Как поведенческая аналитика поможет выявлять сотрудников-нарушителей

В 2024 году в мире 83% организаций (по данным отчета Ponemon / DTEX, Cybersecurity Insiders’ 2024 Insider Threat Report) сообщили хотя бы об одном инциденте с участием внутренних нарушителей. При этом средняя годовая стоимость инцидентов, связанных с инсайдерами, для одной организации составляет 17.4 млн долларов и год от года только растет. Это означает, что для компаний критически важно как можно раньше знать о том, что происходит в их цифровой инфраструктуре.  

Чтобы выявить инсайдеров, используются различные средства защиты (СЗИ), наиболее эффективными из которых являются инструменты поведенческой аналитики (UEBA). Они в реальном времени анализируют потоки событий, которые генерируются людьми, хостами и другими объектами инфраструктуры, и сообщают, если чье-либо поведение вызывает подозрение. Пока такие средства защиты исследуют исключительно поведение, однако в будущем смогут проводить анализ намного глубже. Чтобы понять, как именно, разберем, как работают существующие решения.

Уровень 1, или Как увидеть вершину айсберга: поведенческая аналитика действий

СЗИ первого уровня — это классические модули поведенческой аналитики UEBA, задача которых — оценить, являются ли действия злонамеренными или нет. Действия классифицируют по признаку «черное» или «белое», где «черное» означает злонамеренность, а «белое» — не представляющее угрозы.

Механика работы таких UEBA-решений сводится к анализу по заранее прописанным правилам, а сами правила задаются человеком. Например, оператор задает правило, что бухгалтер может заходить только в базы данных, связанные с финансовой отчетностью, и если в реальности такой бухгалтер попробует зайти на ресурсы, предназначенные для разработчиков, то система автоматически отнесет его действия к злонамеренным. Или — вендор, основываясь на информации о схемах хакерских атак, может включить в свой продукт или модуль UEBA правило, по которому определенная последовательность действий скорее всего приведет к утечке информации.

Такие СЗИ включают DLP-системы, SIEM с модулями поведенческого анализа, антивирусы, которые оценивают действия пользователей по работе с почтой, мессенджерами, файлами и др. Или другой класс решений — системы для защиты данных, которые также работают по заданному набору правил, говорящему, что такая-то учетная запись/пользователь ведет себя плохо или хорошо.

Все эти средства действуют в бинарной логике «хорошо» или «плохо». Они раскрашивают всю нашу инфраструктуру, следуя определенным сценариям, и на выходе мы получаем черно-белую картину. Такой подход помогает выделить вирусную активность, пресечь несанкционированные попытки вывести информацию.

Для компании численностью 500 — 1000 человек и одним-двумя специалистами по ИБ, поведенческий анализ на уровне действий вполне покроет от 80% до 100% кейсов и позволит не допустить утечку. Но что делать крупным, разветвленным структурам или группам компаний с несопоставимо большей вариативностью процессов и гораздо большим объемом данных — не только персональных, но и, например, технических, — которые необходимо защищать? Работа только с вершиной айсберга будет означать огромное количество событий для анализа, перегруз аналитиков, поток ложных срабатываний и в конечном счете — невозможность вовремя обнаружить инсайдеров, маскирующихся под благонамеренных пользователей, и предотвратить компрометацию данных.

Уровень 2, или Как увидеть айсберг целиком: поведенческая аналитика по параметрам действий

В крупных компаниях информация начинает сильно дробиться по видам, скапливаться и храниться в разрозненных местах, количество процессов также множится в геометрической прогрессии. Например, оказывается, что для каких-то сотрудников норма работать с приложениями в утренние часы, а для каких-то — в вечерние, и специалист по ИБ должен создать или одно правило, которое учтет все эти особенности и вводные, или несколько.

Однако постоянное добавление новых правил по мере роста и развития организации и процессов вряд ли окажется действенной мерой и, скорее всего, приведет к появлению «слепых» зон — определенных мест или процессов в цифровой инфраструктуре, которые будут вписываться в категорию нормы лишь формально, например, на пороговых значениях. Все это добавит системе лишний шум и усложнит задачу для службы ИБ: придется разбираться, кто чем в реальности занимается и почему сотрудники, условно, занимающие одну и ту же должность, работают в разные часы или обращаются к разным приложениям. Для специалистов по ИБ, не погруженных глубоко в бизнес-процессы, это станет сложной задачей, ведь для нее нужно проводить интервьюирование, выяснять, какие активы являются критичными для бизнеса и насколько и т.д.

В некоторых компаниях организован постоянный, цикловой процесс «сверки» правил, прописанных для службы ИБ, с реальными бизнес-процессами: настройка правил, интервьюирование и корректировка, внедрение, проверка, возврат к первому шагу. Но в большинстве организаций специалисты по ИБ перегружены и просто не имеют возможности выделять время на такую проработку. Кто-то обращается к консультантам, а кто-то вручную отсматривает все те алерты, которые выпускает система.

