Мы используем файлы cookie, чтобы сделать наш веб-сайт удобнее. Используя данный веб-сайт и просматривая его разделы, вы тем самым соглашаетесь с Политикой конфиденциальности
Я согласен
Нужна ли вашей компании UBA/UEBA?
8 декабря, 2021
UEBA расшифровывается как User [and Entity] Behavior Analytics. Это новая технология обнаружения угроз, полностью основанная на продвинутой аналитике действий пользователя. UBA использует машинное обучение и data science, чтобы понять, как обычно ведут себя пользователи компьютерных систем, а затем найти рискованные, аномальные действия, которые отклоняются от их нормального поведения и могут указывать на угрозу информационной безопасности. К таким угрозам относятся, например, компрометация пользователей, инсайдерские действия и множественные таргетированные внешние атаки.
От оперативности реакции на различные подозрительные события в информационной инфраструктуре и блокировки действий или их последствий напрямую зависит эффективность и непрерывность бизнес-процессов компании. Для автоматизации процессов выявления информационных угроз служат системы UEBA/UBA.
ИСТОРИЯ
Уже в 20 столетии начали развиваться такие перспективные направления как Big Data, Data science и машинное обучение. Эти технологии позволяют эффективно работать с большим количеством быстро меняющихся данных. В 2012 году алгоритмы «больших данных» стали широко внедрять в инструменты информационной безопасности.
Терминология UBA появляется в 2013 году, и под ней изначально понимают рейтинговую классификацию программных продуктов различных разработчиков. Продукты UBA уровня должны были в автоматическом режиме на основе построенных в ходе обучения системы моделей анализировать действия пользователей и выявлять отклонения, угрожающие безопасности сетевой или серверной подсистем.
В 2015 году появляется термин UEBA, под ним стали понимать системы, анализирующие не только действия пользователей, но и поведение различных «сущностей» — элементов ИТ-инфраструктуры (серверов, рабочих станций, маршрутизаторов, периферийных устройств и др.) В настоящее время многие ведущие вендоры включают этот функционал в свои разработки.
Терминология UBA появляется в 2013 году, и под ней изначально понимают рейтинговую классификацию программных продуктов различных разработчиков. Продукты UBA уровня должны были в автоматическом режиме на основе построенных в ходе обучения системы моделей анализировать действия пользователей и выявлять отклонения, угрожающие безопасности сетевой или серверной подсистем.
В 2015 году появляется термин UEBA, под ним стали понимать системы, анализирующие не только действия пользователей, но и поведение различных «сущностей» — элементов ИТ-инфраструктуры (серверов, рабочих станций, маршрутизаторов, периферийных устройств и др.) В настоящее время многие ведущие вендоры включают этот функционал в свои разработки.
КАК РАБОТАЕТ UBA / UEBA?
Результатом работы системы является присвоение каждому пользователю или сущности определенного «уровня надежности». Это может быть процентная или цветовая шкала. Изменение уровня говорит о возникновении аномальной активности и позволяет администраторам по ИБ или системам блокировки принять меры для защиты данных.
Алгоритмы машинного обучения получают данные из разных источников (журналы событий, логи, переписка пользователей, конфигурации сетевых элементов), анализируют их и выявляют закономерности «нормального поведения».
Процесс обучения продолжается на протяжении всего времени работы системы, что позволяет реагировать на новые и неизвестные ранее методы воздействия.
Алгоритмы машинного обучения получают данные из разных источников (журналы событий, логи, переписка пользователей, конфигурации сетевых элементов), анализируют их и выявляют закономерности «нормального поведения».
Процесс обучения продолжается на протяжении всего времени работы системы, что позволяет реагировать на новые и неизвестные ранее методы воздействия.
Карта параметров и поведения пользователей в Makves DCAP отображает пользователей с высокой степенью атипичности.
В ЧЕМ ОТЛИЧИЕ ОТ SIEM?
Основным фактором выбора в пользу UBA/UEBA систем по сравнению с SIEM является способность таких систем самообучаться на данных о пользователях или сущностях, выявляя закономерности на уровне алгоритмов машинного обучения. Это избавляет от необходимости вручную анализировать массу информации и составлять на ее основе набор триггеров. Методы искусственного интеллекта определяет угрозу даже там, где аналитика SIEM не справляется.
ПРИМЕРЫ ПРИМЕНЕНИЯ ТЕХНОЛОГИИ
Компрометация учетной записи пользователя
Когда удаленные сотрудники предприятия подключаются к сети система анализирует ряд параметров. Например, время подключения, диапазон IP-адресов, геолокация. На этапе обучения все эти данные сохраняются и анализируются. При попытке подключиться в штатном режиме из другой геолокации или в нерабочее время сработает триггер, по которому необходимо будет подтвердить легитимность такого подключения.
