Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Блог

Системы UEBA, или как изобличить волка в овечьей шкуре?

Еще в 19 веке Натан Ротшильд прозорливо заметил: «Кто владеет информацией, тот владеет миром». Сейчас его слова актуальны и справедливы как никогда. Владея определенными сведениями, можно получить невероятную прибыль, продвинуть бизнес вперед, стать первым в своей сфере или… разорить удачливого конкурента.  И чем большую значимость имеют данные, тем сложнее их защищать. Отвечая на запросы рынка, появляются новые технологии, помогающие бороться с современными информационными угрозами. Одной из них является User and Entity Behavioral Analytics (UEBA) – поведенческая аналитика пользователей и сущностей.

Что такое UEBA?

UEBA — достаточно молодой класс систем, использующий принципиально новый подход в борьбе с современными угрозами. Используя возможности машинного обучения, средства статистического анализа, а также массивы данных о пользователях и ИТ-сущностях (серверах, рабочих станциях, коммутаторах и т.д.), решения UEBA строят модели поведения, а затем отслеживают отклонения от них как в режиме реального времени, так и постфактум.

Источники данных для систем UEBA:

  • Журналы серверных и сетевых компонентов.
  • Сведения из журналов систем безопасности.
  • Локальные журналы с конечных станций.
  • Информация из систем аутентификации.
  • Сообщения в социальных сетях, мессенджерах, почтовых сообщениях и многое другое.

UEBA-системы способны создавать профили всего ИТ-окружения, что помогает выявлять угрозы, связанные не только с пользователями, но и с объектами ИТ-инфраструктуры.

Для чего это нужно?

Системы UEBA могут решать широкий спектр задач. Однако основной сценарий их применения включает обнаружение различных категорий угроз за счет анализа типичных моделей поведения пользователей и других сущностей, с последующим выявлением «белых ворон». Таким образом определяются:

  • неавторизованный доступ и перемещение данных;
  • подозрительное поведение привилегированных пользователей;
  • вредоносная или неавторизованная активность сотрудников;
  • нестандартный доступ и использование облачных ресурсов и многое другое.

Существует также ряд нетипичных сценариев применения, не связанных с кибербезопасностью, таких как мошенничество или мониторинг сотрудников.

Отдельное решение или функция?

Системы UEBA могут являться как отдельным решением, так и встроенной функцией.

  • «Чистые» UEBA-платформы фокусируются на большом спектре задач по аналитике поведения пользователей и сущностей.
  • Встроенные UEBA входят в состав комплексных продуктов и сфокусированы на решении более специфического набора задач.

Плюсом UEBA-платформ являются более широкие возможности, сложная аналитика и увеличенный функционал, но встроенные системы UEBA могут оказаться более эффективными для решения определенных задач благодаря своему доступу исключительно к нужным данным.

В настоящее время многие вендоры встраивают в свои решения функционал UEBA. Среди них можно отметить продукты Aruba (HP), Exabeam, Forcepoint, Fortinet, InfoWatch, Microsoft, Palo Alto, Securonix, Splunk, Varonis, VMware и другие.

Популярные «чистые» продукты в сегменте UEBA

Forcepoint UEBA. Решение позволяет командам безопасности проактивно отслеживать внутри организации аномальное поведение с высоким уровнем риска. Аналитическая платформа защиты формирует контекст, объединяя структурированные и неструктурированные данные для выявления и блокирования злонамеренных, скомпрометированных и небрежных пользователей. Продукт также обнаруживает различные критические проблемы, такие как скомпрометированные учетные записи, корпоративный шпионаж, кража интеллектуальной собственности и мошенничество.

Оценивая нюансы взаимодействия людей, данных, устройств и приложений, Forcepoint UEBA определяет приоритеты для групп безопасности.

Securonix UEBA. Продукт представляет возможности расширенной аналитики на основе машинного обучения. Среди преимуществ:

  • Уменьшение риска инсайдерских угроз за счет создания профиля риска для каждого пользователя в среде компании, исходя из информации о личности, занятости, типичных нарушениях безопасности, ИТ-активности, правах на доступ, физическом доступе и даже телефонных записях.
  • Определение истинных областей риска с помощью сравнения активности пользователей с их индивидуальными базовыми показателями, базовыми показателями тех групп, в которые они входят, и известными индикаторами угроз.
  • Более четкая видимость в облаке: мониторинг «от облака к облаку» со встроенными API-интерфейсами для всех основных облачных инфраструктур и технологий приложений; обнаружение вредоносной активности путем анализа прав и событий пользователя; корреляция облачных и локальных данных с целью добавления информации о контексте объекта; сквозной анализ шаблонов угроз, дающих повод для ответной реакции.
  • Проактивное обнаружение онлайн-мошенничества на предприятии: продукт идентифицирует сложные мошеннические атаки, используя расширенное поведение без сигнатур и методы анализа аномальных значений на основе одноранговых узлов; также предусмотрены функции обнаружения захвата аккаунта, аномального поведения пользователя, мошенничества с транзакциями, и нарушений, связанных с отмыванием денег.

