אבטחת המידע הרגיש בארגונים מהווה אתגר קשה בכל זמן, ובמיוחד כאשר מדובר בהגנה עליו מפני האיום הפנימי, המהווה כמעט ממחצית ממקרי הפרת הנתונים. מחקר של IBM משנת 2020, העלה כי בשנת 2019 לבדה, כ-60 אחוז מהארגונים שנסקרו חוו יותר מ-20 אירועי סייבר פנים ארגוניים. אירועים כאלו עלולים להתרחש הן כתוצאה מרשלנות של עובדים אך גם מפעילות בזדון של גורם המחזיק בהרשאות גישה פריבלגיות לשרתי הארגון. גורם שכזה יכול להיות עובד, קבלן משנה, לקוח, ספק ועוד.

אחד מההיבטים החשובים ביותר במזעור הסכנות הנובעות מהאיום הפנימי הוא ניתוח התנהגות המשתמשים והישויות, או UEBA –  User and Entity Behavior Analytics. שילוב טכנולוגיית UEBA בתוכנית אבטחת הסייבר של הארגון יכולה לסייע לך לזהות פעילות זדונית לפני שהיא גורמת לנזק.

 במאמר זה אסביר מהי טכנולוגיית UEBA של מערכת EKRAN וכיצד היא פועלת.

מה זה UEBA?

UEBA הנה טכנולוגיה לאיתור וחקירה של פעילות חשודה של משתמשים או יישויות במערכת המחשוב של הארגון. המונח "ישות" בהקשר זה מתייחס בדרך כלל למשתמשי מערכת שאינם אנושיים: רובוטי שירות, כלי אוטומציה ועוד.

במהלך העבודה ברשת הארגון, עובדי הארגון ומשתמשים אחרים משאירים "טביעות רגל" דיגיטליות בכל רחבי המערכת הארגונית: הם ניגשים לקבצים מסוימים בזמנים מסוימים, מתחילים ומסיימים את עבודתם על פי שגרת יום העבודה, מבקרים פחות או יותר באותם אתרים מדי יום וכו'. חריגה משמעותית בהתנהגותם צריכה להרים דגל אדום שכן היא עלולה להוות סימן לפעילות זדונית או לחשבון שנפגע או נפרץ.

מערכת UEBA של EKRAN  מנטרת את התנהגות המשתמשים כדי לקבוע את 'התנהגות הבסיס' של כל משתמש. במקרה שבו קיימת חריגה מההתנהגות הרגילה, מערכת UEBA של EKRAN  מאתרת את החריגה ושולחת התרעה מיידית למנהלי אבטחת המידע בארגון כדי ליידע אותם אודות הפעילות החשודה.

מדוע ארגונים זקוקים ל- UEBA?

 UEBA מסייעת למנהלי אבטחת המידע לאתר פעילות של משתמשים אשר עלולה להוות סיכון למידע חיוני של הארגון, זאת עוד לפני שמתרחש האירוע ונגרם נזק. הבה נסתכל בפירוט על היתרונות העיקריים של מודול UEBA במערכת EKRAN:

• ניתוח אוטומטי. הודות לאלגוריתמים מבוססי הבינה המלאכותית (AI) של EKRAN, מערכת ה- UEBA מסוגלת לנתח מיליוני פעולות של משתמשים המתרחשות תוך פרק זמן קצר ביותר – בתוך שניות בד"כ. יכולת זו מגדילה באופן משמעותי את הסיכויים לאיתור פעילויות חשודות, חריגות ובעלות פוטנציאל נזק.
• איתור של כל פעילות חריגה, בזמן אמת. מערכת UEBA של EKRAN  מסוגלת לאתר פעילות משתמש חריגה כמו הורדה פתאומית של כמויות גדולות של קבצים או גישה לרשתות ארגוניות ממיקום חדש שעלול להוביל לדליפות נתונים או לחשיפה. UEBA וכלי התגובה של EKRAN גם מאפשרים לאנשי אבטחת המידע להגיב לאיומים פוטנציאליים באופן מיידי.
• זיהוי חשבונות שנפגעו. כאשר פצחן (האקר) חודר למערכת הארגונית, סביר להניח שהוא יתנהג אחרת מעובדי הארגון. לדוגמא – האקר בד"כ ינסה להעתיק מידע רגיש ולא לפתוח מסמכים ארגוניים. מערכת ה- UEBA תבחין בהתנהגות חריגה זו ותתריע אודותיה למנהל אבטחת המידע.
• זיהוי מיידי. אירועים של תקיפות סייבר הנגרמים על-ידי גורם פנים ארגוני הפועל עם הרשאות גישה הם בד"כ קשים לגילוי, והתפרסמו מקרים שבהם הפגיעה נמשכה על-פני חודשים ואפילו שנים. גורם הפועל עם הרשאות גישה לעתים נוהג בזדון רק לפרקי זמן קצרים ביותר בכל פעם. תודות ליכולות המתקדמות והרגישות של EKRAN – כאשר פעולות קצרות-מועד אלו חורגות מהשגרה, UEBA תאתר את הפעילות ותשלח התרעה למנהלי אבטחת מידע.
• ניטור של אירוע הפרת נוהלי אבטחת מידע. אירועי סייבר פנים-ארגונים יכולים להיגרם כתוצאה מפעילות זדונית, אך למעשה, במקרים רבים, אירועים כאלו נובעים גם מפעולות המתבצעות בשוגג – כתוצאה מרשלנות  או חוסר תשומת לב. פעולות חד- פעמיות כגון שיתוף סיסמאות באופן החורג מהנוהלים, גישה למערכות ארגוניות מחיבורי Wi-Fi בלתי מאובטחים או הקלקה על הודעות פישינג בדואר אלקטרוני, כל אלו עלולולות להוביל לאירועי הפרת נתונים. תודות למודול ה UEBA  של EKRAN, ניתן להגדיר פתרונות ניטור מקיפים שבכוחם למנוע אירועים שכאלו.

