Поймать угрозу на старте: как UEBA защищает бизнес

UEBA (User and Entity Behavior Analytics) представляет собой подход, основанный на анализе поведения пользователей и элементов ИТ-периметра компании через сбор данных об их действиях. С помощью алгоритмов машинного обучения UEBA-инструменты преобразуют их в поведенческую аналитику.

Вместо того чтобы полагаться на статические правила (например, «если пароль введен неверно три раза — заблокировать пользователя»), UEBA фокусируется на превентивном выявлении аномалий. Таких, как вход в систему из необычного местоположения, нетипичное время активности пользователя или резкое увеличение объема загружаемых данных. Все они могут быть признаками компрометации ИТ-периметра.

Согласно исследованию ReporterLink, глобальный рынок аналитики поведения пользователей и сущностей оценивался в $549,6 млн в 2020 году. К 2026 году он, как ожидается, достигнет $4,2 млрд.

Многие ИБ-специалисты осознали, что традиционные сигнатурные методы не всегда способны эффективно выявлять инциденты. В современном мире значительная часть киберугроз связана с поведением пользователей или устройств: социальная инженерия, целенаправленные угрозы со стороны внутренних нарушителей, хактивисты и т.д.

Для компаний с большим количеством сотрудников и географически распределенными филиалами своевременное обнаружение таких событий становится критически важным. Постепенно растет осознание, что универсальное решение, объединяющее поведенческий анализ пользователей и устройств, работает эффективнее набора отдельных средств защиты.

Эффективность UEBA достигается через сопоставление текущей картины с «базовой линией» — стандартом поведения, который формируется на основе исторических данных об активности пользователей и устройств. Подход фокусируется на пресловутом «человеческом факторе», а также пристально отслеживает поведение элементов ИТ-периметра компании. 

Например, система может учитывать сетевую активность устройства, нормальную для определенного времени суток, а также анализировать события в сопоставлении с правами и привилегиями пользователя, который работает на этом устройстве.

Скомпрометированная учетная запись всегда действует не так, как ее законный владелец, и такие отклонения становятся заметны как раз с помощью поведенческого анализа — еще ничего не произошло, но подозрительная активность уже налицо.

Несколько примеров применения UEBA-решений в различных контекстах:

1. Обнаружение мошенничества. В финансовых системах или системах электронной коммерции UEBA может использоваться для выявления мошеннических действий, таких как необычные схемы транзакций, указывающие на потенциальные финансовые преступления.

2. Мониторинг соблюдения конфиденциальности данных. В разных сферах, например, в здравоохранении, UEBA поможет обеспечить соблюдение законов о конфиденциальности персональных данных путем мониторинга доступа к записям пациентов и выявления случаев, когда сотрудники получают доступ к записям без законной необходимости.

3. Обнаружение постоянных серьезных угроз (APT). UEBA может сыграть важную роль в обнаружении APT, когда злоумышленники проникают в системы и остаются незамеченными в течение длительного времени, поскольку она способна заметить тонкие, долгосрочные изменения в поведении.

4.Предотвращение утечки данных. Отслеживая доступ к данным и их перемещение, UEBA может выявить потенциальные попытки утечки данных, такие как копирование больших объемов данных на внешние накопители или загрузка их в облачные сервисы.

5. Обнаружение фишинговых атак. UEBA иногда может обнаружить последствия фишинговых атак, например, когда учетные данные используются необычным образом после успешной атаки.

6. Автоматизированное оповещение и реагирование на инциденты. Системы UEBA могут автоматизировать оповещение команд безопасности о подозрительных действиях и иногда интегрируются с системами реагирования для принятия немедленных мер, таких как блокировка пользователя или изменение контроля доступа.

7. Ускорение расследования инцидентов. Инструменты UEBA могут значительно облегчить работу сотрудников службы безопасности, оценивая инциденты, определяя их приоритетность и выделяя важные события, требующие внимания сотрудника.

8. Анализ производительности сотрудников. UEBA-решения могут заметить изменения в ежедневном рабочем времени сотрудника. Если по данным системы видно, что сотрудник стал работать меньше или больше часов, это может указывать на то, что он избегает выполнения своей работы или у него слишком много задач. 

Особенности UEBA

Однако такая прозорливость требует времени: ИИ-модели нуждаются в обучении, чтобы адаптироваться к особенностям конкретной организации.

Эффективность здесь напрямую зависит также от качества и полноты данных для обучения. Если данные неполные или ненадежные, то ложные срабатывания ИБ-инструментов становятся также вероятными, как и в случае использования традиционных инструментов. Кроме того, процесс интеграции UEBA-решений с существующими системами зачастую оказывается трудоемким и требует значительных затрат.