Для таких ситуаций, когда нужно автоматизировать или как минимум скорректировать настройки средств защиты, упростить правила корреляции, работают решения, относящиеся к следующему уровню поведенческого анализа: анализ на уровне параметров действий объекта. Система изучает исторические данные и формирует профиль пользователя: например, «бухгалтеры обычно работают с 9 до 18:00 и обращаются к серверу Х». Такой подход позволяет выявлять аномалии без глубокого погружения в жизнь каждого отдела. Если сотрудник начинает вести себя нетипично для своей роли — например, обращается к ресурсам, к которым не обращаются его коллеги, — система сигнализирует об отклонении.

Второй уровень помогает решить две задачи. Первая — более точно настроить СЗИ первого уровня (контроль действий пользователей). А вторая — основываясь на параметрах поведения, выявить те самые отклонения и понять, что происходит, на первый взгляд, в чистой, но на самом деле, серой зоне — тогда, когда еще не допущено никаких нарушений, но фактически пользователи уже начали вести себя необычно. Это важно, потому что именно в этой серой зоне, занимающей всего 20% инфраструктуры, и живут нарушители: учетные записи, скомпрометированные сотрудниками или внешними злоумышленниками. Зная, что первый уровень контролирует их действия и средства защиты настроены под определенные правила, они могут маскировать свои действия, чтобы не подпасть под них. Второй уровень позволяет обнаружить таких злоумышленников.

Уровень 3: око Саурона, или Анализ на основе изменений состояния

Если уже на втором уровне можно проанализировать поведение пользователей, заметить аномалии и предупредить нарушения, то разве этого не будет достаточно для исключения всех рисков? Нет, потому что остается огромная, непокрытая сфера для анализа: оценка состояния объекта, и это как раз и есть тот вектор, по которому будет развиваться поведенческая аналитика. Решения следующего поколения, назовем его NextGen UEBA, будут оценивать не единичные, атомарные действия и параметры поведения объекта, а именно его состояние.

Чтобы понять, как это работает, представьте, что каждый объект инфраструктуры (пользователь, хост, учетная запись) оставляет свой «цифровой след», состояние которого описывается не одним параметром, а многомерной системой координат. Это может включать объем трафика, частоту запросов, наличие уязвимостей, геолокацию, время активности и многое другое. Например, сотрудник, пусть это будет бухгалтер, каждый день и то же время приходит на работу и производит один и тот же набор действий: просматривает почту, обращается к определенным системам, загружает определенные данные в определенное время. Решения первых двух уровней будут считывать его поведение и, если в действиях или параметрах найдутся отклонения, то система это заметит.

Что делает решение третьего уровня? Оно будет автоматически сопоставлять срезы данных по множеству параметров за разные периоды (15 минут, час, день), и если объект будет резко «перетекать» из одного состояния в другое — например, учетная запись бухгалтера внезапно начнет вести себя, как учетная запись администратора, изменится «вектор ее движения» в многомерном пространстве, — то его поведение идентифицируется как критическое отклонение, даже если каждое отдельное действие не нарушало правил с точки зрения решений первого уровня и выглядело отклонением лишь в нескольких некритичных параметрах на втором. Например, когда бухгалтер вдруг обращается к какой-то системе с несвойственной ранее частотой или же в совершенно другое время дня, а вдобавок начинает работать в обеденный перерыв, когда другие сотрудники уходят.

Отдельно каждое из этих действий может вполне укладываться в условный профиль бухгалтера, используемый решениями второго уровня. Но вместе они уже могут говорить о намечающемся нарушении. Как и объект инфраструктуры, наблюдаемый решениями первых двух уровней в моменте, может не иметь критических отклонений в поведении, уязвимостей или вирусов, но при этом, с точки зрения решения третьего уровня, вести себя как зараженный.

Созданный системой на основе своего расчета отклонений цифровой след объекта будет включать данные о множестве параметров. Чем больше источников данных подключено к такой системе и чем больше параметров вы «закинете» в нее, тем более всеобъемлющим и глубоким будет взгляд вашего «ока Саурона», а значит — тем больше вы увидите частей «айсберга», причем не только уже знакомого вам, но и возможно других, о которых раньше вы и не подозревали. Представьте только, сколько пользы такое решение может принести в организациях, чьи продукты или услуги имеют критическое значение для жизни людей.

Сила синергии

Решения первого и второго уровня, работающие в двухмерной системе координат, могут приносить пользу для компаний, инфраструктура и бизнес-процессы которых находятся на разных стадиях развития. Однако наибольшую эффективность даст их синергия. Именно она, выраженная в оценке состояния объекта, станет следующим, логическим шагом в эволюции рынка средств защиты информации от реактивного блокирования известных угроз к проактивному управлению рисками на основе состояния инфраструктуры. А эволюция эта неизбежна.