Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Блог

Системы UEBA, или как изобличить волка в овечьей шкуре?

Еще в 19 веке Натан Ротшильд прозорливо заметил: «Кто владеет информацией, тот владеет миром». Сейчас его слова актуальны и справедливы как никогда. Владея определенными сведениями, можно получить невероятную прибыль, продвинуть бизнес вперед, стать первым в своей сфере или… разорить удачливого конкурента.  И чем большую значимость имеют данные, тем сложнее их защищать. Отвечая на запросы рынка, появляются новые технологии, помогающие бороться с современными информационными угрозами. Одной из них является User and Entity Behavioral Analytics (UEBA) – поведенческая аналитика пользователей и сущностей.

Что такое UEBA?

UEBA — достаточно молодой класс систем, использующий принципиально новый подход в борьбе с современными угрозами. Используя возможности машинного обучения, средства статистического анализа, а также массивы данных о пользователях и ИТ-сущностях (серверах, рабочих станциях, коммутаторах и т.д.), решения UEBA строят модели поведения, а затем отслеживают отклонения от них как в режиме реального времени, так и постфактум.

Источники данных для систем UEBA:

  • Журналы серверных и сетевых компонентов.
  • Сведения из журналов систем безопасности.
  • Локальные журналы с конечных станций.
  • Информация из систем аутентификации.
  • Сообщения в социальных сетях, мессенджерах, почтовых сообщениях и многое другое.

UEBA-системы способны создавать профили всего ИТ-окружения, что помогает выявлять угрозы, связанные не только с пользователями, но и с объектами ИТ-инфраструктуры.

Для чего это нужно?

Системы UEBA могут решать широкий спектр задач. Однако основной сценарий их применения включает обнаружение различных категорий угроз за счет анализа типичных моделей поведения пользователей и других сущностей, с последующим выявлением «белых ворон». Таким образом определяются:

  • неавторизованный доступ и перемещение данных;
  • подозрительное поведение привилегированных пользователей;
  • вредоносная или неавторизованная активность сотрудников;
  • нестандартный доступ и использование облачных ресурсов и многое другое.

Существует также ряд нетипичных сценариев применения, не связанных с кибербезопасностью, таких как мошенничество или мониторинг сотрудников.

Отдельное решение или функция?

Системы UEBA могут являться как отдельным решением, так и встроенной функцией.

  • «Чистые» UEBA-платформы фокусируются на большом спектре задач по аналитике поведения пользователей и сущностей.
  • Встроенные UEBA входят в состав комплексных продуктов и сфокусированы на решении более специфического набора задач.

Плюсом UEBA-платформ являются более широкие возможности, сложная аналитика и увеличенный функционал, но встроенные системы UEBA могут оказаться более эффективными для решения определенных задач благодаря своему доступу исключительно к нужным данным.

В настоящее время многие вендоры встраивают в свои решения функционал UEBA. Среди них можно отметить продукты Aruba (HP), Exabeam, Forcepoint, Fortinet, InfoWatch, Microsoft, Palo Alto, Securonix, Splunk, Varonis, VMware и другие.

Популярные «чистые» продукты в сегменте UEBA

Forcepoint UEBA. Решение позволяет командам безопасности проактивно отслеживать внутри организации аномальное поведение с высоким уровнем риска. Аналитическая платформа защиты формирует контекст, объединяя структурированные и неструктурированные данные для выявления и блокирования злонамеренных, скомпрометированных и небрежных пользователей. Продукт также обнаруживает различные критические проблемы, такие как скомпрометированные учетные записи, корпоративный шпионаж, кража интеллектуальной собственности и мошенничество.

Оценивая нюансы взаимодействия людей, данных, устройств и приложений, Forcepoint UEBA определяет приоритеты для групп безопасности.

Securonix UEBA. Продукт представляет возможности расширенной аналитики на основе машинного обучения. Среди преимуществ:

  • Уменьшение риска инсайдерских угроз за счет создания профиля риска для каждого пользователя в среде компании, исходя из информации о личности, занятости, типичных нарушениях безопасности, ИТ-активности, правах на доступ, физическом доступе и даже телефонных записях.
  • Определение истинных областей риска с помощью сравнения активности пользователей с их индивидуальными базовыми показателями, базовыми показателями тех групп, в которые они входят, и известными индикаторами угроз.
  • Более четкая видимость в облаке: мониторинг «от облака к облаку» со встроенными API-интерфейсами для всех основных облачных инфраструктур и технологий приложений; обнаружение вредоносной активности путем анализа прав и событий пользователя; корреляция облачных и локальных данных с целью добавления информации о контексте объекта; сквозной анализ шаблонов угроз, дающих повод для ответной реакции.
  • Проактивное обнаружение онлайн-мошенничества на предприятии: продукт идентифицирует сложные мошеннические атаки, используя расширенное поведение без сигнатур и методы анализа аномальных значений на основе одноранговых узлов; также предусмотрены функции обнаружения захвата аккаунта, аномального поведения пользователя, мошенничества с транзакциями, и нарушений, связанных с отмыванием денег.

