امنیت سنتی یک فرض اشتباه داشت: اگر کسی نام کاربری و رمز عبور درستی وارد کند، مجاز است. اما واقعیت تهدیدات مدرن این فرض را کاملاً خلافثابت کرده. مهاجمان اعتبارنامهها را میدزدند. کارمندان ناراضی از دسترسی قانونیشان سوءاستفاده میکنند. حسابهای معتبر تسخیر میشوند. سؤال دیگر این نیست که «آیا این کاربر مجاز است؟» — سؤال این است که «آیا این کاربر طبق معمول رفتار میکند؟»
User Behavior Analytics یا UBA دقیقاً همین سؤال را میپرسد. UBA یک رویکرد امنیتی است که با تحلیل الگوهای رفتاری کاربران — زمان ورود، موقعیت جغرافیایی، حجم داده مورد دسترسی، دستگاه مورد استفاده، و صدها سیگنال دیگر — یک خط پایه (Baseline) رفتاری برای هر کاربر میسازد و هر انحراف معنادار از این خط را بهعنوان یک تهدید بالقوه شناسایی میکند.
این مقاله جامعترین راهنمای فارسیزبان UBA است: از معماری فنی و الگوریتمهای یادگیری ماشین تا ادغام با IAM، نقش استاندارد FIDO در تقویت UBA، و کاربردهای عملی در شناسایی تهدیدات داخلی و خارجی.
حتما بخوانید
اگر میخواهید ابتدا درک جامعی از اکوسیستم مدیریت هویت و دسترسی داشته باشید که UBA در بستر آن معنا پیدا میکند، پیشنهاد میکنیم راهنمای کامل مدیریت هویت و احراز هویت: از تعاریف تا معماری عملی را بخوانید.
UBA چیست و چرا رویکردهای قدیمیتر کافی نیستند؟
برای سالها، تیمهای امنیتی روی دو ابزار اصلی تکیه میکردند: فایروال که ترافیک ورودی و خروجی را کنترل میکرد، و سیستمهای SIEM که لاگهای امنیتی را جمعآوری و آنالیز میکردند. این رویکردها یک مشکل اساسی داشتند: آنها عمدتاً بر پایه قوانین از پیش تعریفشده کار میکردند. اگر یک رفتار مخرب با هیچ قانون شناختهشدهای تطابق نداشت، از دید آنها پنهان میماند.
UBA یا تحلیل رفتار کاربران، این محدودیت را با رویکردی کاملاً متفاوت رفع میکند. به جای پرسیدن «آیا این رفتار با یک قانون شناختهشده مطابقت دارد؟»، میپرسد «آیا این رفتار با الگوی معمول این کاربر خاص مطابقت دارد؟» این تغییر در پرسش، تغییری بنیادی در توانایی شناسایی تهدیدات ایجاد میکند.
تفاوت UBA و UEBA: کاربران در کنار موجودیتها
UBA (User Behavior Analytics) در اصل روی رفتار کاربران انسانی تمرکز داشت. با گذشت زمان و گسترش اکوسیستمهای IT، این رویکرد به UEBA (User and Entity Behavior Analytics) تکامل پیدا کرد که علاوه بر کاربران، رفتار «موجودیتها» (Entities) — یعنی دستگاهها، سرورها، اپلیکیشنها، و حسابهای سرویس — را هم تحلیل میکند.
این تکامل منطقی است. در یک حمله پیچیده، مهاجم ممکن است از یک حساب سرویس برای حرکت جانبی (Lateral Movement) در شبکه استفاده کند — نه از یک حساب کاربری انسانی. UEBA میتواند این نوع رفتار غیرعادی را هم شناسایی کند. در ادامه این مقاله وقتی از «UBA» صحبت میکنیم، اغلب هر دو مفهوم را در بر میگیریم، چون در کاربردهای مدرن این دو تقریباً همیشه با هم استفاده میشوند.
