषित कर लिया है और देख लिया है कि यूईबीए समाधान क्या कर सकता है, तो आइए तालिका में इससे होने वाले फायदों पर एक नजर डालें:
- यह मुख्य रूप से एक उपकरण है जो कई अंदरूनी साइबर हमलों को रोकने में मदद कर सकता हैजैसे कि समझौता किए गए खाते, क्रूर-बल के हमले, नए खातों का अनधिकृत निर्माण और डेटा उल्लंघन।
- इसमें एक ऐसा दायरा शामिल है जिसे ज्यादातर संगठन आमतौर पर नजरअंदाज कर देते हैंएंटी-वायरस या एंटीमैलवेयर समाधान जैसे पारंपरिक उपकरणों द्वारा ट्रैक नहीं किया जा सकता - अंदरूनी ख़तरा।
- यूईबीए की तैनाती से सुरक्षा विश्लेषकों की संख्या में कटौती होती हैजिन्हें कॉर्पोरेट नेटवर्क को सुरक्षित रखने की आवश्यकता है; ये समाधान स्वचालित हैं, चौबीसों घंटे काम करते हैं और वास्तविक समय में अलर्ट भेजते हैं।
- यूईबीए समाधान बजट और ओवरहेड को कम कर सकता हैकिसी संगठन की साइबर सुरक्षा रखरखाव के लिए आवश्यक है।
- प्रशासकों द्वारा बड़ी मात्रा में गतिविधि डेटा को मैन्युअल रूप से छानने के कारण होने वाली मानवीय त्रुटि से बचा जा सकता है; खतरे का विश्लेषण और शमन मिनटों में, वास्तविक समय में और सटीक रूप से किया जा सकता है।
- यूईबीए एक अद्वितीय सुरक्षा दृष्टिकोण है जिसमें कई सिस्टम और डेटा स्रोतों को अपनाना शामिल हैऔर पूर्वनिर्धारित सहसंबंध नियमों या हमले के पैटर्न पर नज़र रखने के अनुरूप नहीं;एआई हमेशा सीख रहा है.
क्या यूईबीए का उपयोग करने के कोई नुकसान हैं?
यह कहना अनुचित होगा कि यूईबीए को लागू करने में कोई नुकसान नहीं है। और इसलिए, वे यहाँ हैं:
- यूईबीए अधिक जटिल डेटा उत्पन्न करता हैऔसत, पारंपरिक सुरक्षा समाधान की तुलना में। इसलिए,इसके लिए एक प्रशिक्षित पेशेवर की आवश्यकता होती हैसिस्टम को लागू करना, चलाना और निगरानी करना। गलत-सकारात्मक परिणामों के कारण निष्कर्ष पर पहुंचने से बचने के लिए विश्लेषण में भी एक सीखी हुई नजर की आवश्यकता होती है।
- हालाँकि यह एक सुरक्षा प्रणाली है,यह किसी सिस्टम को पूरी तरह से अपने आप सुरक्षित रखने के लिए पर्याप्त नहीं है. याद करना,यह केवल मानव और इकाई के व्यवहार को ट्रैक करता हैऔर कुछ नहीं। कुछ संगठन इसे एक कमी के रूप में देख सकते हैं, खासकर जब वे अतिरिक्त सुरक्षा सॉफ़्टवेयर की आवश्यकता पर विचार करते हैं - लेकिन ऐसा नहीं है। इसका उद्देश्य केवल हमलों को रोकना नहीं है - केवल दुर्भावनापूर्ण आंतरिक उपयोगकर्ताओं को सचेत करना है।
यूईबीए कार्यान्वयन सर्वोत्तम अभ्यास
सफल यूईबीए कार्यान्वयन का लक्ष्य रखते समय विचार करने योग्य कुछ बिंदु यहां दिए गए हैं:
- हमेशा नेटवर्क के भीतर और बाहर दोनों से खतरों पर विचार करें- सभी नीतियों, नियमों और आधार रेखाओं को कहीं भी स्थित उपयोगकर्ताओं पर विचार करना चाहिए।
- सभी खातों पर विचार किया जाना चाहिए- याद रखें, हैकर्स अपनी पहुंच क्षमताओं को बढ़ाने के लिए हमेशा अपने विशेषाधिकारों को अपग्रेड कर सकते हैं।
- यूईबीए को उपयुक्त सुरक्षा दल के सदस्यों को भेजा जाना चाहिए- उदाहरण के लिए, स्वयं उपयोगकर्ताओं या अन्य अनधिकृत कर्मियों के पास वापस नहीं।
- जैसा कि हमने ऊपर देखा है, यूईबीए का दायरा सीमित है- प्रशासकों को अपना ध्यान अन्य पारंपरिक सुरक्षा उपकरणों से नहीं हटाना चाहिए।
- सभी उपयोगकर्ताओं को प्रशिक्षित करेंझूठी सकारात्मकता या अनजाने ट्रिगर अलर्ट को कम करने के लिए।
- भी,ट्रेन सुरक्षा कर्मचारीग़लत निष्कर्षों पर पहुँचने से बचने के लिए विश्लेषणों को सही ढंग से पढ़ें।
यूईबीए एक आवश्यकता है
अंत में, हमें यह कहना होगा कि बौद्धिक संपदा की चोरी, प्रौद्योगिकी लीक, हैक और डेटा उल्लंघनों की आज की दुनिया में यूईबीए समाधान अपनाना एक आवश्यकता है - यह सब अंदर से किया जाता है। यह हमेशा कहा गया है कि उपयोगकर्ता थे सबसे कमजोर कड़ी साइबर सुरक्षा में. दुर्भावनापूर्ण इरादे रखने वाले कर्मचारियों के साथ उस जानकारी को संयोजित करने से यह देखना आसान हो जाता है कि हमें इस प्रकार के समाधानों की आवश्यकता क्यों है।
इसलिए, यूईबीए समाधानों की मदद से कॉर्पोरेट डेटा को सुरक्षित रखना समझ में आता है। क्या करना हैआपसोचना? हमें बताइए; हमें एक टिप्पणी छोड़ें.