Kasutaja käitumise analüüs

Kasutaja käitumise analüüs (inglise keeles user behavior analysis) on küberjulgeoleku protsess, mis võimaldab tuvastada siseohtusid, suunatud rünnakuid ja finantspettusi, mis jälgib süsteemi kasutajaid. Kasutaja käitumise analüüs uurib inimeste käitumismustreid ja seejärel analüüsib neid, et tuvastada kõrvalekaldeid, mis viitavad võimalikele ohtudele.[1] [2] Suured andmeplatvormid, nagu Apache Hadoop, suurendavad kasutaja käitumise analüüsi funktsionaalsust, võimaldades neil analüüsida petabaitide väärtuses andmeid, et tuvastada siseringi ohtusid ja arenenud püsivaid ohtusid. [3] [4]

Eesmärk[muuda | muuda lähteteksti]

Johna Till Johnsoni sõnul seisneb kasutaja käitumise analüüs selles, et kuna turvasüsteemid pakuvad nii palju teavet, on raske leida teavet, mis viitaks tõelisele rünnakule. Analüüsitööriistad aitavad mõista SIEM-i, IDS/IPS, süsteemilogide ja muude tööriistade tohutut andmehulka. Kasutaja käitumise analüüsi tööriistad kasutavad spetsiaalset tüüpi turbeanalüütikat, mis keskendub süsteemide käitumisele ja neid kasutavatele inimestele. Kasutaja käitumise analüüsi tehnoloogia arenes esmakordselt välja turunduse valdkonnas, et aidata ettevõtetel mõista ja ennustada tarbijate ostumustreid. Kuid nagu selgub, võib kasutaja käitumise analüüs olla erakordselt kasulik ka turvalisuse kontekstis. [5]

Ajalugu[muuda | muuda lähteteksti]

Kasutaja käitumise analüüs on kontseptsioon, mis sai alguse turundusmaailmast, kus sellised tooted nagu Google Analytics pakuvad organiseeritud aruandeid serveri tegevuste logide kohta, mis andis turundajatele palju parema ülevaate sellest, kes mida nende veebisaidil viibides tegi. Täpne ülevaade kasutajate suhtlusest võimaldab turundajatel optimeerida maksimaalse konversiooni taseme saavutamiseks, mis on korrelatsioonis suurema tuluga. Nüüd hakkab sama teave muutuma vajalikumaks ja levima kõigis organisatsiooni osakondades, eriti seoses turvalisusega, aga ka inimressursside ja müügiga ning mis tahes muus protsessipõhises organisatsiooni sektoris. Organisatsioonid kasutavad kasutaja käitumise analüüsi süsteemide andmeid, et optimeerida individuaalseid töövooge, mõista töötajate kaasamist ning mõista ja analüüsida kahtlast käitumist ja võimalikke ohte. [6]

SIEM-i ja kasutaja käitumise analüüsi erinevused[muuda | muuda lähteteksti]

SIEM ehk turbeteabe ja sündmuste haldamise süsteem on mis tahes turbe rakendamiseks levinud põhitehnoloogia. SIEM pakub reaalajas rakenduste ja võrguriistvara genereeritud turvahoiatuste analüüsi. SIEM-i süsteemid hoiatavad teid kõige ja kõigi eest, mis infrastruktuuris toimub. SIEM kogub logi- ja sündmustekirjeid kõigist turvasüsteemidest, nagu kasutajaseadmed, võrgulülitid, tulemüürid, sissetungikaitsesüsteemid, serverid ja palju muud, seejärel paigutab need ühte kesksesse asukohta ja analüüsib andmeid. Peamine eelis on see, et SIEM pakub andmeanalüüsi, mis kasutab korrelatsioonireegleid ja statistilist algtaseme kõrvalekallet, et teavitada täiendavaid süsteeme tähelepanuväärsetest sündmusest. [6]

Kasutaja käitumise analüüsi süsteemid koguvad konkreetseid sündmuste andmeid koos kasutaja, veebisaidi, rakenduse ja masina ajalooliste tegevuste andmetega, mis pakub asjakohasemaid hoiatusi ja palju rohkem konteksti kui lihtsalt süsteemisündmuseid. Suurim erinevus seisneb selles, et SIEM-i rakendused kasutavad selleks määratud reegleid ja sisendeid, et analüüsida käitumist reaalajas ja need on halvad, et märgata anomaalset käitumist väljaspool reegleid. Kasutaja käitumise analüüsi rakendused kasutavad pikaajalisemat lähenemisviisi, analüüsides käitumist pika aja jooksul, et juhtida tähelepanu ainult reaalsele anomaalsele käitumisele. SIEM-iga märgitakse kõik anomaaliad, mis vastavad reeglitele. Kasutaja käitumise analüüs tõstab ajalooliste tegevusandmete põhjal esile anomaalse käitumise. SIEM-süsteemid pakuvad seda, millest saab andmejärv, kasutaja käitumise analüüsi süsteemid pakuvad andmepiiskasid või taktikalisi andmepunkte. [6]

Kasutaja käitumise analüüsi plussid[muuda | muuda lähteteksti]

Tuvastab reaalseid anomaaliaid

Kasutaja käitumise analüüs pakub asjakohasemaid andmeid kui SEIM-süsteemid, kuna kasutaja käitumise analüüs analüüsib ja ühitab kasutajate käitumist, mitte ainult süsteemi sündmusi.

Ennustab rünnakuid võrgu sees
Suurendab organisatsiooni tõhusust

Kasutaja käitumise analüüs annab võimaluse käitada organisatsioonis töövoo A/B teste, et mõista, kuidas muudatused mõjutavad ettevõtte üldist tõhusust ja lõpuks ka kasutegurit.

Kasutaja käitumise analüüsi miinused[muuda | muuda lähteteksti]

Mõned sündmused pole ühes kasutajaprofiilis kunagi toimunud.

Kui kasutaja alustab uut rolli või tal on projekt, mis nõuab juurdepääsu uuele failile või uue ressursi kasutamist, võib masinõpet kasutav kasutaja käitumise analüüs mõnikord need käitumised kahtlaseks märkida. Neid sündmusi tuntakse kui "musta luige" sündmused. Sellised sündmused võivad tekitada midagi, mida nimetatakse häireväsimuseks, mis üldiselt tähendab, et hoiatusi on nii palju, et ei tea, millised on olulised või millistele kõigepealt tähelepanu pöörata.

Masinõpe on endiselt stabiliseerumas

Mõned inimesed usaldavad masinõpet vähe või üldse mitte. See tekitab kõhklusi kasutaja käitumise analüüsi süsteemi kasutuselevõtul ja tekitab organisatsioonis vastakaid tundeid analüütika kehtivuse kohta.

Viited[muuda | muuda lähteteksti]