چرا تهدیدات هویتی در حال افزایش هستند؟
گزارشهای امنیتی سالهای اخیر یک روند نگرانکننده را نشان میدهند: بیش از ۸۰ درصد نقضهای موفق داده از طریق اعتبارنامههای بهخطرافتاده انجام میشوند. مهاجمان دیگر لزوماً دیوار را نمیشکنند — آنها از در جلو با کلید دزدیدهشده وارد میشوند. این تغییر در تاکتیکهای حمله، ابزارهایی را که صرفاً روی مرزهای شبکه تمرکز دارند ناکافی کرده است.
چطور UBA کار میکند؟ معماری و فرآیند فنی
درک معماری فنی UBA برای تیمهایی که قصد پیادهسازی یا ارزیابی این فناوری را دارند، ضروری است. یک سیستم UBA در چهار مرحله اصلی عمل میکند که هر کدام نقش کلیدی در دقت نهایی سیستم دارند.
مرحله اول: جمعآوری و یکپارچهسازی داده
UBA برای ساخت پروفایل رفتاری کاربران به دادههای متنوعی نیاز دارد. این دادهها از منابع متعددی جمعآوری میشوند: لاگهای احراز هویت از سیستم IAM، رویدادهای دسترسی به فایلها و پایگاههای داده، ترافیک شبکه، لاگهای اپلیکیشنهای SaaS، رویدادهای endpoint (کامپیوترهای کاربران)، و دادههای HR مانند ساعات کاری و سطح دسترسی مجاز.
کیفیت و تنوع این دادهها مستقیماً روی دقت سیستم UBA تأثیر میگذارد. یک سیستم UBA که فقط به لاگهای ورود دسترسی داشته باشد، بسیار کمتر از سیستمی قادر به شناسایی تهدید است که دادههای کاملتری از رفتار کاربران در تمام نقاط تماس دیجیتال دارد.
مرحله دوم: ساخت Behavioral Baseline
پس از جمعآوری داده کافی — معمولاً بین ۱۴ تا ۳۰ روز — سیستم UBA شروع به ساخت «خط پایه رفتاری» برای هر کاربر میکند. این Baseline شامل الگوهایی مانند زمانهای معمول ورود و خروج، دستگاهها و مرورگرهای معمول، موقعیتهای جغرافیایی رایج، حجم معمول دانلود و دسترسی به داده، و اپلیکیشنهای معمولاً استفادهشده میشود.
نکته مهم این است که Baseline برای هر کاربر به صورت منفرد ساخته میشود. یک برنامهنویس که هر روز حجم زیادی از کدها را دانلود میکند، یک Baseline کاملاً متفاوت از یک حسابدار دارد که عمدتاً با صفحهگسترده کار میکند. این شخصیسازی است که UBA را از قوانین ثابت قدیمی متمایز میکند.
نقش Peer Group Analysis در دقت Baseline
یکی از تکنیکهای پیشرفته در ساخت Baseline، «تحلیل گروه همتا» (Peer Group Analysis) است. سیستم UBA علاوه بر Baseline فردی، کاربران مشابه — مثلاً همه مدیران فروش در یک منطقه جغرافیایی — را گروهبندی میکند و الگوهای گروهی هم برای شناسایی انحراف استفاده میشوند.
این رویکرد در شناسایی تهدیداتی که به آرامی اتفاق میافتند بسیار مؤثر است. مهاجمی که بهتدریج سطح دسترسی خود را بالا میبرد ممکن است از Baseline فردی منحرف نشود — اما وقتی رفتارش با گروه همتا مقایسه شود، ناهنجاری آشکار میشود.
مرحله سوم: تشخیص ناهنجاری با یادگیری ماشین
قلب فنی UBA، موتور تشخیص ناهنجاری (Anomaly Detection) است. این موتور از الگوریتمهای یادگیری ماشین برای مقایسه رفتار جاری با Baseline استفاده میکند و ناهنجاریهای معنادار را شناسایی میکند.
