Как UEBA помогает повышать уровень кибербезопасности


    Организации, которые хотят добавить расширенные аналитические возможности или возможности машинного обучения в свой арсенал ИТ-безопасности, имеют в своем распоряжении относительно новое решение: систему аналитики поведения пользователей и сущностей – User and Entity Behavior Analytics (UEBA).

    Продукты UEBA определяют шаблоны в типичном поведении пользователей, а затем детектирует аномальные действия, которые не соответствуют этим шаблонам и могут представлять проблемы с безопасностью. Кроме того, системы UEBA выявляют нетипичные события в различных сущностях (entity), к которым относят рабочие станции, программное обеспечение, сетевой трафик, СХД и прочее и т. п.

    Для определения отклонений применяются разнообразные аналитические методы, включая машинное обучение. Кстати, существует и класс UBA-систем, которые, как несложно догадаться, анализируют только ту информацию, которая связана с пользователями и их ролями. Источниками данных для UEBA-систем являются файлы логов серверных и сетевых компонентов, систем безопасности, локальные журналы с конечных рабочих ПК.

    Обычно решения UEBA выполняют свою работу уже после того, как другие средства киберзащиты не смогли выявить угрозы внутри сети.

    Хотя решения UEBA появились не так давно, они быстро стали популярными в крупных корпорациях. По данным Gartner, объем продаж специализированных решений UEBA удваивается каждый год. Кроме того, многие поставщики включают функциональность UEBA в другие инструменты безопасности, такие как SIEM (Security information and event management — Системы управления информационной безопасностью и событиями), системы анализа сетевого трафика, управления идентификацией и доступом (IAM), защиты конечных точек или средства предотвращения утечек данных. Аналитики Gartner прогнозируют, что в течение пяти лет отдельные продукты UEBA, которые сохранятся к тому времени на рынке, превратятся в решения нового поколения SIEM, в то время как остальные решения UEBA найдут свою нишу в других технологиях безопасности.


    Алгоритм работы систем UEBA. Источник: Gartner

    Ниже приведено краткое описание наиболее популярных продуктов в сегменте UEBA. Более подробную информацию о продуктах можно найти в таблице сравнения UEBA на ROI4CIO, основанной на сравнении лидеров (по результатам Gartner исследования).

    Exabeam Advanced Analytics


    Компания Exabeam поставляет решения для обеспечения безопасности и управления, которые помогают организациям любого размера защитить наиболее ценную информацию. В своей работе продукты Exabeam используют технологии машинного обучения и поведенческой аналитики.
    По мнению экспертов Gartner, продукт Exabeam Advanced Analytics является одним из лучших в категории UBA. По сравнению с конкурентами, это решение очень простое в обучении для системных администраторов или аналитиков, а значит и время его внедрения намного меньше. Аналитикам не придется тратить дни или недели на сбор доказательств и построение графиков инцидентов на базе информации, полученной из SIEM. Благодаря функции расширенной аналитики временная шкала предварительно построенных инцидентов отмечает аномалии и отображает подробности с целью полного охвата события и его контекста.

    То, что ранее занимало недели, теперь можно сделать за считанные секунды. Пользовательский интерфейс продукта удобен, навигация и просмотр исторических данных работают чрезвычайно быстро. Решение содержит сотни встроенных моделей, причем некоторые из них — уникальны, их нельзя найти у конкурентов, что является главным преимуществом продукта. Компания предлагает квалифицированную техподдержку для своих решений.

    А вот инструмент отчетности, к сожалению, практически отсутствует. У пользователя есть возможность печати/экспорта содержимого окна браузера, пересылки предупреждений об аномальных сессиях в SIEM-систему или же он может просто сделать снимки экрана. Если нужно нечто большее, необходимо прибегнуть к использованию альтернативного инструмента. Просмотр более десятка событий на временной шкале требует монитора с высоким разрешением, хотя даже в этом случае поместится не более 20 событий. Есть функция пользовательского поиска с использованием поисковой панели «Охотник за угрозами», которая предлагает неплохую функциональность.



    Micro Focus Security ArcSight UBA


    Продукт ArcSight User Behavior Analytics предоставляет компаниям детальную информацию о своих пользователях, что значительно упрощает формирование данных о моделях поведения, помогающих смягчать угрозы. Он помогает обнаруживать и расследовать злонамеренное поведение пользователей, внутренние угрозы и злоупотребления учетными записями. Таким образом, он позволяет организациям детектировать нарушения до того, как они нанесут значительный ущерб.