Применение UEBA в составе разных типов решений

По технологической сфере применения функционала UEBA можно выделить следующие несколько типов решений:

Аудит и защита. В эту группу можно включить продукты, сфокусированные на улучшении безопасности структурированных и неструктурированных хранилищ данных (DCAP). В этой категории Gartner отметил, в том числе, платформу кибербезопасности Varonis, предлагающую анализ поведения пользователей для мониторинга изменений прав доступа к неструктурированным данным и их использования для различных хранилищ информации.

Cистемы CASB. Предлагают защиту от различных угроз в облачных SaaS-приложениях путем блокировки доступа нежелательных устройств, пользователей и версий приложений к облачным службам с помощью адаптивной системы контроля доступа. Все лидирующие на рынке решения CASB включают UEBA-возможности. В этом сегменте работают такие компании, как Cisco, Oracle, Palo Alto Networks, Symantec и Microsoft.

DLP-решения. Сами по себе сфокусированы на обнаружении вывода критических данных за пределы организации или их злоупотреблении.

Достижения DLP в большей части основываются на понимании контента. Меньшее внимание уделяется контексту, такому как привязка к пользователю, приложению, местонахождению, времени, скорости событий и другим внешним факторам. Чтобы быть эффективными, DLP-продукты должны распознавать и контент, и контекст. Именно поэтому многие производители (такие как InfoWatch, Solar Dozor и Forcepoint) начинают встраивать UEBA-функционал в свои решения.

Мониторинг сотрудников. Это возможность записывать и воспроизводить действия сотрудников, обычно в формате данных, подходящих в том числе и для судебных разбирательств.

Постоянное наблюдение за пользователями часто генерирует непомерное количество данных, требующих ручной фильтрации и анализа человеком. Поэтому UEBA используется внутри систем мониторинга для улучшения работы этих решений и обнаружения инцидентов только с высокой степенью риска, таких как, к примеру, FortiInsight, разработанный компанией Fortinet.

Безопасность конечных устройств. Решения для конечных устройств по обнаружению атак и реагированию на них (EDR), а также платформы защиты (EPP) предоставляют мощный инструментарий и телеметрию операционной системы на конечных устройствах.

Связная с пользователем телеметрия может быть проанализирована встроенными функциями UEBA.

Онлайн-мошенничество. Решения по обнаружению онлайн-мошенничества детектируют отклоняющуюся активность, указывающую на компрометацию аккаунта клиента через подставное лицо, вредоносное ПО или эксплуатацию незащищенных соединений/перехват трафика браузера.

Большинство решений, помогающих бороться с онлайн-мошенничеством используют квинтэссенцию UEBA, транзакционного анализа и измерения характеристик устройства, а более продвинутые системы дополняют их сопоставлением связей в базе данных идентификаторов личности. Такие продукты разрабатывает, к примеру, компания Group-IB.

IAM и управление доступом. IAM, а также системы управления и администрирования идентификации (IGA) используют UEBA для покрытия сценариев поведенческой и идентификационной аналитики, таких как обнаружение аномалий, анализ динамической группировки схожих сущностей, анализ входов в систему и политик доступа.

IAM и управление привилегированным доступом (PAM). Функция контроля использования административных учетных записей предопределяет наличие в PAM-решениях телеметрии, предназначенной для отображения, как, почему, когда и где были использованы административные аккаунты. Эти данные могут быть проанализированы с помощью встроенного функционала UEBA на наличие аномального поведения администраторов или злого умысла.

Производители NTA (Network Traffic Analysis), такие как Aruba (HP), используют для выявления подозрительной активности в корпоративных сетях комбинацию машинного обучения, продвинутой аналитики и обнаружения на базе правил.

Инструменты NTA фокусируются на аналитике поведения сущностей, постоянно мониторя исходный трафик и/или записи потоков (например, NetFlow) для построения моделей, которые отражают нормальное сетевое поведение.

SIEM. Многие SIEM-вендоры сейчас обладают продвинутым функционалом аналитики данных, встроенным в SIEM или в виде отдельного UEBA-модуля. В течение всего 2019 года наблюдалось непрерывное стирание границ между функционалом SIEM и UEBA. SIEM-системы стали лучше работать с аналитикой и предлагают более сложные сценарии применения.