الگوریتمهای رایج در UBA شامل چند دسته اصلی هستند. الگوریتمهای Clustering مانند K-Means و DBSCAN کاربران با رفتار مشابه را گروهبندی میکنند و کسانی که به هیچ گروهی تعلق ندارند را بهعنوان ناهنجار علامتگذاری میکنند. الگوریتمهای Classification مانند Random Forest و Gradient Boosting رفتارها را به دستههای «عادی» و «مشکوک» تقسیم میکنند. شبکههای عصبی و LSTM بهخصوص برای تشخیص ناهنجاری در سریهای زمانی — مثلاً الگوی ورود در طول یک ماه — بسیار مؤثر هستند.
مرحله چهارم: امتیازدهی ریسک و اولویتبندی هشدار
هر رویداد ناهنجاری شناساییشده یک امتیاز ریسک (Risk Score) دریافت میکند. این امتیاز بر اساس چند عامل محاسبه میشود: شدت انحراف از Baseline، ترکیب چند ناهنجاری با هم، اهمیت منابعی که کاربر به آنها دسترسی داشته، و زمینه (Context) — مثلاً آیا کاربر پیش از این از این کشور ورود داشته؟
امتیازدهی ریسک برای کاهش «خستگی هشدار» (Alert Fatigue) حیاتی است. یک سیستم UBA که هر رفتار کمی متفاوت را هشدار بدهد، خیلی زود توسط تیم امنیت نادیده گرفته میشود. امتیازدهی هوشمند باعث میشود تیم امنیت روی هشدارهای واقعاً پرریسک تمرکز کند.
سیگنالهای کلیدی که UBA تحلیل میکند
UBA دهها نوع سیگنال رفتاری را ردیابی میکند. درک این سیگنالها به تیمهای امنیتی کمک میکند بفهمند یک سیستم UBA دقیقاً «چه چیزی» را نگاه میکند.
سیگنالهای مبتنی بر هویت و احراز هویت
احراز هویت اولین و مهمترین نقطهای است که UBA بررسی میکند. ورود از یک آدرس IP جدید، استفاده از دستگاه ناشناس، تلاش برای ورود در ساعات غیرمعمول، تلاشهای ناموفق متعدد پیش از ورود موفق، و ورود از دو موقعیت جغرافیایی که از نظر زمانی ممکن نیستند (Impossible Travel) — همه اینها سیگنالهایی هستند که UBA به آنها توجه ویژه دارد.
الگوی «Impossible Travel» یکی از واضحترین نشانههای Account Takeover است: اگر یک کاربر ساعت ۱۰ صبح در تهران وارد سیستم شده و ساعت ۱۱ صبح در لندن ورود جدیدی وجود داشته باشد، فیزیکاً ممکن نیست همان کاربر باشد.
سیگنالهای مربوط به دسترسی به داده
رفتار کاربر در هنگام دسترسی به دادهها یک منبع غنی از اطلاعات برای UBA است. دانلود ناگهانی حجم زیادی از دادههای حساس، دسترسی به منابعی که کاربر معمولاً با آنها کاری ندارد، Exfiltration تلاش برای انتقال داده به خارج از سازمان، و تغییر یا حذف فایلهای حساس بهویژه در ساعات شبانه — همه اینها الگوهایی هستند که UBA به دقت ردیابی میکند.
سیگنالهای Privilege Escalation و حرکت جانبی
دو الگوی بسیار خطرناک که UBA بهخصوص برای شناسایی آنها طراحی شده، «ارتقاء سطح دسترسی» (Privilege Escalation) و «حرکت جانبی» (Lateral Movement) هستند.
Privilege Escalation زمانی اتفاق میافتد که یک کاربر — یا مهاجمی که حساب آن را تسخیر کرده — سعی میکند به منابعی دسترسی پیدا کند که فراتر از سطح مجازش هستند. Lateral Movement به حرکت مهاجم در داخل شبکه سازمان پس از ورود اولیه اشاره دارد — تلاش برای دسترسی به سیستمهای دیگر با استفاده از اعتبارنامههای بهدستآمده.

