Kullanıcı Davranış Analizi
15.12.2020Kullanıcı Davranış Analizinin ana odak noktası, anormal kullanıcı etkinlikleridir. Örneğin, son 15 dakika içinde tek bir kullanıcının 100 dosya değiştirmesi anormal bir durumdur.
Kullanıcı Davranış Analizi, kullanıcının ne yaptığına odaklanır: başlatılan uygulamalar, ağ etkinliği ve erişilen en kritik dosyalar (dosyaya veya e-postaya dokunulduğunda, ona kim dokundu, onunla ne yapıldı ve ne sıklıkla yapıldı) ile ilgilenir. Kullanıcı Davranış Analizinin ana odak noktası, anormal kullanıcı etkinlikleridir. Örneğin, son 15 dakika içinde tek bir kullanıcının 100 dosya değiştirmesi anormal bir durumdur.
Kullanıcı Davranışı Analizi, saldırıları önlemek ve tehditleri araştırmak için çok katmanlı, entegre bir bilgi güvenliği stratejisinin parçasıdır. Güvenlik ihlallerini erken tespit etmek, riski azaltmak ve bir saldırganın, bir kuruluşun verilerini çalmasını engellemek için inanılmaz derecede güçlü bir araç olabilir.
Kullanıcı ve Varlık Davranış Analitiği Nedir?
Kullanıcı Davranış Analitiği olarak da bilinen Kullanıcı ve Varlık Davranışı Analizi, kullanıcıların her gün ürettikleri ağ olaylarına ilişkin içgörü toplama sürecidir. Toplandıktan ve analiz edildikten sonra, güvenliği ihlal edilmiş kimlik bilgilerinin kullanımını, yanal hareketi ve diğer kötü niyetli davranışları tespit etmek için kullanılabilir.
Kullanıcı Davranış Analizi Nasıl İşler?
Kullanıcı Davranış Analizi, potansiyel bir tehdidin, bir çalışan gibi davranan dış taraf mı yoksa ihmal veya kötü niyetle bir tür risk oluşturan gerçek bir çalışan mı olduğunu daha kolay belirlemenizi sağlar. Kullanıcı Davranış Analizi, bir IP adresi veya bir varlığın aksine, ağdaki etkinliği belirli bir kullanıcıya bağlar. Bu, bir kullanıcı alışılmadık veya olası olmayan bir şekilde davranmaya başlarsa, geleneksel çevre izleme araçları tarafından işaretlenmemiş olsa bile, davranışı hızlı bir şekilde tespit edebileceğiniz, anormal olup olmadığını belirleyebileceğiniz ve bir araştırma başlatabileceğiniz anlamına gelir.
Örneğin, çalıntı kimlik bilgisi, sızma testleri ve gerçek suçlular tarafından kullanılan bir saldırı vektörüdür. Suçlu kimlik bilgilerini kimlik avı saldırıları, kötü amaçlı yazılım, anahtar kaydı ve hatta üçüncü taraf bir veri ihlali yoluyla elde etse de, tek ihtiyaç duydukları tek bir doğru kullanıcı adı ve parola kombinasyonudur; oturum açabildiklerinde, algılanmadan bir ağ içinde sessizce hareket edebilirler. Ancak, bir saldırgan içeri girdikten sonra, genellikle normal bir kullanıcının aksine hareket etmeye başlar. Davetsiz misafir, genellikle "saldırı" veya "zincir öldürme" olarak adlandırılan şeyde adım adım ilerleyerek, baskın yapılacak daha ilginç hedefler ve dışarı sızacak veriler arar.
Bir ağda ne tür bir kullanıcı davranışının normal olduğunu ve neyin olmadığını temel alma yeteneği kritiktir. Kullanıcı Davranışı Analizi, eğilimleri belirlemeniz ve aykırı değerleri kolayca tespit etmeniz için size veri sağlar, böylece potansiyel tehditleri daha kolay ve daha hızlı bir şekilde belirleyip inceleyebilir ve saldırı zincirini kırabilirsiniz.