UEBA
что скрывается за новым трендом на рынке информационной безопасности?
В последнее время эта неблагозвучная для русского уха аббревиатура – UEBA – все чаще слетает с уст экспертов в области обеспечения информационной безопасности. На основе большого числа данных эти самообучающиеся системы способны серьезно разгрузить сотрудников профильных департаментов компаний самого разного уровня. Руководитель направления SOC Центра информационной безопасности компании Инфосистемы Джет Анна Богданова помогла разобраться в том, как правильно устанавливать UEBA-решения и что они могут дать бизнесу.
Содержание |
Что такое UEBA-технологии
UEBA (User and Entity Behavior Analytics — поведенческая аналитика пользователей и сущностей) — относительно новый тренд, который становится популярным на ИБ-рынке. Суть этой технологии заключается в ее названии — это поведенческий анализ высокого уровня точности, позволяющий заранее определять ситуации, в которых компании может быть нанесен урон. Под сущностями подразумеваются бизнес-приложения, серверы, рабочие станции, хранилища данных, базы данных и так далее.
Особенно это актуально для больших компаний с тысячами пользователей, ведь тысячи пользователей генерируют десятки миллионов событий: подключаются к корпоративным системам, копируют, пересылают информацию, как внутри компании, так и вовне, работают с внешними ресурсами, электронной почтой, финансовыми и технологическими системами. В результате мы получаем полноценные большие данные, — объясняет руководитель направления SOC Центра информационной безопасности компании «Инфосистемы Джет» Анна Богданова. |
Понятно, что работа с этими большими данными за счет собственных кадров может быть крайне затруднительна, а отдавать ее на аутсорс — дорого. Например, если для обнаружения инцидентов информационной безопасности использовать только SIEM-системы, то для них невозможно придумать и настроить достаточные правила корреляции событий, обнаруживающие все возможные ИБ-инциденты, и продумать все исключения из правил, чтобы минимизировать число ложных срабатываний. Решить эту проблему помогают технологии UEBA, которые детектируют отклонения от нормального («среднестатистического») поведения пользователей или сущностей.
Самообучающиеся системы класса UEBA использует те же данные, которые собирают SIEM-приложения, после чего обрабатывают их и формируют конкретные поведенческие шаблоны для каждого пользователя или сущности. Эти профили постоянно уточняются и детализируются. При этом система может быть настроена таким образом, чтобы не реагировать на каждый неверный ввод пароля, некритичную ошибку в конфигурации или случайно всплывающий баннер.
Это помогает UEBA-приложениям значительно сократить количество ложных срабатываний. Вместо этого система работает со случаями доступа к внешним и внутренним ресурсам (в том числе тем, которые не относятся к рабочей деятельности), облачным сервисам, корпоративным информационным системам (например, CRM, ERP или АСУ ТП). Особо тщательно учитываются действия VIP- и привилегированных пользователей и технологических учетных записей, запуск приложений и процессов на рабочих станциях и другие подозрительные или аномальные действия.
От каких угроз защищает UEBA
Решения класса UEBA помогают компаниям защититься от самых различных угроз. Среди них: несанкционированный доступ к конфиденциальной информации, целенаправленные атаки, утечки конфиденциальной информации и баз данных, мошеннические действия, кражи интеллектуальной собственности или коммерческой тайны, вирусы-шифровальщики, вредоносное ПО, нарушения производственных и бизнес-процессов и многие другие.
Фактически, речь идет не о каком-то особом классе угроз, а об отличном от традиционного подхода методе обнаружения подозрительной активности.
Допустим, некий пользователь начал обращаться к сайтам поиска работы, хотя ранее этого не делал, — приводит пример Анна Богданова. — Затем он подключился к CRM-системе и скопировал базу данных заказчиков компании, разместил на файловом сервере и отправил себе ссылку на внешний личный почтовый ящик. UEBA зафиксирует каждую стадию данного инцидента: нетипичное обращение к сайтам поиска работы, копирование базы данных заказчиков, размещение большого объема данных на файловом сервере, отправку почтового сообщения на внешний личный почтовый ящик. И на каждом из этапов будет происходить уведомление офицера безопасности. |
Чем UEBA отличается от предыдущих поколений решений для поведенческого анализа
Современные UEBA используют более продвинутые математические модели, чем те ИБ-решения, которые использовались раньше. Они способны работать со значительно большим объемом данных, а также распознавать векторы или цепочки атак (kill-chain).
Такие решения могут понижать или повышать приоритет того или иного события в зависимости от того, к какому этапу kill-chain оно относится. И если атака не доходит до своего финала, то в целом приоритет всех событий предшествующих стадий понижается. В зависимости от настройки чувствительности, UEBA может даже не уведомлять офицера безопасности об атаке, которая закончилась неудачей для киберпреступника. Например, если периметр безопасности не был преодолен, — уточняет Анна Богданова. |
При этом UEBA-решения можно использовать как сами по себе, так и в связке с SIEM-системами. Последний вариант аналитики называют предпочтительным, потому что SIEM-система является наиболее полноценным поставщиком данных для UEBA.
Как правильно внедрять UEBA-технологии
UEBA относят к классу дорогостоящих решений, поэтому обычно компании проводят продолжительное предварительное пилотное тестирование — около 3 месяцев. Этого времени хватает для самообучения системы: она получит достаточный объем данных, в частности журналы наиболее критичных бизнес-систем и источников ИТ-инфраструктуры. Интеграция с информационной системой предприятия, в которой содержатся самые актуальные данные о работниках, позволит реализовать точную идентификацию пользователей.
Последующее внедрение UEBA может происходить достаточно быстро, особенно если данное решение является дополнительным модулем к SIEM-системе того же производителя. Приемо-сдаточные испытания по аналогии с пилотным тестированием должны включать в себя эмуляцию действий потенциального нарушителя, — отмечает Анна Богданова. |
Стоимость подобных решений зависит от объема обрабатываемых данных (количества событий в секунду или объема трафика). Стоимость работ по интеграции, в свою очередь, будет зависеть от количества источников данных, величины инсталляции SIEM-системы, распределенности сетевой архитектуры, необходимости доработки регламентирующих документов по обнаружению и расследованию инцидентов ИБ и других факторов.
Каковы перспективы UEBA на российском рынке
По мнению экспертов ИБ-отрасли, российский рынок дозрел до применения решений UEBA, так как уже достаточно большое количество компаний имеют успешно функционирующие SIEM-системы и SOC. У таких организаций появляется понимание того, что нужно сокращать свои трудозатраты на обнаружение ИБ-инцидентов, а также повышать эффективность этого процесса за счет наибольшей автоматизации. Аналитики прогнозируют значительный рост рынка решений класса UEBA в России в 2018–2020 годах.
За подробным расчетом стоимости внедрения и срока окупаемости UEBA-решений в вашей организации можно обратиться к специалистам компании ««Инфосистемы Джет».