Від яких загроз захищають самонавчені системи класу UEBA
Від яких загроз захищають системи, що самонавчаються, класу UEBA
Що таке UEBA-технології
UEBA (User and Entity Behavior Analytics - поведінкова аналітика користувачів та сутностей) - відносно новий тренд, який стає популярним на ІБ-ринку. Суть цієї технології полягає в її назві - це поведінковий аналіз високого рівня точності, що дозволяє заздалегідь визначати ситуації, в яких компанії може бути завдано шкоди. Під сутністю маються на увазі бізнес-додатки, сервери, робочі станції, сховища даних, бази даних тощо.
Особливо це актуально для великих компаній із тисячами користувачів, адже тисячі користувачів генерують десятки мільйонів подій: підключаються до корпоративних систем, копіюють, пересилають інформацію, як усередині компанії, так і назовні, працюють із зовнішніми ресурсами, електронною поштою, фінансовими та технологічними системами. В результаті ми отримуємо повноцінні великі дані
Робота з цими великими даними за рахунок власних кадрів може бути вкрай скрутною, а віддавати її на аутсорс — дорого. Наприклад, якщо для виявлення інцидентів інформаційної безпеки використовувати тільки SIEM-системи, то для них неможливо придумати та налаштувати достатні правила кореляції подій, що виявляють всі можливі ІБ-інциденти, та продумати всі винятки з правил, щоб мінімізувати кількість помилкових спрацьовувань. Вирішити цю проблему допомагають технології UEBA, які детектують відхилення від нормальної («середньостатистичної») поведінки користувачів чи сутностей.
Самові навчальні системи класу UEBA використовує ті ж дані, які збирають SIEM-додатки, після чого обробляють їх і формують конкретні поведінкові шаблони для кожного користувача чи сутності. Ці профілі постійно уточнюються та деталізуються. При цьому система може бути налаштована таким чином, щоб не реагувати на кожне неправильне введення пароля, некритичну помилку в конфігурації або банер, що випадково спливає.
Це допомагає UEBA-додаткам значно скоротити кількість помилкових спрацьовувань. Натомість система працює з випадками доступу до зовнішніх та внутрішніх ресурсів (у тому числі тих, що не належать до робочої діяльності), хмарних сервісів, корпоративних інформаційних систем (наприклад, CRM, ERP або АСУ ТП). Особливо ретельно враховуються дії VIP- та привілейованих користувачів та технологічних облікових записів, запуск додатків та процесів на робочих станціях та інші підозрілі чи аномальні дії.
Рішення класу UEBA допомагають компаніям захиститися від різних загроз. Серед них: несанкціонований доступ до конфіденційної інформації, цілеспрямовані атаки, витоку конфіденційної інформації та баз даних, шахрайські дії, крадіжки інтелектуальної власності або комерційної таємниці, віруси-шифрувальники, шкідливе ПЗ, порушення виробничих та бізнес-процесів та багато інших.
Фактично, йдеться не про якийсь особливий клас загроз, а про відмінний від традиційного підходу метод виявлення підозрілої активності.
Припустимо, якийсь користувач почав звертатися до сайтів пошуку роботи, хоча раніше цього не робив. Потім він підключився до CRM-системи та скопіював базу даних замовників компанії, розмістив на файловому сервері та відправив собі посилання на зовнішню особисту поштову скриньку. UEBA зафіксує кожну стадію даного інциденту: нетипове звернення до сайтів пошуку роботи, копіювання бази даних замовників, розміщення великого обсягу даних на файловому сервері, надсилання поштового повідомлення на зовнішню особисту поштову скриньку. І на кожному з етапів відбуватиметься повідомлення офіцера безпеки.
Чим UEBA відрізняється від попередніх поколінь рішень для поведінкового аналізу
Сучасні UEBA використовують більш просунуті математичні моделі, ніж ті ІБ-рішення, які використовувалися раніше. Вони здатні працювати зі значно більшим обсягом даних, а також розпізнавати вектори або ланцюжки атак (kill-chain).
Такі рішення можуть знижувати чи підвищувати пріоритет тієї чи іншої події залежно від того, до якого етапу kill-chain вона належить. І якщо атака не доходить до свого фіналу, то загалом пріоритет усіх подій попередніх стадій знижується. Залежно від налаштування чутливості, UEBA може навіть не повідомляти офіцера безпеки про атаку, яка закінчилася невдачею для кіберзлочинця. Наприклад, якщо периметр безпеки не було подолано
При цьому UEBA-рішення можна використовувати як самі по собі, так і у зв'язці із SIEM-системами. Останній варіант аналітики називають кращим, тому що SIEM-система є найбільш повноцінним постачальником даних для UEBA.
UEBA відносять до класу дорогих рішень, тому компанії проводять тривале попереднє пілотне тестування — близько 3 місяців. Цього часу вистачає для самонавчання системи: вона отримає достатній обсяг даних, зокрема, журнали найбільш критичних бізнес-систем та джерел ІТ-інфраструктури. Інтеграція з інформаційною системою підприємства, яка містить найактуальніші дані про працівників, дозволить реалізувати точну ідентифікацію користувачів.
Наступне впровадження UEBA може відбуватися досить швидко, особливо якщо це рішення є додатковим модулем до SIEM-системи того ж виробника. Прийомо-здатні випробування за аналогією з пілотним тестуванням повинні включати емуляцію дій потенційного порушника
Вартість подібних рішень залежить від обсягу даних (кількості подій в секунду або обсягу трафіку). Вартість робіт з інтеграції, у свою чергу, залежатиме від кількості джерел даних, величини інсталяції SIEM-системи, розподілу мережевої архітектури, необхідності доопрацювання регламентуючих документів щодо виявлення та розслідування інцидентів ІБ та інших факторів.