کاربردهای عملی UBA در سازمان
UBA در چندین حوزه کاملاً متفاوت ارزش عملی ایجاد میکند. هر کدام از این کاربردها یک چالش امنیتی واقعی را که سازمانها با آن دستوپنجه نرم میکنند، رفع میکند.
شناسایی تهدیدات داخلی (Insider Threats)
تهدید داخلی — یعنی آسیبرسانی توسط کارمندان، پیمانکاران، یا شرکای تجاری که دسترسی مجاز دارند — یکی از دشوارترین چالشهای امنیت سایبری است. پیش از UBA، شناسایی این نوع تهدید تقریباً غیرممکن بود، چون این افراد از دسترسی قانونی خود استفاده میکردند.
UBA این تهدید را از زاویه متفاوتی میبیند. یک کارمندی که قرار است سازمان را ترک کند و شروع به دانلود حجم زیادی از اسناد حساس میکند، یا کارمندی که ناگهان به دادههای مشتریان یک منطقه دیگر — که هیچ ربطی به کارش ندارد — دسترسی پیدا میکند، یک Baseline رفتاری ناهنجار دارد. UBA این انحراف را شناسایی میکند حتی اگر هیچ قانون از پیشتعریفشدهای نقض نشده باشد.
ادغام با دادههای HR برای دقت بیشتر
یکی از روشهای مؤثر برای بهبود دقت UBA در شناسایی Insider Threats، ادغام با سیستمهای HR است. وقتی UBA بداند که یک کارمند اعلام استعفا کرده، یا در روند ارزیابی منفی است، یا در بخشی است که قرار است ادغام شود — میتواند دقت نظارت بر آن کارمند را افزایش دهد. این رویکرد باید با سیاستهای حریم خصوصی سازمان تنظیم شود، اما از نظر فنی یکی از قویترین روشهای پیشگیری از Insider Threat است.
شناسایی Account Takeover
Account Takeover یا «تسخیر حساب» یکی از رایجترین تهدیدات هویتی است. مهاجم اعتبارنامههای یک کاربر را از طریق Phishing، Credential Stuffing، یا خرید از Dark Web به دست میآورد و با آنها وارد سیستم میشود.
UBA این نوع تهدید را از طریق مقایسه رفتار «مهاجم» با Baseline کاربر واقعی شناسایی میکند. مهاجمی که با اعتبارنامههای دزدیده وارد شده، رفتارش تفاوتهای آشکاری با کاربر واقعی دارد: از یک IP متفاوت، با یک دستگاه متفاوت، در یک زمان متفاوت، و با الگوی دسترسی کاملاً متفاوت وارد شده است.
انطباق با مقررات و Compliance Automation
سازمانهایی که باید با مقررات انطباق مانند GDPR، PCI DSS، یا ISO 27001 منطبق باشند، از UBA بهعنوان یک ابزار مهم برای Compliance استفاده میکنند. UBA شواهد مستمری از نظارت بر دسترسی، شناسایی دسترسیهای غیرمجاز، و اعمال اصل Least Privilege ارائه میدهد — همه اطلاعاتی که ممیزان انطباق نیاز دارند.
UBA و Zero Trust: دو رویکرد مکمل
Zero Trust یک چارچوب امنیتی است که بر اساس اصل «هرگز اعتماد نکن، همیشه تأیید کن» کار میکند. در معماری Zero Trust، هیچ کاربر، دستگاه، یا ترافیک شبکهای بهطور پیشفرض معتبر نیست — حتی اگر داخل شبکه سازمان باشد.
UBA و Zero Trust یک رابطه عمیق مکمل دارند. Zero Trust نیازمند تأیید مداوم هویت و رفتار است، و UBA دقیقاً این تأیید مداوم را فراهم میکند. وقتی UBA یک ناهنجاری رفتاری شناسایی میکند، میتواند به صورت خودکار:
سطح اعتماد آن جلسه را کاهش دهد، احراز هویت مجدد (Re-authentication) را الزامی کند، دسترسی به منابع حساس را موقتاً محدود کند، یا تیم SOC را برای بررسی دستی هوشیار کند.
این یکپارچهسازی Dynamic Trust یکی از پیشرفتهترین کاربردهای UBA در محیطهای Zero Trust است — جایی که اعتماد به کاربر نه یکبار در هنگام ورود، بلکه بهطور مداوم در طول جلسه کاری ارزیابی میشود.
نقش FIDO در تقویت UBA و امنیت هویتی
استاندارد FIDO (Fast IDentity Online) و User Behavior Analytics از دو زاویه کاملاً متفاوت به امنیت هویتی نگاه میکنند — اما این دو رویکرد به جای رقابت، یکدیگر را تقویت میکنند. درک این رابطه برای سازمانهایی که میخواهند معماری امنیتی جامعی بسازند، بسیار مهم است.
FIDO دادههای UBA را قابلاعتمادتر میکند
یک چالش اساسی در UBA اعتبار دادههای ورودی است. اگر سیستم احراز هویت پایهای قابل جعل باشد — مثلاً رمز عبور — یک مهاجمی که با رمز عبور دزدیده وارد شده، از نظر UBA «همان کاربر» به نظر میرسد. اما اگر احراز هویت بر اساس FIDO باشد، هر ورود با یک امضای رمزنگاری از یک دستگاه خاص تأیید میشود.
این یعنی UBA میداند که «نهتنها اعتبارنامه درست است، بلکه کلید خصوصی روی دستگاه مجاز این کاربر حضور داشته.» این اطمینان رمزنگاری، کیفیت دادههای ورودی UBA را به شکل اساسی ارتقا میدهد.
FIDO سطح حمله را کاهش میدهد
از نظر UBA، کاهش سطح حمله یعنی کاهش تعداد هشدارهای کاذب و تمرکز روی ناهنجاریهای واقعی. وقتی سازمان از احراز هویت FIDO استفاده میکند، تمام کلاسهای حملاتی که به رمز عبور وابسته هستند — Phishing، Credential Stuffing، Password Spray، Brute Force — از جدول تهدیدات حذف میشوند.
این کاهش سطح حمله به UBA اجازه میدهد روی ناهنجاریهای رفتاری پیچیدهتر — مثل Insider Threat و Privilege Escalation — تمرکز کند، نه اینکه منابعش را صرف فیلتر کردن صدها Phishing Alert کند.
دادههای رمزنگاری FIDO: ورودی با کیفیت برای یادگیری ماشین
هر رویداد احراز هویت FIDO شامل اطلاعات دقیق و قابلاعتمادی است: هویت کاربر با اثبات رمزنگاری، شناسه منحصربهفرد دستگاه، زمان دقیق رویداد، و نوع عملیات انجامشده. این دادههای ساختاریافته و قابلاعتماد، ورودیهای بسیار باکیفیتی برای موتور یادگیری ماشین UBA هستند.
مقایسه کنید با دادههای ورودی از یک سیستم رمز عبور سنتی: در آن سیستم، هیچ راهی برای اثبات رمزنگاری که کاربر واقعی — نه کسی که رمز عبورش را دزدیده — پشت صفحهکلید بوده، وجود ندارد.
راهکار نشانه: IAM و FIDO در خدمت UBA
پلتفرم IAM نشانه، محصول شرکت رهسا، با پشتیبانی کامل از استاندارد FIDO پایهای مستحکم برای تحلیل رفتار کاربران فراهم میکند. وقتی هر ورود کاربر با یک امضای رمزنگاری از یک دستگاه خاص تأیید میشود، سیستم UBA میداند که دادههای ورودیاش قابلاعتماد هستند — نه دیتای تقلبی یک مهاجم با رمز عبور دزدیده.
