UEBA, или поведенческая аналитикаБазовая функция всех систем безопасности будущего

Основные цели UEBA – оптимизация расследования инцидентов за счет сокращения как времени расследования, так и числа сотрудников, в нем задействованных. Еще одна цель – повышение качества выявления инцидентов, по сути, предотвращение инцидентов, которые могут произойти в компании. И отсюда следует еще одна цель – прогнозирование, или управление рисками информационной безопасности.

Новая технология для проверки легитимного поведения

Причиной популярности технологии UEBA стал рост количества данных, с которыми приходится ежедневно работать офицерам ИБ. Развиваются технологии больших данных, причем не только как часть систем информационной безопасности, но и как часть защищаемых систем. В то же время растет компетенция злоумышленников, увеличивается сложность атак с целью хищения критичной информации или ее модификации в информационных системах. Их становится крайне сложно отличить от штатного, легитимного поведения пользователей. Все это потребовало новых решений по защите информации и предотвращению инцидентов, которыми отчасти и стали технологии UEBA.

Новый модуль в старых системах, а не новый класс решений

Одни эксперты говорят, что UEBA – это отдельная интеллектуальная SIEM-система, в которую включена логика построения профилей не только пользователей, но и любых сущностей с возможностью выявления отклонений для этих профилей. Другие считают, что лучшим подходом применения технологии является внедрение модулей UEBA в прикладные системы защиты. Оба варианта существуют.

Важно понимать, что идеальных универсальных систем не существует, никакая SIEM-система не будет эффективно работать до тех пор, пока не будут подготовлены данные для обработки. Сегодня практически нет компаний, где, кроме SIEM-системы, не стоит ни одной прикладной системы информационной безопасности. С подходом UEBA ситуация аналогичная, важно подать на эту систему события, на основе которых она будет обучаться и строить профили. Тут возникает вопрос: откуда эти данные взять? И главным источником данных станут те же прикладные системы защиты целевых информационных систем компании. Поэтому логичным подходом будет интеграция модулей UEBA с целью усиления прикладных решений информационной безопасности, которые уже появляются в ряде российских решений.

Без машинного обучения большие данные останутся слепыми

Классический и уже устаревший на сегодня подход к обеспечению информационной безопасности заключался в трех аспектах:

• построение правил – политик безопасности по принципу черных и белых списков;
• работа системы с сигнатурами – теми правилами, которые заложил тот или иной вендор, обладая своей компетенцией в решении определенных задач;
• человеческий анализ данных, которые попали под правила или под сигнатуры.

Руководствуясь таким подходом, можно было выявлять только нарушения, подпадающие под ранее созданные правила.

Несколько модернизировало этот подход, минусы которого уже очевидны, внедрение вендорами технологии больших данных. Благодаря возможности тотального перехвата всех событий пропала жесткая необходимость настраивать правила срабатывания системы. Это значительно облегчило работу сотрудникам служб информационной безопасности.

Возможность собирать и хранить огромные объемы информации даже в случае, если заранее об инциденте не было известно и он не описан в политиках безопасности, позволила проводить расследования с помощью ретроспективного анализа.

Но в то же время системы оставались "слепыми" перед более изощренными злоумышленниками и не фиксировали признаки инцидентов до их возникновения. Поэтому логичным развитием систем ИБ стало появление новых механизмов машинного обучения и поведенческого анализа в системах информационной безопасности. Как раз подобные системы и представляют собой решения класса UEBA.

Как работает инструмент поведенческого анализа на практике

Для офицеров информационной безопасности технология UEBA как модуль прикладных систем защиты состоит из двух аспектов:

1. Модель обучения – копит статистику по каждому пользователю в течение большого промежутка времени, строит профиль его работы и выявляет отклонения.

После подачи трафика на систему она обогащается данными и обучается. По анализу действий пользователей за определенный период – от недели до месяца – система строит профиль для каждого пользователя, состоящий из громадного количества идентификаторов всех его действий. После завершения обучения системы из нее удаляются те события, которые уже на этапе обучения были нелегитимными, и система переводится в режим выявления отклонений.

2. Статистический анализ – фиксирует нестандартные действия пользователей и систем.

Один из наиболее полезных вариантов применения модуля UEBA в выявлении инсайдеров – детектирование статистических аномалий. Когда сотрудники, обладая легитимным доступом к данным, начинают нестандартно работать, делать больше запросов или получать информацию по тем данным, по которым раньше не получали, самообучающиеся системы безопасности подадут сигнал.

Поведенческий анализ станет стандартом для систем безопасности

Уже в ближайшие 2–3 года использование модуля UEBA в прикладных системах защиты информации станет привычным для ежедневной работы сотрудников сферы информационной безопасности. Работы в этом направлении уже активно ведутся как зарубежными, так и российскими вендорами. В первую очередь поведенческий анализ найдет применение в системах защиты баз данных (DAM, DBF), расследовании сетевых инцидентов (Network Forensics) и DLP-решениях.

Как только системы информационной безопасности будут адаптированы под инцидентную модель, количество решаемых задач возрастет, а время на их решение значительно сократится.