Системы поведенческого анализа (UEBA/UBA)
UEBA (UBA) (англ. User [and Entity] Behavioral Analytics) — это технологичные системы обнаружения угроз информационной безопасности (далее — ИБ) при помощи анализа поведения пользователей компьютерных систем и объектов ИТ-инфраструктуры (серверы и приложения, коммутаторы и сетевой трафик, рабочие станции и т. д.).
UBA работает только с информацией о пользователях, а UEBA анализирует данные о пользователях и об объектах ИТ-инфраструктуры. Эти системы могут выступать как отдельными программными продуктами, так и расширениями в составе продуктов ИБ (например: SIEM, DLP, EDR).
Основой анализа являются массивы данных, а целью — выявление отклонений от привычных моделей поведения пользователей в ретроспективе или в режиме реального времени. Работа UEBA/UBA осуществляется с использованием алгоритмов машинного обучения и Data Science.
UEBA (UBA) является одним из инструментов автоматизации процессов контроля и мониторинга ИБ. Источники сбора и анализа данных:
- сообщения в мессенджерах, социальных сетях и электронной почте,
- сетевые и серверные компоненты,
- информация систем аутентификации,
- журналы систем безопасности и рабочих станций.
Возможности UEBA-систем
UEBA-системы выполняют следующие функции:
- Расширенная и простая аналитика данных с использованием методов машинного обучения, как в режиме реального времени, так и с установленной периодичностью.
- Быстрое обнаружение и распознавание нарушений и атак.
- Структуризация по приоритетности и консолидация событий из разных источников, предоставление расширенной информации для эффективного реагирования со стороны администраторов.
- Обнаружение и предотвращение инсайдерских угроз, исходящих от сотрудников компании, при помощи выявления аномальной активности, выбивающейся из модели обычного поведения. Производится анализ данных каждого пользовательского аккаунта. Для этого собирается информация из таких источников, как системные журналы, личная переписка пользователя в сервисах корпоративной почты и в мессенджерах. На основе этого формируется детальная модель поведения каждого отдельного пользователя.
Польза UEBA-систем
Приобретённая UEBA-система может быть ценным вложением, если перед специалистами по информационной безопасности стоят задачи:
Выявление скомпрометированных учётных записей
Расширенная аналитика с использованием машинного обучения позволяет создать отдельный поведенческий профиль для каждой учётной записи.
Если поведение человека выходит за рамки базовой линии поведения профиля, то эта аномалия считается индикатором для UEBA. Скомпрометированная учётная запись помечается флагом, а затем к ней применяется расширенный мониторинг активности с методами выявления угроз безопасности.
Выявление инсайдерских угроз
UEBA-система контролирует поведение сотрудников и выявляет излишний интерес или подозрительные действия с их стороны, которые могут быть индикатором злонамеренных действий. Что можно определить при помощи UEBA-системы:
- Обнаружение попыток утечек данных. Например, нетипично большое количество писем с вложенными файлами, отправляемых определённым пользователем на внешние почтовые адреса.
- Выявление подозрительной геолокации пользователя или времени подключения к рабочему столу, выходящих за рамки общей линии поведения.
- Обнаружение использования одной учётной записи несколькими пользователями.
- Обнаружение аномального поведения уволившихся сотрудников, пока те завершают свою работу.
- Заблаговременное обнаружение злоупотребления привилегированными правами учётных записей и предупреждение об отклонениях в их поведении.
- Если UEBA-система интегрирована со СКУД-системой, то посещение сотрудником помещений, в которых он ранее никогда не был, может быть расценено как подозрительное поведение и отклонение от базовой линии поведения.
Мониторинг прав доступа пользователей по уровню и целевым системам
Мониторинг прав доступа пользователей по уровню и целевым системам. UEBA собирает и анализирует информацию о привилегиях пользователей для дальнейшей оценки о необходимости предоставления определённого уровня прав доступа. На основе полученных данных можно сокращать или расширять число доступных целевых систем для групп или единичных пользователей.
Российские производители UEBA (UBA)
На сегодняшний день отечественный рынок систем поведенческого анализа только начал развиваться. Первые шаги по внедрению функций UEBA/UBA сделали следующие компании:
«Лаборатория Касперского»Kaspersky Fraud Prevention (создание профилей добросовестного и мошеннического поведения на основании действий во время сессии).
InfoWatchInfoWatch Prediction (прогнозирует угрозы ИБ, обнаруживает инсайдеров и скомпрометированные учётные записи).