Настоящее и будущее в отчете Gartner

В мае 2019 года аналитическое агентство Gartner опубликовало отчет по рынку систем поведенческой аналитики пользователей и сущностей (UEBA).

По итогам были сделаны следующие ключевые выводы:

  • Рынок поведенческой аналитики пользователей и сущностей перешел в стадию зрелости, что подтверждается широким использованием технологий UEBA средним и крупным корпоративным сегментом.
  • Функции UEBA-аналитики начали встраиваться в широкий диапазон смежных технологий информационной безопасности, таких как брокеры безопасного доступа в облако (CASB), системы управления и администрирования идентификацией (IGA) SIEM-системы. В ходе исследования аналитики сделали прогноз, что к 2021 году рынок систем UEBA сильно сдвинется в сторону комплексных решений, включающих функционал UEBA, а к 2020 году 95% всех внедрений UEBA будет являться частью функционала более широкой платформы безопасности.

Решения UEBA появились не так давно, но очень быстро завоевали популярность, что свидетельствует об их несомненной эффективности и востребованности в корпоративном сегменте. По данным Gartner, объем продаж специализированных решений UEBA удваивается каждый год, а многие крупные компании включают функциональность UEBA в свои решения, такие как SIEM, системы анализа сетевого трафика, управление идентификацией и доступом (IAM), защита конечных точек или средства предотвращения утечек данных.

Источник: отчет Gartner (май 2019)

Новости, истории и события
Смотреть все
«Инферит» (ГК Softline) и Orion soft подтвердили совместимость виртуализации zVirt с сервером и СХД INFERIT
Новости

«Инферит» (ГК Softline) и Orion soft подтвердили совместимость виртуализации zVirt с сервером и СХД INFERIT

11.07.2025

ПАО «Софтлайн» объявляет о приобретении свыше 1 миллиона акций Компании на Московской бирже в рамках обратного выкупа
Новости

ПАО «Софтлайн» объявляет о приобретении свыше 1 миллиона акций Компании на Московской бирже в рамках обратного выкупа

11.07.2025

Внеочередное общее собрание акционеров ПАО «Софтлайн» состоится 14 августа 2025 года с целью принятия решений, повышающих качество корпоративного управления Компании
Новости

Внеочередное общее собрание акционеров ПАО «Софтлайн» состоится 14 августа 2025 года с целью принятия решений, повышающих качество корпоративного управления Компании

10.07.2025

«Инферит» (ГК Softline) подтвердил совместимость операционной системы «МСВСфера АРМ» 9 и семейства офисных приложений «Р7-Офис»
Новости

«Инферит» (ГК Softline) подтвердил совместимость операционной системы «МСВСфера АРМ» 9 и семейства офисных приложений «Р7-Офис»

10.07.2025

«Инферит» (ГК Softline) выпустил новую версию платформы для управления подписками BillogicPlatform
Новости

«Инферит» (ГК Softline) выпустил новую версию платформы для управления подписками BillogicPlatform

09.07.2025

ПАО «Софтлайн» объявляет о промежуточных результатах обратного выкупа и подтверждает намерение продолжать покупки акций Компании на Московской бирже
Новости

ПАО «Софтлайн» объявляет о промежуточных результатах обратного выкупа и подтверждает намерение продолжать покупки акций Компании на Московской бирже

08.07.2025

«РЖД-Технологии» автоматизируют закупочные процессы с помощью платформы ROBIN от SL Soft FabricaONE.AI (акционер — ГК Softline)
Новости

«РЖД-Технологии» автоматизируют закупочные процессы с помощью платформы ROBIN от SL Soft FabricaONE.AI (акционер — ГК Softline)

08.07.2025

Инициатива по ведению уроков информатики на базе ОС «МСВСфера» от «Инферит» (ГК Softline) в школах вошла в топ-100 лучших идей форума «Сильные идеи для нового времени»
Новости

Инициатива по ведению уроков информатики на базе ОС «МСВСфера» от «Инферит» (ГК Softline) в школах вошла в топ-100 лучших идей форума «Сильные идеи для нового времени»

07.07.2025

«Инферит» (ГК Softline) представил рабочую станцию с жидкостным охлаждением для решения ИИ-задач
Новости

«Инферит» (ГК Softline) представил рабочую станцию с жидкостным охлаждением для решения ИИ-задач

07.07.2025

«Инферит» (ГК Softline) выпустил новый сервер с жидкостным охлаждением для ИИ-задач
Новости

«Инферит» (ГК Softline) выпустил новый сервер с жидкостным охлаждением для ИИ-задач

04.07.2025

Вышел новый релиз бизнес-платформы Polymatica ЕРМ компании SL Soft FabricaONE.AI (акционер — ГК Softline)
Новости