    ArcSight User Behavior Analytics помогает заказчикам снизить риски кибератак, детектировать аномальное поведение за счет сопоставления логов систем управления идентификацией пользователя с остальными ИТ-логами, сгенерированными приложениями и сетями. Кроме того, продукт обеспечивает более быструю реакцию на выявленные угрозы за счет глубокой интеграции с SIEM, а также более быстрое расследование инцидентов. Дело в том, что UBA анализирует данные, связанные с пользователями, выявляет отклонения и сравнивает их с аналогами, исторической активностью и/или нарушениями предопределенного ожидаемого поведения.

    Таким образом, ArcSight UBA детектирует ненормальное поведение пользователя, что очень важно для обнаружения взлома или злоупотреблений с учетной записью. Micro Focus предлагает наиболее зрелые, проверенные варианты использования безопасности в UBA и симбиотическую бесшовную интеграцию с SIEM.



    Forcepoint UEBA


    Решение Forcepoint User and Entity Behavior Analytics (UEBA) позволяет командам безопасности проактивно отслеживать внутри организации аномальное поведение с высоким уровнем риска. Аналитическая платформа защиты формирует не имеющий равных контекст, объединяя структурированные и неструктурированные данные для выявления и блокирования злонамеренных, скомпрометированных и небрежных пользователей. Forcepoint обнаруживает различные критические проблемы, такие как скомпрометированные учетные записи, корпоративный шпионаж, кража интеллектуальной собственности и мошенничество.
    Оценивая нюансы взаимодействия людей, данных, устройств и приложений, Forcepoint UEBA определяет приоритеты сроков для групп безопасности. Программное решение от Forcepoint построено на четырех принципах:

    Богатый контекст. Продукт сводит в единое целое контент, собранный из разрозненных источников данных. Тем самым, дополняя возможности решений SIEM и других решений в сфере ИБ, по выявлению и предупреждению нежелательных действий пользователей.

    Поведенческая аналитика. Forcepoint UEBA применяет несколько видов строгой поведенческой и контент-аналитики, ориентированной на обнаружение изменений, паттернов и аномалий, с целью лучшего детектирования сложных атак.

    Поиск и обнаружение. Предоставляет мощные инструменты криминалистического расследования и обнаружения через контекстный пользовательский интерфейс для непрерывного мониторинга и глубоких исследований.

    Интуитивно понятный рабочий процесс. Обеспечивает проактивную отчетность, которая полностью интегрируется с рабочим процессом системного администратора и существующей клиентской информационной архитектурой с целью оптимизации операционной эффективности.



    Splunk User Behaviour Analysis


    Одно из основных достоинств Splunk User Behaviour Analysis — обнаружение неизвестных угроз и аномального поведения с помощью машинного обучения.

    Решение Splunk User Behaviour Analysis предлагает следующие функции:

    Расширенное обнаружение угроз. Продукт обнаруживает отклонения и неизвестные угрозы, которые упускают из вида традиционные инструменты безопасности.

    Более высокая производительность. Автоматизирует объединение сотен детектированных аномалий в единую угрозу, что значительно упрощает жизнь аналитика по безопасности

    Мощные возможности расследования инцидентов. Решение использует глубокие следственные возможности и мощные базовые характеристики поведения для любой сущности, аномалии или угрозы.

    Улучшение видимости и обнаружения. Автоматизирует обнаружение угроз с помощью машинного обучения, что позволяет уделять больше времени устранению самих угроз и укреплению безопасности.

    Ускоренная охота за угрозами. Splunk User Behaviour Analysis быстро идентифицирует аномальные объекты без привлечения человеческого участия. Решение содержит широкий набор различных типов аномалий (свыше 65) и классификаций угроз (более 25) для пользователей, учетных записей, устройств и приложений.

    Дополненные SOC ресурсы. Автоматически объединяет сотни аномалий, наблюдаемых в нескольких сущностях — пользователях, учетных записях, устройствах и приложениях — в одну общую угрозу для более быстрой ответной реакции.



    Securonix UEBA


    Решение Securonix UEBA представляет возможности расширенной аналитики на основе машинного обучения. Среди преимуществ продукта следует отметить следующие:

    Уменьшение риска инсайдерских угроз. Securonix создает исчерпывающий профиль риска для каждого пользователя в среде компании, исходя из информации о личности, занятости, нарушениях безопасности, ИТ-активности и доступе, физическом доступе и даже телефонных записях.

    Продукт определяет истинные области риска, сравнивая активность пользователей с их индивидуальными базовыми показателями, базовыми показателями тех групп, в которые они входят, и известными индикаторами угроз. Результаты оцениваются и представляются в интерактивных оценочных таблицах.