Нелегитимное использование прав
Уровень доступа «Администратор» предусматривает, обычно, широкий набор полномочий. Но если вместо привычных действий пользователь начинает заходить на другие рабочие станции, скачивать информацию или вносить изменения в конфигурации сетевых элементов, то такое поведения можно рассматривать как угрозу. UBA на основе собранных данных зафиксирует аномальное поведение и сообщит оператору или отправит сигнал системам блокировки.
Нарушение регламентов ИБ
В регламентах ИБ обычно зафиксирован тот факт, что пользователь не может передавать данные своей учетной записи другим пользователям. Однако бывают случаи, когда этими требованиями пренебрегают. Особенно критично это для учетных записей уровня «Администратор». UBA системы позволяют в таких случаях выявить факт одновременного использования одной учетной записи или использование ее с несвойственных пользователю сетевых элементов.
Несанкционированное шифрование данных
Еще одним триггером появления угрозы является факт шифрования данных с той учетной записи, которая ранее никогда не использовала подобные алгоритмы. Такое поведение может выявлено системой UBA и указать на наличие вредоносного вируса-шифровальщика.
Когда удаленные сотрудники предприятия подключаются к сети система анализирует ряд параметров. Например, время подключения, диапазон IP-адресов, геолокация. На этапе обучения все эти данные сохраняются и анализируются. При попытке подключиться в штатном режиме из другой геолокации или в нерабочее время сработает триггер, по которому необходимо будет подтвердить легитимность такого подключения.
Нелегитимное использование прав
Уровень доступа «Администратор» предусматривает, обычно, широкий набор полномочий. Но если вместо привычных действий пользователь начинает заходить на другие рабочие станции, скачивать информацию или вносить изменения в конфигурации сетевых элементов, то такое поведения можно рассматривать как угрозу. UBA на основе собранных данных зафиксирует аномальное поведение и сообщит оператору или отправит сигнал системам блокировки.
Нарушение регламентов ИБ
В регламентах ИБ обычно зафиксирован тот факт, что пользователь не может передавать данные своей учетной записи другим пользователям. Однако бывают случаи, когда этими требованиями пренебрегают. Особенно критично это для учетных записей уровня «Администратор». UBA системы позволяют в таких случаях выявить факт одновременного использования одной учетной записи или использование ее с несвойственных пользователю сетевых элементов.
Несанкционированное шифрование данных
Еще одним триггером появления угрозы является факт шифрования данных с той учетной записи, которая ранее никогда не использовала подобные алгоритмы. Такое поведение может выявлено системой UBA и указать на наличие вредоносного вируса-шифровальщика.
МОДУЛЬ АНАЛИТИКИ В MAKVES DCAP
Пример уведомления о массовых операциях пользователей
Система аудита и управления ИТ-активами Makves DCAP производит анализ действий пользователей и системных событий, выявляя отклонения от нормы. Это позволяет оперативно выявлять нелегитимные действия пользователей, внешние атаки на сеть предприятия или действия вредоносного программного обеспечения. Проводится постоянный анализ массовых действий с файлами, повторяющихся событий, шифрования данных и ряда других факторов. При появлении аномальной активности происходит оповещение на E-mail или блокировка пользователя в системе до выяснения правомерности действий.
НУЖНА ЛИ ВАМ UBA/UEBA?
Системы безопасности, содержащие самообучающийся аналитический модуль стоят не дешево, но обеспечивают достаточно высокую степень защиты. Поэтому для принятия решения о выборе продуктов для информационной безопасности необходимо учитывать ряд факторов:
- UEBA позволяет максимально быстро обрабатывать большие объемы данных, получаемых в процессе наблюдения за действиями пользователей и сущностей ИТ инфраструктуры и принимать решения о возникновении рисков. Поэтому рекомендуется использовать такие решения на предприятиях с количеством пользователей более 1000, если штатные средства обеспечения безопасности шлюзов, брандмауэров, систем предотвращения вторжений не справляются с поставленными задачами.
- Система не занимается блокировкой подозрительных активностей, а позволяет оперативно их обнаружить. Поэтому для получения максимальной эффективности ее нужно использовать совместно с другими системами (IAM, DCAP, SIEM, DLP, EDR).
- Использование самообучаемых решений помимо минимизации рисков позволяет оптимизировать штат сотрудников ИБ, занимающихся аналитикой внешних и внутренних угроз.
Вы можете получить подробную консультацию по использованию системы аудита и мониторинга от Makves и увидеть технологию UBA/UEBA в действии. Закажите демонстрацию Makves DCAP.
Деятельность осуществляется
при грантовой поддержке Фонда «Сколково»
при грантовой поддержке Фонда «Сколково»
Makves, 2023