Вышел новый релиз бизнес-платформы Polymatica ЕРМ компании SL Soft FabricaONE.AI (акционер — ГК Softline)

03.07.2025

Платформа «Клаудмастер» от «Инферит FinOps» (ГК Softline) возглавила рейтинг российских решений для управления облачными финансами
Новости

Платформа «Клаудмастер» от «Инферит FinOps» (ГК Softline) возглавила рейтинг российских решений для управления облачными финансами

02.07.2025

ГК Softline и Центр развития транспортных систем договорились о сотрудничестве в сфере цифровизации транспорта
Новости

ГК Softline и Центр развития транспортных систем договорились о сотрудничестве в сфере цифровизации транспорта

01.07.2025

Акционеры ПАО «Софтлайн» в ходе Годового общего собрания приняли ряд важных решений, направленных на создание долгосрочной акционерной стоимости Компании
Новости

Акционеры ПАО «Софтлайн» в ходе Годового общего собрания приняли ряд важных решений, направленных на создание долгосрочной акционерной стоимости Компании

01.07.2025

Академия АйТи (кластер FabricaONE.AI ГК Softline) и CoMind запускают практико-ориентированную программу обучения ИИ для бизнеса
Новости

Академия АйТи (кластер FabricaONE.AI ГК Softline) и CoMind запускают практико-ориентированную программу обучения ИИ для бизнеса

30.06.2025

ПАО «Софтлайн» стало эталоном IR-рейтинга Smart-lab
Новости

ПАО «Софтлайн» стало эталоном IR-рейтинга Smart-lab

30.06.2025

Провайдер «Инферит Облако» (ГК Softline) и компания «Береста РК» объявили о стратегическом партнерстве в сфере цифровой трансформации бизнеса
Новости

Провайдер «Инферит Облако» (ГК Softline) и компания «Береста РК» объявили о стратегическом партнерстве в сфере цифровой трансформации бизнеса

27.06.2025

 ГК Softline приобретает контролирующую долю в группе компаний Омег-Альянс
Новости

ГК Softline приобретает контролирующую долю в группе компаний Омег-Альянс

27.06.2025

Без паники: как управлять ИТ-инфраструктурой без SCCM
Блог

Без паники: как управлять ИТ-инфраструктурой без SCCM

07.07.2025

ЦОД: основные компоненты, классификация и системы безопасности
Блог

ЦОД: основные компоненты, классификация и системы безопасности

04.07.2025

Критическая информационная инфраструктура: все, что нужно знать о КИИ
Блог

Критическая информационная инфраструктура: все, что нужно знать о КИИ

01.07.2025

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса
Блог

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса

27.06.2025

Технологии умного города: от ИИ до RPA
Блог

Технологии умного города: от ИИ до RPA

25.06.2025

ГК Softline развивает наукоемкое ПО для инженерного анализа (САЕ)
Блог

ГК Softline развивает наукоемкое ПО для инженерного анализа (САЕ)

23.06.2025

Российские облачные сервисы: преимущества, особенности и выбор
Блог

Российские облачные сервисы: преимущества, особенности и выбор

20.06.2025

VPS: что это и когда он необходим бизнесу
Блог

VPS: что это и когда он необходим бизнесу

17.06.2025

Яндекс 360: эволюция решений для цифровой трансформации бизнеса
Блог

Яндекс 360: эволюция решений для цифровой трансформации бизнеса

11.06.2025

Платформизация, безопасность ИИ и активная защита малого бизнеса — «Лаборатория Касперского» об ИБ-рынке
Блог

Платформизация, безопасность ИИ и активная защита малого бизнеса — «Лаборатория Касперского» об ИБ-рынке

09.06.2025

Генеративный ИИ в промышленности: роботы, агенты и «Индустрия 6.0»
Блог

Генеративный ИИ в промышленности: роботы, агенты и «Индустрия 6.0»

04.06.2025

Платежные терминалы: виды, безопасность и тенденции рынка
Блог

Платежные терминалы: виды, безопасность и тенденции рынка

28.05.2025

Российские антивирусы
Блог

Российские антивирусы

26.05.2025

Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025
Блог

Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025

20.05.2025

Цифровая трансформация: с чего начать
Блог

Цифровая трансформация: с чего начать

15.05.2025

Защита персональных данных: требования законодательства и способы защиты от утечек
Блог

Защита персональных данных: требования законодательства и способы защиты от утечек

06.05.2025

Как устроены цифровые двойники: этапы разработки и примеры использования
Блог

Как устроены цифровые двойники: этапы разработки и примеры использования

29.04.2025

Стратегия перехода в облако
Блог

Стратегия перехода в облако

24.04.2025

ИТ-решения, кейсы, новости
в Telegram-канале Softline
Подписаться