نشانه با ارائه احراز هویت بدون رمز عبور از طریق نشانه موبایل (گوشی تلفن همراه بهعنوان کلید عبور FIDO) و نشانه توکن (کلید سختافزاری امنیتی FIDO)، سطح حملهای که UBA باید با آن مقابله کند را به شکل اساسی کاهش میدهد. علاوه بر آن، قابلیت SSO یکپارچه نشانه به سیستمهای UBA امکان میدهد از یک نقطه مرکزی، دادههای رفتاری کاربران را در تمام اپلیکیشنهای سازمانی جمعآوری و تحلیل کنند.
چالشهای پیادهسازی UBA و روشهای رفع آنها
پیادهسازی UBA با چالشهای واقعی همراه است که اگر پیش از شروع با آنها آشنا باشید، احتمال موفقیت پروژه را به شکل قابل توجهی افزایش میدهید.
چالش حریم خصوصی کارمندان
نظارت بر رفتار کارمندان یک سؤال اخلاقی و حقوقی جدی ایجاد میکند. تا کجا میتوان رفتار کارمندان را ردیابی کرد؟ این سؤال در کشورهای مختلف پاسخهای متفاوتی دارد — بهخصوص در اتحادیه اروپا که GDPR محدودیتهای مشخصی برای نظارت بر کارمندان دارد.
بهترین رویکرد، شفافیت است: کارمندان باید بدانند که چه دادههایی جمعآوری میشود، برای چه هدفی، و چه کسی به آنها دسترسی دارد. سازمانهایی که UBA را بدون اطلاعرسانی پیادهسازی میکنند، علاوه بر ریسک حقوقی، اعتماد کارمندان را هم از دست میدهند.
مدیریت نرخ False Positive
حتی بهترین سیستمهای UBA هم هشدارهای کاذب (False Positives) تولید میکنند — رفتارهایی که ناهنجار به نظر میرسند اما توضیح مشروع دارند. یک برنامهنویس که یک ماه را در یک شهر دیگر میگذراند و از آنجا کار میکند، ممکن است دهها هشدار ایجاد کند.
مدیریت False Positive نیازمند یک فرآیند پیوسته تنظیم (Tuning) است. سیستم UBA باید بتواند از بازخورد تیم امنیت یاد بگیرد: وقتی تیم یک هشدار را «کاذب» علامت میزند، سیستم این اطلاعات را در الگوریتمهایش لحاظ میکند و در آینده هشدارهای مشابه را با دقت بیشتری ارزیابی میکند.
چالش حجم داده و مقیاسپذیری
در یک سازمان بزرگ با هزاران کاربر، حجم دادههایی که UBA باید پردازش کند میتواند بسیار زیاد باشد. هر کاربر روزانه دهها تا صدها رویداد تولید میکند — ضربدر هزاران کاربر، ضربدر ۳۶۵ روز، حجمی بهوجود میآید که نیازمند زیرساخت پردازشی مناسب است.
راهکارهای ابری و معماریهای Big Data مانند Apache Kafka برای streaming دادهها و ذخیرهسازی توزیعشده، این چالش مقیاسپذیری را قابل مدیریت میکنند. بیشتر پلتفرمهای UBA مدرن از یک معماری Cloud-Native بهره میبرند که با رشد سازمان بهطور خودکار مقیاسپذیر است.
ادغام UBA با ابزارهای امنیتی موجود
UBA بهتنهایی یک سیستم کامل نیست — بیشترین ارزش را وقتی ایجاد میکند که با ابزارهای امنیتی دیگر یکپارچه شود.
یکپارچهسازی با SIEM
SIEM (Security Information and Event Management) پیش از UBA وجود داشت و همچنان در اکوسیستم امنیتی نقش کلیدی دارد. UBA میتواند بهعنوان یک لایه هوش مصنوعی روی SIEM عمل کند: SIEM دادههای خام جمعآوری میکند، UBA آنها را تحلیل رفتاری میکند، و نتایج UBA دوباره به SIEM بازمیگردند تا با سایر رویدادهای امنیتی همبسته شوند.
این ادغام به تیم SOC (Security Operations Center) یک تصویر کاملتر از هر رویداد امنیتی میدهد: نهتنها «چه اتفاقی افتاده» بلکه «آیا کاربر مرتبط رفتار غیرعادی داشته؟»
یکپارچهسازی با SOAR برای پاسخ خودکار
SOAR (Security Orchestration, Automation, and Response) پلتفرمی است که پاسخ به رویدادهای امنیتی را خودکار میکند. وقتی UBA یک هشدار پرریسک تولید میکند، SOAR میتواند به صورت خودکار واکنشهای از پیشتعریفشدهای اجرا کند: قفل کردن موقت حساب کاربری، ارسال هشدار به مدیر، ایزوله کردن endpoint آلوده، یا الزامی کردن احراز هویت مجدد.
این زنجیره UBA → SOAR زمان پاسخ به تهدیدات را از ساعتها به دقیقهها کاهش میدهد — یکی از مهمترین معیارهای اثربخشی امنیت سایبری.
انتخاب ابزار UBA: معیارهای کلیدی ارزیابی
بازار ابزارهای UBA/UEBA شامل گزینههای متعددی از vendors مطرح بینالمللی است. برای انتخاب درست، چند معیار کلیدی باید ارزیابی شوند.
قابلیت یکپارچهسازی با زیرساخت موجود اولین معیار است. یک سیستم UBA که نتواند با IAM، SIEM، و منابع داده موجود شما یکپارچه شود، ارزش خود را از دست میدهد. دوم، دقت الگوریتمهای تشخیص ناهنجاری — که باید بر اساس POC (Proof of Concept) در محیط واقعی سازمان ارزیابی شود. سوم، قابلیت تنظیم و شخصیسازی برای نیازهای خاص سازمان — چون هر سازمانی یک Baseline رفتاری منحصربهفرد دارد. و چهارم، توانایی مقیاسپذیری متناسب با رشد سازمان.
پرسشهای متداول
آیا UBA و SIEM یکی هستند؟
خیر — SIEM و UBA دو ابزار متفاوت با رویکردهای مکمل هستند. SIEM دادههای امنیتی را از منابع مختلف جمعآوری، ذخیره، و بر اساس قوانین از پیشتعریفشده تحلیل میکند. UBA از یادگیری ماشین برای شناسایی ناهنجاریهای رفتاری استفاده میکند — بدون نیاز به قوانین از پیشتعریفشده. بیشتر سازمانهای بالغ از هر دو بهصورت یکپارچه استفاده میکنند.
UBA چه مدت طول میکشد تا Baseline رفتاری بسازد؟
اکثر سیستمهای UBA برای ساخت یک Baseline اولیه قابل استفاده به ۱۴ تا ۳۰ روز داده نیاز دارند. Baseline با گذشت زمان دقیقتر میشود — سیستمهای پیشرفته معمولاً بعد از ۶۰ تا ۹۰ روز به دقت بهینه میرسند. در این دوره، سیستم باید با نظارت دقیقتری اجرا شود تا False Positive ها شناسایی و Baseline تنظیم شود.
آیا UBA میتواند جایگزین فایروال و سایر کنترلهای امنیتی شود؟
خیر — و این هدف UBA هم نیست. UBA یک لایه هوشمند تشخیص تهدید است که باید در کنار فایروال، آنتیویروس، IAM، و سایر کنترلهای امنیتی استفاده شود. هر لایه یک نوع متفاوت از تهدید را رفع میکند — UBA در شناسایی تهدیداتی مؤثر است که از لایههای دیگر عبور کردهاند.
تفاوت Rule-Based و ML-Based در UBA چیست؟
سیستمهای Rule-Based قوانین ثابتی دارند — مثلاً «اگر کاربر در عرض ۵ دقیقه بیش از ۳ بار ورود ناموفق داشت، هشدار بده.» این قوانین برای تهدیدات شناختهشده مؤثر هستند. سیستمهای ML-Based از یادگیری ماشین برای شناسایی الگوهای غیرعادی — حتی الگوهایی که هیچ قانون از پیشتعریفشدهای برای آنها نداریم — استفاده میکنند. سیستمهای مدرن UBA معمولاً ترکیبی از هر دو رویکرد را به کار میبرند تا هم دقت بالا داشته باشند هم تهدیدات ناشناخته را کشف کنند.
UBA چقدر به منابع محاسباتی نیاز دارد؟
این به مقیاس سازمان و پیچیدگی سیستم UBA بستگی دارد. برای سازمانهای کوچک و متوسط، بیشتر پلتفرمهای SaaS UBA نیاز به زیرساخت اضافی در سازمان ندارند. برای سازمانهای بزرگ که UBA On-Premise پیادهسازی میکنند، یک کلاستر با ظرفیت پردازش و ذخیرهسازی متناسب با حجم لاگهای روزانه لازم است.
کسب اطلاعات بیشتر
اگر سازمان شما به دنبال ایجاد یک معماری امنیت هویتی مدرن است، ترکیب تحلیل رفتار کاربران (UBA) با یک پلتفرم IAM مبتنی بر FIDO میتواند نقطه شروعی قدرتمند باشد. راهکارهای نشانه موبایل و نشانه توکن با پشتیبانی کامل از استانداردهای FIDO، امکان پیادهسازی احراز هویت بدون رمز عبور و مدیریت هویت امن را فراهم میکنند.
برای دریافت مشاوره امنیتی رایگان درباره پیادهسازی IAM، FIDO و تحلیل رفتار کاربران در سازمان خود، میتوانید با کارشناسان نشانه از طریق شماره 91096551-021 تماس بگیرید یا صفحات محصولات نشانه موبایل و نشانه توکن را در وبسایت neshane.co بررسی کنید.
📞 ۰۲۱-۹۱۰۹۶۵۵۱
کلیک کنید: نشانه موبایل و نشانه توکن
جمعبندی
UBA در ابتدا بهعنوان یک ابزار پیشرفته برای کشف ناهنجاریهای رفتاری معرفی شد، اما امروزه به یکی از ستونهای اصلی امنیت هویت سازمانی تبدیل شده است. زمانی که سازمانها به سمت معماری Zero Trust حرکت میکنند، دیگر نمیتوانند تنها به احراز هویت اولیه اعتماد کنند. رفتار کاربران باید بهطور مداوم تحلیل شود و هر انحراف معنادار باید به سرعت شناسایی و مدیریت شود.
User Behavior Analytics با استفاده از یادگیری ماشین، تحلیل دادههای رفتاری، و امتیازدهی ریسک، این امکان را فراهم میکند که تهدیدات پیچیدهای مانند Account Takeover، Insider Threat، و Privilege Escalation در همان مراحل اولیه کشف شوند. وقتی این قابلیت با یک زیرساخت هویتی قدرتمند ترکیب شود، سازمانها میتوانند نهتنها حملات را شناسایی کنند، بلکه از وقوع بسیاری از آنها پیشگیری کنند.
در این میان، استفاده از احراز هویت بدون رمز عبور مبتنی بر استاندارد FIDO کیفیت دادههای هویتی را به شکل چشمگیری افزایش میدهد و سطح حمله مرتبط با رمزهای عبور را از بین میبرد. این یعنی سیستمهای UBA میتوانند با دادههایی دقیقتر و قابل اعتمادتر کار کنند و تمرکز خود را روی تهدیدات واقعی بگذارند.
