Нужна ли вашей компании UBA/UEBA?

От скорости реагирования на подозрительные события в информационной инфраструктуре и своевременной блокировки действий или их последствий напрямую зависят продуктивность и стабильность бизнес-процессов фирмы. Для автоматизации процедур обнаружения киберугроз применяются системы UEBA/UBA.

История

Уже в 20 столетии наметился прогресс в таких перспективных областях, как Big Data, Data science и машинное обучение. Эти технологии дают возможность продуктивно оперировать внушительными массивами быстро меняющихся данных. В 2012 году алгоритмы «больших данных» начали активно внедряться в инструментарий информационной безопасности.

Терминология UBA возникла в 2013 году, и под ней первоначально подразумевали рейтинговую классификацию программных продуктов от различных вендоров. Решения класса UBA должны были в автоматическом режиме, на базе сформированных при обучении моделей, исследовать действия пользователей и фиксировать отклонения, угрожающие безопасности сетевых сегментов или серверов.

В 2015 году был введен термин UEBA. Под ним стали понимать комплексы, анализирующие не только действия персонала, но и активность различных «сущностей» — компонентов ИТ-инфраструктуры (серверов, рабочих станций, маршрутизаторов, периферийных устройств и прочего). На текущий момент многие крупные разработчики интегрируют этот функционал в свои продукты.

Как работает UBA / UEBA?

Итогом работы системы становится назначение каждому пользователю или сущности определенного «уровня надежности». Это может выражаться в процентной или цветовой шкале. Сдвиг индикатора свидетельствует о возникновении атипичной активности и дает возможность администраторам ИБ либо средствам автоматической блокировки предпринять шаги для защиты данных.

Алгоритмы машинного обучения аккумулируют данные из разнообразных источников (журналы событий, логи, переписка пользователей, конфигурации сетевых узлов), исследуют их и определяют критерии «нормального поведения».

Процесс обучения продолжается в течение всего периода эксплуатации системы, что дает возможность своевременно реагировать на новые и ранее неизвестные способы воздействия.

Подробная сводка аномалий поведения пользователей в Гарда DCAP

В чем отличие от SIEM?

Ключевым аргументом в пользу выбора продуктов UBA/UEBA по сравнению с SIEM признается умение таких решений самостоятельно обучаться на данных о пользователях или сущностях, определяя паттерны на базе алгоритмов машинного обучения. Это избавляет от нужды вручную изучать огромные объемы информации и формировать на их основе списки триггеров. Инструменты искусственного интеллекта распознают угрозу даже в тех сценариях, где аналитика SIEM оказывается неэффективной.

Примеры применения технологии

• Компрометация учетной записи пользователя

  Когда удаленный персонал предприятия авторизуется в сети, комплекс исследует ряд параметров. К примеру, время сессии, пул IP-адресов, геолокацию. На этапе обучения все эти данные сохраняются и систематизируются. При попытке входа в штатном режиме, но из нетипичной локации или в нерабочие часы, активируется триггер, требующий подтверждения легитимности данной сессии.

• Неправомерное использование полномочий

  Роль «Администратор» предусматривает, как правило, обширный набор прав. Однако если вместо привычных операций пользователь начинает обращаться к другим рабочим станциям, выгружать данные или корректировать конфигурации сетевых элементов, то подобную активность можно расценивать как угрозу. UBA на базе собранных данных зафиксирует аномалию и оповестит оператора либо подаст сигнал системам блокировки.

• Нарушение регламентов ИБ

  В правилах ИБ обычно прописан запрет на передачу данных своей учетной записи иным лицам. Тем не менее, фиксируются случаи пренебрежения этими требованиями. Особенно критична такая ситуация для аккаунтов уровня «Администратор». Системы UBA позволяют в подобных обстоятельствах выявить одновременное использование одного профиля или его активацию с нехарактерных для пользователя сетевых узлов.

• Несанкционированное шифрование данных

  Еще одним индикатором угрозы служит факт шифрования данных с той учетной записи, которая ранее никогда не применяла подобные алгоритмы. Такое поведение может быть обнаружено системой UBA и укажет на активность вредоносного вируса-шифровальщика.

Модуль аналитики в Гарда DCAP

Система Гарда DCAP осуществляет анализ действий пользователей и системных событий, фиксируя отклонения от нормы. Это дает возможность оперативно распознавать нелегитимные операции персонала, внешние атаки на корпоративную сеть или активность вредоносного ПО. Выполняется перманентный разбор массовых манипуляций с файлами, повторяющихся событий, шифрования данных и ряда других критериев. При возникновении аномалии происходит отправка уведомления на E-mail или блокировка учетной записи в системе до выяснения правомерности действий.

Нужна ли вам UBA/UEBA?

Защитные комплексы, имеющие в составе самообучающийся аналитический модуль, отличаются высокой стоимостью, но гарантируют серьезный уровень защиты. Поэтому для принятия решения о покупке продуктов для информационной безопасности стоит учитывать несколько факторов:

• UEBA дает возможность максимально оперативно обрабатывать масштабные массивы данных, получаемых при мониторинге действий пользователей и сущностей ИТ-инфраструктуры, и принимать решения о рисках. Поэтому рекомендуется внедрять такие решения в организациях с численностью персонала более 1000 человек, если штатные инструменты защиты шлюзов, брандмауэров и систем предотвращения вторжений не справляются с задачами.

• Система не выполняет блокировку подозрительной активности самостоятельно, а позволяет вовремя её обнаружить. Для достижения максимального эффекта её следует применять в связке с другими решениями (IAM, DCAP, SIEM, DLP, EDR).

• Применение самообучающихся решений, кроме снижения рисков, дает возможность оптимизировать численность персонала ИБ, специализирующегося на анализе внешних и внутренних угроз.