Cyberoam User Threat Quotient

هوشمندی امنیتی در شناسایی کاربران خطرساز در یک نگاه

امروزه حملات سایبری بیش از پیش بر کاربران متمرکز شده و آنها را به ضعیف ترین حلقه زنجیر امنیت تبدیل کرده است. آمارها نشان می دهند که بیش از ۸۰ درصد خطرات امنیتی توسط کاربران شبکه بوجود می آیند. طبیعت شبکه به گونه ای است که همواره مقادیر عظیمی از داده را تولید می کند. این داده دارای تعداد قابل توجهی نشانه های مختلف است که به نوعی گویای الگوهایی از رفتار انسان می باشند و می توان از آنها برای پیش بینی و جلوگیری از تهدیدات امنیتی استفاده نمود. با این وجود استخراج این نشانه ها و الگوهای رفتاری و مرتبط کردن آنها با فعالیت های کاربران، امریست که نیازمند مهارت و صرف زمان قابل توجه می باشد. ذکر این نکته ضروریست که یک چنین فرایندی می تواند دستخوش اشتباهات انسانی شده و مواردی در این بین از تیررس دید متخصصان جا مانند. سازمان ها به یک مدل امنیتی نیازمند می باشند که این اطلاعات را بطور کامل جمع آوری کرده و بر مبنای آن به تفسیر ترافیک شبکه بپردازد. ترافیکی که می تواند دربرگیرنده اعمال عامدانه و یا سهوی کاربران باشد.

فناوری UTQ یا به عبارتی سهم تهدید کاربر، اطلاعاتی را که از ترافیک شبکه استخراج شده جمع آوری کرده و الگوهای بخصوص آن را برای شناسایی کاربران خطرساز مورد بررسی قرار می دهد. UTQ در نسل جدید فایروال ها و UTM های سایبروم گنجانده شده و قابل بهره برداری می باشد.

 

بهره گیری از UTQ و شناسایی سریع کاربران خطرساز

UTQ را می توان به عنوان امتیازی در نظر گرفت که به هریک از کاربران شبکه تخصیص داده می شود و با توجه به آن، میزان ریسکی بودن کاربر قابل سنجش است. بر اساس این امتیاز است که مدیران امنیت شبکه می توانند دستورالعمل های لازم را دنبال کرده و برای پیشگیری از تهدیدات احتمالی تمهیدات موثری قائل شوند. برای مثال شاید لازم باشد در پالیسی های تعریف شده تغییراتی دهند یا به آموزش قسمتی از نیروها بپردازند و یا ماشین های آلوده شده را پاکسازی نمایند.

 

گراف UTQ نشانگر کاربرانی با خطر زیاد، متوسط و کم می باشد

سایبروم Cyberoam User Threat Quotient

 

در حال حاظر و در فاز کنونی، فناوری UTQ سایبروم، با آنالیز حجم عظیمی از داده های مجاز یا مسدود شده در ترافیک وب در گروه هایی چون IP آدرس، P2P، فیشینگ و کلاهبرداری، محتوای غیراخلاقی، SPAM URL، جاسوس افزار، سایت های ترجمه URL و غیره، به مطالعه رفتار کاربران در وب می پردازند. گراف UTQ جزئیات رفتار کاربران وب را در اختیار ادمین های IT قرار می دهد.

 

ادمین های IT می توانند با کلیک بر هر یک از حباب ها در گراف  UTQ، اطلاعاتی از جمله وب سایت های مشاهده شده، تعداد تلاش های انجام گرفته و گروه بندی وب سایت را ملاحظه کنند که همگی این داده ها با سهم تهدید هر یک از کاربران مرتبط می باشد.

 

چند مثال از برخی رفتارهای کاربران در وب که منجر به UTQ بالا می شود :

  •  کاربر بدون اینکه مطلع باشد به وب سایت هایی که به بدافزار آلوده اند سر زده و موجب آلودگی دستگاه خود می شود
  • کاربر به سمت وب سایت های فیشینگ و کلاه برداری یا SPAM URL ها هدایت می شود
  • کاربر بجای رفتن به آدرس های URL به سمت IP آدرس ها هدایت می شود
  • کاربر به سمت بازدید از وب سایت های P2P یا وب سایت های ترجمه URL هدایت شده تا روال فعالیتی را کامل کند یا فایروال را دور بزند
  • کاربر به سایت های قمار یا سایت های غیراخلاقی می رود که می تواند پیامدهای قانونی و جریمه های سنگین برای سازمان بهمراه داشته باشد

مواردی که UTQ می تواند به مدیران امنیتی و مسئولان IT یاری رساند:

  •  شناسایی کاربران خطرساز در سریع ترین زمان ممکن بدون نیاز به هیچکونه تلاش برای یافتن ارتباط میان گزارشات و لاگ های شبکه
  • از بین رفتن احتمال اشتباه و جا انداختن هرگونه اطلاعات با ارزش از میان حجم عظیمی از لاگ ها و گزارشات شبکه
  • از بین رفتن پیچیدگی و دشواری آنالیز چندین ترابایت لاگ شبکه برای شناسایی رفتارهای کاربران
  • افزایش سهولت در انجام واکنش های اصلاحی با استفاده از تنظیم پالیسی های مرتبط با کاربران و مدیریت ریسک حاصل از کاربران صاحب مزیت
  • بی نیاز شدن SMB ها از سرمایه گذاری برای ابزارهای SIEM مجزا
  • ایجاد امکان تحقیق و بررسی در مورد نحوه شیوع ریسک در شبکه با بهره گیری از دید عمیق نسبت به فعالیت های کاربران خطرساز
  • فراهم شدن امکان شناسایی و آموزش کاربران توسط ادمین ها