Также одной из ключевых проблем является сложность обучения и подготовки специалистов по кибербезопасности для работы в UEBA-парадигме. Несмотря на преимущества таких инструментов, многие сотрудники предпочитают работать со знакомыми технологиями, такими как сигнатурный анализ в SIEM-системах, избегая изучения новых подходов.

Решением может стать активное обучение персонала и внедрение культуры использования ИИ в процессах киберзащиты. Это позволит снять барьеры восприятия и ускорить внедрение UEBA-решений, которые, в свою очередь, способны не только автоматизировать рутинные задачи, но и значительно повысить общий уровень информационной безопасности организаций.

Наконец, еще один вызов связан со сложностью определения критериев аномального поведения. Часто организации затрудняются сформулировать, какие именно действия пользователей или устройств представляют угрозу их безопасности.

Российский рынок UEBA

Российский рынок UEBA-решений находится в стадии развития уже около семи лет. Несмотря на сравнительно медленное распространение, интерес к таким инструментам неуклонно растет. Этот тренд объясняется усиливающейся потребностью в технологиях для выявления сложных и скрытых киберугроз.

В эпоху концепции zero trust («нулевого доверия») такие технологии помогают ИБ-специалистам проводить расследование инцидентов, обеспечивая глубокий анализ действий пользователей и устройств.

Кроме того, поведенческая аналитика находит применение не только в ИБ, но и в задачах бизнеса: она позволяет топ-менеджерам понимать, что происходит внутри компании, без необходимости задавать сотрудникам прямые вопросы. Это приближает задачи UEBA к сегменту UBA (User Behavior Analytics), где основное внимание уделяется именно пользователям.

Отличительной чертой российского рынка является гибкость в трактовке самого понятия «поведенческая аналитика», которая охватывает три направления: анализ сетевого трафика (NTA и NTBA), поведенческий анализ пользователей при работе с устройствами и мониторинг взаимодействия с прикладными системами. Для каждого из этих направлений уже существуют отечественные разработки, что подтверждает зрелость рынка.

Интерес к UEBA-решениям в России пока сосредоточен среди крупных организаций и коммерческих SOC. Этот спрос нельзя назвать массовым, что связано с низким уровнем осведомленности большинства компаний о преимуществах подобных технологий. Вендоры, работающие на этом рынке, сталкиваются с необходимостью продвигать UEBA-решения, проводя активную разъяснительную работу, чтобы показать их значимость для повышения уровня киберзащиты.

На российском рынке существует несколько UEBA-решений, каждое из которых обладает своими особенностями. Среди них можно отметить DataGrain RUMA, которое специализируется на выявлении угроз, недоступных для классических систем информационной безопасности — как раз за счет анализа поведения пользователей и устройств.

Также представлены решения Ankey ASAP, Dataplan, R-Vision UEBA, Security Vision UEBA и InfoWatch Prediction. Отличительной чертой продуктов являются разнообразные встроенные модели и коннекторы для интеграции с внешними источниками данных. Эти решения требуют тщательной кастомизации и глубокой проектной проработки для эффективного внедрения.

Модуль UEBA в SIEM Alertix ориентирован на базовую поведенческую аналитику, а в PAM Infrascope аналогичный модуль нацелен на контроль отклонений в поведении привилегированных учетных записей.

Помимо этого, алгоритмы поведенческого анализа внедряются и в традиционные средства защиты, такие как DLP-системы, решения для анализа сетевого трафика и другие СЗИ.

Однако большинство таких решений фокусируется на одной конкретной области, что вынуждает заказчиков использовать несколько различных инструментов и переключаться между ними. UEBA позволяет объединить анализ разных категорий объектов под единым «капотом», предоставляя более универсальное решение.

Перспективы

Ключевой проблемой на российском рынке остается стремление заказчиков оперативно заменить зарубежные решения с полной функциональностью доступной «здесь и сейчас». Однако большинство отечественных продуктов появилось на рынке лишь в последние три года, в то время как международные компании развивали направление UEBA более десяти лет. 

Несмотря на то, что до недавнего времени на отечественном рынке было много западных решений, а у отечественных производителей не было сопоставимого временного ресурса для клонирования функциональности гигантов, российские вендоры уже сейчас составляют достойную конкуренцию, закрывают большинство задач класса UEBA и расширяют дорожную карту развития. 

Сегодня разработчики активно взаимодействуют с заказчиками, изучают их потребности и на основе этого выстраивают функциональность своих решений. Такой подход помогает ускорить адаптацию продуктов к реальным задачам бизнеса и усилить позиции российского рынка UEBA-решений.

Заказчики стремятся к упреждающему выявлению и пресечению потенциальных угроз, включая анализ состава и критичности выгружаемых данных, что делает UEBA-решения особенно актуальными. Кроме того, введение оборотных штрафов за утечки данных усиливает интерес к превентивным мерам защиты.