    Более четкая видимость в вашем облаке. Здесь стоит отметить такие функции как мониторинг «от облака к облаку» со встроенными API-интерфейсами для всех основных облачных инфраструктур и технологий приложений; обнаружение вредоносной активности путем анализа прав и событий пользователя; корреляция облачных и локальных данных с целью добавления информации о контексте объекта. Кроме того, следует указать сквозной анализ шаблонов угроз, дающих повод для ответной реакции.

    Проактивное обнаружение фрода на предприятии. Продукт способен идентифицировать сложные мошеннические атаки, которые обычно избегают методов обнаружения на основе сигнатур, используя расширенное поведение без сигнатур и методы анализа аномальных значений на основе одноранговых узлов. Также стоит отметить функции обнаружения захвата аккаунта, аномального поведения пользователя, мошенничества с транзакциями, и нарушений, связанных с отмыванием денег.



    Резюме


    Системы класса UEBA/UBA — важный элемент в выявлении неизвестных типов угроз, APT- атак, а также сотрудников, нарушающих правила ИБ внутри компании. Продукты UEBA нацелены на решение четырех базовых задач.

    Во-первых, простая и расширенная аналитика информации из различных источников с применением методов машинного обучения, периодически или постоянно, в реальном времени. Во-вторых, UEBA предназначены для оперативного детектирования атак и иных аномалий, которые обычно не выявляются классическими средствами ИБ.
    В-третьих, это определение значимости событий, собранных из разных источников (системы типа SIEM, DLP, AD и т. д.) с целью быстрого реагирования администраторами по информационной безопасности.
    В-четвертых, мощная ответная реакция на события, обеспеченная за счет того, что администраторы по ИБ владеют комплексной и детальной информации об инциденте.

    Больше продуктов UEBA и более детальную информацию по ним можно найти в сравнительной таблице UEBA на ROI4CIO.



    Автор обзора: Олег Пилипенко, для ROI4CIO
    ROI4CIO
    60,00
    Сервисы для покупателей и продавцов ИТ.
    Поделиться публикацией

    Комментарии 15

      +3
      Кликбейтите, батенька.
        0

        UEBA-же. Все в оригинале идет, хотя по этическим стандартам для технического перевода полагается на нелициприятные названия делать акроним по-русски, и использовать его, но, видимо, это не тот случай этичного хакинга, когда все правильно и по феньшую. Кстати занотки феньшуя, не поскажете, использование UEBA-аббревиатуры против соглашения сообщества habrarabr или все-таки нет?

          0
          Да я всё понимаю, но не хотелось возможность упустить.
          По теме — считаю, что акроним в оригинале не является ненормативной лексикой, следовательно, все проблемы на языке перевода — проблемы самого языка перевода.
            0
            Спасибо за комментарии. Как говорится «что русскому смешно, то Gartner-у тренд». Мы думали на тему перевода. По идее можно было бы ПАПС (Поведенческая Аналитка Пользователей и Сущностей) или АППС перевести, но такие аббревитуру, судя по всему никто не использует. По крайней мере пока.
              +2

              Что значит "нелициприятные названия"? В этом словосочетании есть хоть какой-то смысл?

                0
                Так, например, могли уменьшительно-ласкательно называть главного героя клипа Ленинграда www.youtube.com/watch?v=jUZO0zpHhOA
                +2
                НЕЛИЦЕПРИЯТНЫЙ, -ая, -ое; -тен, -тна, -тно. Книжн. Беспристрастный, справедливый. Н-ая критика. Н. отзыв. Н-ое мнение. <Нелицеприятно, нареч. Н. отозваться об авторе. Он судил всегда н.
                newslab.ru/article/139101
              +3
              > UEBA

              Как по русски это для начальства произносить?
                0

                Уиби-эй

                  +2
                  Если система хорошая, то «АППС», а если плохая… тогда через «ё»
                    +3
                    Я не читал статью, сразу пошёл искать подобный комментарий. Так и знал, что кто-нибудь уже спросит. :)
                      0
                      Аналитика поведения пользователей и объектов
                      0

                      На самом деле если пресловутые ИТ процессы не работают и нет зрелости С- левел менеджмента то хоть трижды уеба толку не будет. Я бы сперва рекомендовал сперва как минимум принять стандарт качества или тот же исо20к, иначе деньги на ветер.

                        0
                        Чем отличается от Microsoft ATA? Кто уже щупал?
                        Ну и да, не по теме: UEBА, такая UEBA.
                          0
                          А MS ATA тоже использует технологии создания профилей нормального поведения и выявления отклонений от них, просто поддерживает меньше источников информации и сфокусирована на доменной windows инфраструктуре.

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое