A Felhasználói Viselkedés Analízis (User Behavior Analytics (UBA) ) a jelen új fegyvere az IT biztonság arzenáljában. lehetőséget nyújt elkövetésében, módjában és irányulásában ismeretlen támadások megelőzésében is.
A 90-es években mielőtt az Al Qaeda féle fenyegetés tudatosult volna, a hírszerző ügynökségek jellemzően az ismert szerveződések, ismert aktivitásáról gyűjtöttek információt, hiszen a finanszírozási útvonalak és kapcsolati hálok rendszere többé-kevésbé átlátható volt.
9/11 után a világ megváltozott, a szélsőségekkel kapcsolatos új fenyegetések jelentek meg, így az ügynökségek erőfeszítései az ezekhez kapcsolódó ismeretek összegyűjtésére fókuszálódtak. Mára azonban, amikor szervezett csoportok helyett ismeretlen egyének, vagy ismeretlen fenyegetést jelentő alkalmi csoportosulások jelennek meg, a korábbi fókuszált adatgyűjtési és elhárítási rendszerek nem, vagy csak kevéssé használhatóak.
Felhasználói Viselkedés Analízis (User Behavior Analytics (UBA)
A módszer jelen új fegyvere az IT biztonságtechnika arzenáljában. Statisztikai módszerekkel keres utalásokat az egyének látható viselkedése és rejtett szándékai között. Szakértők egyetértenek abban, hogy az UBA lehetőséget nyújt az elkövetésében, módjában és irányulásában ismeretlen támadások megelőzésében is.
Az UBA működési fázisai
Adatgyűjtés
A felhasználók tevékenységének jellegzetességei („digitális lábnyomok”) ott maradnak a vállalati infrastruktúrából használt, körülvevő rendszerekben. Az aktivitásuk naplózva lesz, vizsgálati jegyzőkönyvekben szerepel, vagy számos egyéb helyen rögzítésre kerül. Ez nagy mennyiségű valóságosan létező adat, amelyet az első fázisban össze kell gyűjteni.
Felhasználói profil
Az összegyűjtött adatokból az UBA eszközeivel felépíthető az egyénre jellemző tevékenységi bázis ( profil ) amely az egyén „normális működésére” jellemző. Ilyen pl. minden rendszeres aktivitás ideje és tartama, az igénybe vett szolgáltatások sora, a szolgáltatások használati módja stb.
Szűrés
Az UBA gépi tanulási algoritmusai folyamatosan hasonlítják a felhasználók aktuális tevékenységét a rögzített profilokhoz és jelentős eltérés esetében valós időben jelzik a felügyelet felé. Ilyen pl. álnéven nyitott számla, kétes kapcsolattartás, addig nem használt applikációk megnyitása, minden olyan aktivitás, amely jelentősen elüt a felhasználó profiljától.
Beavatkozás
Az adatbázison egyidejűleg futó több szűrő algoritmus a hibaszázalék csökkentésére hivatott, tényleges beavatkozás csak több algoritmus egyidejű bejelzése után történik.
Az UBA működéséhez a lehető legtöbb „digitális lábnyomot” kell begyűjteni, hogy képesek legyünk feltárni a rosszindulatú kapcsolatokat, vagy elejét venni a külső támadásoknak. Minél szélesebb adatbázisból merítünk, annál átfogóbb profilját tudjuk megrajzolni a felhasználónak – itt illeszkedik a rendszerhez a „Big Data” koncepciója – és annál nagyobb a valószínűsége, hogy megtaláljuk azokat az eltéréseket, amelyekből a nyomozás és elhárítás konkrét irányokba elágazhat.
A hivatali dolgozók 5 leggyakoribb viselkedési mintája :
Az emberek munka ritmusa
Az emberek munkanapja nagyságrendileg ugyanolyan. Az esetek 90 százalékában azonos tevékenységek között, figyelmet érdemel egy extrém időpontú bejelentkezés.
Használt applikációk
Legtöbbünk ugyanazokat az applikációkat ( MS Word & Excel, Google Chrome, File Explorer, és néha Paint ) használja a munkája során. De soha nem futtatja a pénzügyesek vagy fejlesztők által használt applikációkat (SAP Jupyter Notebook vagy Emacs). Ez azt jelenti, hogy ezek megnyitása több mint szokatlannak tekinthető.
Fájlok és szerverek hozzáférése
Az alkalmazottak illetőségükön kívül eső fájlok és szerverek megnyitásával és böngészéssel joggal teszik gyanússá viselkedésüket.
Munka környezet
Saját munkakörnyezetében vagy külföldről a céges dolgozó a megszokott sémák szerint használja a testületi laptopját. Ha azonban a tartózkodási helyével nem egyező helyről, vendégként lépnek be laptopjáról a testületi hálózatba, az azonnali beavatkozást igényel.
Billentyűzés dinamikája
Billentyűzésünk módja jellemzően biometrikus jegyeket hordoz. Nem csak a sebessége, ritmusa, de az elkövetett gépelési hibák típusa és gyakorisága is alkalmas az azonosításra. Az alkalmazott profiljában felvett mintához képest történő szignifikáns változás, megkérdőjelezheti a gépelő személyét, vagy lelkiállapotát.
Az UBA erőssége az analizált minta minőségében és mennyiségében rejlik , ami azt jelenti, hogy bármelyik analízis annyit ér, mint az adatbázis, amelyen futtatják.
Forrás:
https://www.sas.com/en_us/insights/articles/risk-fraud/big-data-analytics-tackles-terrorist-threat.html
http://www.cybersecuritytrend.com/topics/cyber-security/articles/422408-behavior-analysis-practice-how-build-an-accurate-picture.htm
Fordította: Ecsedi Ákos
Kapcsolódó cikk:
IT-rendszerek biztonsága, az „emberi tényező”
