В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
С точки зрения архитектуры механизмы UEBA похожи на решения, предназначенные для мониторинга событий информационной безопасности (SIEM), и даже некоторые производители называют их NGSIEM (Next Generation SIEM). Они состоят из агентов, которые собирают информацию о действиях пользователей, единого хранилища, куда эти сведения собираются из всех источников, и аналитического модуля, который выполняет анализ событий, возможно, в реальном времени и с реакцией на наиболее опасные действия по заранее заданным правилам. Иногда в качестве агента и даже хранилища сведений о действиях пользователей могут выступать сторонние системы, такие как DLP, IDM, SIEM или др. Таким образом, достаточно часто анализ поведения пользователей – это модуль, который использует инфраструктуру другого приложения для получения данных, но дает ему сигналы о выявленной подозрительной активности.
Необходимо отметить, что сейчас методики обнаружения подозрительного поведения активно развиваются в связи с появлением доступных технологий машинного обучения и искусственного интеллекта, которые могут самостоятельно, без предварительного обучения выявлять аномальное поведение пользователей и резкое изменение стиля их работы, что вызывает подозрение в компрометации пароля или же попытке доступа к критическим ресурсам без необходимых для этого полномочий. Тем не менее в ряде случаев результаты подобного анализа требуют ручной проверки аналитиком для подтверждения или опровержения гипотезы, выдвинутой системой UEBA. В частности, в составе SOC логично иметь подобный модуль, который давал бы операторам центра реагирования дополнительную информацию о подозрительных действиях пользователей и привлекал их внимание к определенным цепочкам событий.
UEBA-решения могут быть реализованы в виде отдельных продуктов либо в виде расширений для уже существующих систем, например SIEM, DLP или PAM (Privileged Access Management) и др. С практической точки зрения служба информационной безопасности может с помощью инструментария UEBA решать следующие задачи:
Для решения всех указанных выше проблем современные средства UEBA используют технологии анализа больших данных и те или иные механизмы искусственного интеллекта, которые предназначены для поиска аномалий, профилирования работы пользователя и обнаружения злоупотреблений правами доступа. Для этого они строят модели поведения пользователей и групп, куда эти пользователи входят, и сравнивают их с эталонными для выявления отклонений и нарушений. Причем чем больший массив данных о поведении пользователей анализируется, тем точнее будет построена модель поведения, что позволит более точно предсказать отклонения от нормы и выявить подозрительное поведение пользователей. При этом решения класса UEBA позволяют строить профили не только пользователей, но и объектов ИТ-инфраструктуры – телекоммуникационного оборудования, серверов, приложений, сетевого трафика и др. Это позволяет выявлять атаки не только на основе выявления аномалий в работе пользователей, но и ИТ-систем.
Служба информационной безопасности может с помощью инструментария UEBA решать следующие задачи:
По каждому аномальному поведению пользователя решение класса UEBA увеличивает значение риска по нему и при достижении определенного порога начинает сигнализировать администратору безопасности о наиболее "подозрительных" пользователях. Такой подход позволяет, с одной стороны, создавать инциденты по наиболее вероятным нарушениям, а с другой стороны – минимизировать количество ложных срабатываний.
К сожалению, UEBA-системы не являются "коробочными" и для их внедрения необходимо выполнить большой объем работ по настройке этих средств.
Модули UEBA уже достаточно давно появились в SIEM-решениях, таких как IBM QRadar, ArcSight и Splunk. Однако есть и решения, где аналитика поведения пользователей является основным конкурентным преимуществом, например решение Exabeam. Российские производители также ведут разработки систем подобного класса.
На сегодняшний день существует большое количество угроз информационной безопасности, которые можно выявить только за счет поведенческого анализа событий, регистрируемых в локальной сети компании. Использование для этих задач решений класса UEBA позволит предоставить администраторам безопасности эффективный инструмент для выявления атак злоумышленников.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2018