איך עובדת UEBA?

• המערכת עוקבת אחר פעילויות המשתמשים והישויות ואוספת נתונים אודות פעילויות אלו מהיומנים של המערכת.
• המערכת משתמשת בשיטות אנליטיות מתקדמות לניתוח נתוני הפעילות שנאספו.
• המערכת יוצרת 'קו התנהגות משתמש' על ידי מציאת דפוסי התנהגות ומרווחי פעילות וקביעת סטיות שבתוכן התנהגות מוגדרת כמקובלת, נורמלית וחשודה.
• EKRAN בונה קו בסיס של דפוסי ההתנהגות של המשתמשים, ואז משווה אותם להתנהגות של עובדים עם פרופילים דומים (קבוצות עמיתים) בכדי לכוונן ולאתר סטיות אפשריות מהנורמה.
• המערכת משווה את התנהגות המשתמש הנוכחית עם קו הבסיס שנקבע ומחליטה אם מתבצעת חריגה.
• במקרה שמתגלה חריגה, המערכת מעריכה את מידת הסטייה ורמת הסיכון שלה, ושולחת התרעות לאנשי אבטחת המידע בזמן אמת.

תפקוד מערכת UEBA של EKRAN  מבוסס על שני מרכיבים עיקריים:

מערכת UEBA של EKRAN: א. מנטרת ורושמת את פעילות המשתמשים ואוספת נתונים רבים מגורמים התנהגותיים שונים – אתרי אינטרנט שכל משתמש ביקר בהם, יישומים בהם נעשה שימוש באופן תדיר, ניטור קצב ההקלדה של המשתמש ועוד, ו-ב. משלבת יכולות בינה מלאכותית מתקדמות כדי לאתר חריגות.

• UEBA אינה מחשיבה אוטומטית את כל הפעילויות החריגות כחשודות מכיוון שעובדים עשויים לשנות התנהגות מסיבות כמו אופטימיזציה של תהליכים שגרתיים או קבלת אחריות חדשה. כמו כן, יתכנו תקופות של פעילות חריגה כאשר עובדים צריכים לסיים דוחות שנתיים, לעבוד בשעות לא שגרתיות לפני יציאה לחופשה, לפני נסיעות עבודה לחו"ל, ועוד.
• UEBA מעריכה את ההשפעה האפשרית של חריגה מסוימת ומתריעה בפני אנשי אבטחת המידע רק על אירועים שהיא מעריכה כבעלי פוטנציאל נזק גבוה. פעילויות שכאלו יכולות להיות גישה חשודה למידע רגיש, העתקה מאסיבית של קבצים ותיקיות וכד'. לאחר הערכה של מקרים שונים, ניתן לבצע שינוי בהגדרות כדי לכוון את המערכת ולמנוע שיעור גבוה של תוצאות כוזבות.

לסיכום:

מזעור סיכוני סייבר הנובעים מהאיום הפנים-ארגוני מהווה אתגר משמעותי. אחת הגישות המבטיחות ביותר לכך היא קביעת בסיס התנהגות משתמשים וניטור רציף כדי לאתר מיידית כל פעילות חריגה.

 שילוב של כלי ה- UEBA של EKRAN  באסטרטגיית אבטחת המידע של הארגון, מאפשר למקסם משמעותית את הסיכוי לאתר איומים פנים-ארגונים אשר עלולים להוביל לאירועי הפרת נתונים.

לקבלת איפיון מדויין של הטמעת מערכת UEBA של EKRAN בארגון שלך, צרו עמי קשר, ואשמח ללוות אתכם ולגבש עבורכם פתרון אבטחת מידע מיטבי להגנה מפני איומים פנים ארגוניים.

roeis@consist.co.il

054-8016802