Поведенческий анализ пользователей и сущностей
UEBA — решения для выявления угроз, которые работают на основе поведенческого анализа. То есть сравнивают действия пользователей и устройств в системе с типовыми для них и выявляют аномалии. Системы UEBA базово обладают лишь возможностью уведомлять об отклонениях, для реагирования используются другие решения.
Зачем нужен UEBA?
Большинство ИБ-инструментов используют логику «Зафиксировано событие X, значит произошёл киберинцидент». Они фокусируются на проникновении злоумышленников в инфраструктуру извне и прочих внешних воздействиях. Современные киберпреступники зачастую могут долго оставаться внутри периметра, успешно маскируя свои действия под легитимные. Тогда традиционные методы выявления инцидентов заходят в тупик.
UEBA анализирует события, не разделяя их на внешние и внутренние. Система постоянно отслеживает происходящее в корпоративном периметре, выделяет и логирует любые отклонения. Так можно обнаружить кибератаки, оставшиеся незамеченными другими сервисами.
Примеры фиксируемых UEBA событий
- сотрудник вошёл в систему не в свои стандартные рабочие часы (обычно с 9:00 до 17:00, а сейчас в 5:00);
- вход зафиксирован из другой страны или даже с иного континента (Китай или США вместо обычной России);
- сотрудник использует для входа в систему нетипичное устройство (вошёл с неизвестного ноутбука, а не с рабочего компьютера);
- учётная запись подключилась к ранее не используемым ресурсам (инженер получил доступ к базе данных бухгалтерии);
- сотрудник скачал большой объём данных за один раз (10 ГБ, тогда как ранее он таких скачиваний не выполнял).
Выявляя одно или несколько подобных событий, UEBA логирует их и отправляет уведомление администратору. Они могут быть как началом кибератаки, так и указывать на вполне объяснимое отклонение от рабочего процесса. Например, сотрудник находится в командировке, работает с личного ноутбука на больничном или приступил к решению новой задачи.
Схема работы UEBA
- Фиксирует все данные о поведении пользователей и устройств в системе.
- Создаёт базовый поведенческий профиль для каждого компонента системы.
- Сопоставляет поведение в данный момент с профилем и находит аномалии.
Предварительное обучение — важный этап внедрения UEBA, так как коробочное решение не может достаточно точно классифицировать события конкретной среды. Для этого используется комбинация встроенных алгоритмов, настраиваемых правил и машинного обучения.
UEBA и другие ИБ-инструменты
Поведенческий анализ пользователей и сущностей нацелен именно на выявление отклонений, а не реагирование. Для его работы необходимы приведённые к стандартному виду записи о событиях. Поэтому UEBA важно интегрировать с другими используемыми решениями:
- SIEM, откуда UEBA будет получать нормализованные события для поведенческого анализа;
- DLP, откуда будут поступать данные о возможных утечках;
- XDR и SOAR, куда UEBA будет передавать данные о выявленных отклонениях для последующего реагирования.
В комплексных ИБ-продуктах UEBA нередко используют как один из модулей выявления угроз. Например, именно так поведенческий анализ работает в DLP-системе Solar Dozor.