Применение UEBA в составе разных типов решений

По технологической сфере применения функционала UEBA можно выделить следующие несколько типов решений:

Аудит и защита. В эту группу можно включить продукты, сфокусированные на улучшении безопасности структурированных и неструктурированных хранилищ данных (DCAP). В этой категории Gartner отметил, в том числе, платформу кибербезопасности Varonis, предлагающую анализ поведения пользователей для мониторинга изменений прав доступа к неструктурированным данным и их использования для различных хранилищ информации.

Cистемы CASB. Предлагают защиту от различных угроз в облачных SaaS-приложениях путем блокировки доступа нежелательных устройств, пользователей и версий приложений к облачным службам с помощью адаптивной системы контроля доступа. Все лидирующие на рынке решения CASB включают UEBA-возможности. В этом сегменте работают такие компании, как Cisco, Oracle, Palo Alto Networks, Symantec и Microsoft.

DLP-решения. Сами по себе сфокусированы на обнаружении вывода критических данных за пределы организации или их злоупотреблении.

Достижения DLP в большей части основываются на понимании контента. Меньшее внимание уделяется контексту, такому как привязка к пользователю, приложению, местонахождению, времени, скорости событий и другим внешним факторам. Чтобы быть эффективными, DLP-продукты должны распознавать и контент, и контекст. Именно поэтому многие производители (такие как InfoWatch, Solar Dozor и Forcepoint) начинают встраивать UEBA-функционал в свои решения.

Мониторинг сотрудников. Это возможность записывать и воспроизводить действия сотрудников, обычно в формате данных, подходящих в том числе и для судебных разбирательств.

Постоянное наблюдение за пользователями часто генерирует непомерное количество данных, требующих ручной фильтрации и анализа человеком. Поэтому UEBA используется внутри систем мониторинга для улучшения работы этих решений и обнаружения инцидентов только с высокой степенью риска, таких как, к примеру, FortiInsight, разработанный компанией Fortinet.

Безопасность конечных устройств. Решения для конечных устройств по обнаружению атак и реагированию на них (EDR), а также платформы защиты (EPP) предоставляют мощный инструментарий и телеметрию операционной системы на конечных устройствах.

Связная с пользователем телеметрия может быть проанализирована встроенными функциями UEBA.

Онлайн-мошенничество. Решения по обнаружению онлайн-мошенничества детектируют отклоняющуюся активность, указывающую на компрометацию аккаунта клиента через подставное лицо, вредоносное ПО или эксплуатацию незащищенных соединений/перехват трафика браузера.

Большинство решений, помогающих бороться с онлайн-мошенничеством используют квинтэссенцию UEBA, транзакционного анализа и измерения характеристик устройства, а более продвинутые системы дополняют их сопоставлением связей в базе данных идентификаторов личности. Такие продукты разрабатывает, к примеру, компания Group-IB.

IAM и управление доступом. IAM, а также системы управления и администрирования идентификации (IGA) используют UEBA для покрытия сценариев поведенческой и идентификационной аналитики, таких как обнаружение аномалий, анализ динамической группировки схожих сущностей, анализ входов в систему и политик доступа.

IAM и управление привилегированным доступом (PAM). Функция контроля использования административных учетных записей предопределяет наличие в PAM-решениях телеметрии, предназначенной для отображения, как, почему, когда и где были использованы административные аккаунты. Эти данные могут быть проанализированы с помощью встроенного функционала UEBA на наличие аномального поведения администраторов или злого умысла.

Производители NTA (Network Traffic Analysis), такие как Aruba (HP), используют для выявления подозрительной активности в корпоративных сетях комбинацию машинного обучения, продвинутой аналитики и обнаружения на базе правил.

Инструменты NTA фокусируются на аналитике поведения сущностей, постоянно мониторя исходный трафик и/или записи потоков (например, NetFlow) для построения моделей, которые отражают нормальное сетевое поведение.

SIEM. Многие SIEM-вендоры сейчас обладают продвинутым функционалом аналитики данных, встроенным в SIEM или в виде отдельного UEBA-модуля. В течение всего 2019 года наблюдалось непрерывное стирание границ между функционалом SIEM и UEBA. SIEM-системы стали лучше работать с аналитикой и предлагают более сложные сценарии применения.

Настоящее и будущее в отчете Gartner

В мае 2019 года аналитическое агентство Gartner опубликовало отчет по рынку систем поведенческой аналитики пользователей и сущностей (UEBA).

По итогам были сделаны следующие ключевые выводы:

  • Рынок поведенческой аналитики пользователей и сущностей перешел в стадию зрелости, что подтверждается широким использованием технологий UEBA средним и крупным корпоративным сегментом.
  • Функции UEBA-аналитики начали встраиваться в широкий диапазон смежных технологий информационной безопасности, таких как брокеры безопасного доступа в облако (CASB), системы управления и администрирования идентификацией (IGA) SIEM-системы. В ходе исследования аналитики сделали прогноз, что к 2021 году рынок систем UEBA сильно сдвинется в сторону комплексных решений, включающих функционал UEBA, а к 2020 году 95% всех внедрений UEBA будет являться частью функционала более широкой платформы безопасности.

Решения UEBA появились не так давно, но очень быстро завоевали популярность, что свидетельствует об их несомненной эффективности и востребованности в корпоративном сегменте. По данным Gartner, объем продаж специализированных решений UEBA удваивается каждый год, а многие крупные компании включают функциональность UEBA в свои решения, такие как SIEM, системы анализа сетевого трафика, управление идентификацией и доступом (IAM), защита конечных точек или средства предотвращения утечек данных.

Источник: отчет Gartner (май 2019)

Новости, истории и события
Смотреть все
ГК Softline внедряет в экосистему Softline Universe универсальную платформу Vaulterix для безопасного обмена данными и управления правами
Новости

ГК Softline внедряет в экосистему Softline Universe универсальную платформу Vaulterix для безопасного обмена данными и управления правами

28.03.2024

ГК Softline представляет новую услугу Kubernetes as a Service от Softline «Мультиоблако»
Новости

ГК Softline представляет новую услугу Kubernetes as a Service от Softline «Мультиоблако»

28.03.2024

Функция распознавания рукописного текста появилась в OCR-платформе SOICA от SL Soft (ГК Softline)
Новости

Функция распознавания рукописного текста появилась в OCR-платформе SOICA от SL Soft (ГК Softline)

27.03.2024

Основной акционер ПАО «Софтлайн» приглашает владельцев ГДР Noventiq Holdings plc, права на которые учитываются в НРД, обменять их ГДР на акции ПАО «Софтлайн»
Новости

Основной акционер ПАО «Софтлайн» приглашает владельцев ГДР Noventiq Holdings plc, права на которые учитываются в НРД, обменять их ГДР на акции ПАО «Софтлайн»

27.03.2024

 ГК Softline приглашает российские ИТ-компании присоединиться к Группе
Новости

ГК Softline приглашает российские ИТ-компании присоединиться к Группе

26.03.2024

Платформа ROBIN от SL Soft (ГК Softline) стала доступна на инфраструктуре Yandex Cloud
Новости

Платформа ROBIN от SL Soft (ГК Softline) стала доступна на инфраструктуре Yandex Cloud

21.03.2024

Универсамы «Праздничный стол» выбирают цифровую платформу RozniTech от Softline Digital (ГК Softline) для повышения эффективности бизнес-процессов
Новости

Универсамы «Праздничный стол» выбирают цифровую платформу RozniTech от Softline Digital (ГК Softline) для повышения эффективности бизнес-процессов

19.03.2024

Банковская группа Синара эффективно управляет цифровыми рисками с помощью сервиса ETHIC от ГК Softline
Новости

Банковская группа Синара эффективно управляет цифровыми рисками с помощью сервиса ETHIC от ГК Softline

18.03.2024

Приостановка доступа к облачным продуктам  иностранных вендоров для заказчиков из России
Новости

Приостановка доступа к облачным продуктам иностранных вендоров для заказчиков из России

15.03.2024

ГК Softline реализовала проект по усилению информационной безопасности компании «Объединенные Пивоварни»
Новости

ГК Softline реализовала проект по усилению информационной безопасности компании «Объединенные Пивоварни»

15.03.2024

ГК Softline помогла АО «БКИ СБ» повысить уровень защищенности мобильного приложения и веб-ресурсов
Новости

ГК Softline помогла АО «БКИ СБ» повысить уровень защищенности мобильного приложения и веб-ресурсов

14.03.2024

ГК Softline перевела ГК «Петро Велт Технолоджис» на российскую облачную систему видеоконференцсвязи «ВКурсе»
Новости

ГК Softline перевела ГК «Петро Велт Технолоджис» на российскую облачную систему видеоконференцсвязи «ВКурсе»

13.03.2024

SL Soft (ГК Softline) разработала цифрового ассистента для сотрудников на базе платформы ROBIN
Новости

SL Soft (ГК Softline) разработала цифрового ассистента для сотрудников на базе платформы ROBIN

12.03.2024

ГК Softline становится стратегическим партнером Lasmera (ГК «ИТ Эксперт»)
Новости

ГК Softline становится стратегическим партнером Lasmera (ГК «ИТ Эксперт»)

11.03.2024

ГК Softline получила статус «Платиновый партнер» от ООО «Графические Технологии»
Новости

ГК Softline получила статус «Платиновый партнер» от ООО «Графические Технологии»

07.03.2024

ГК Softline становится стратегическим партнером разработчика систем кибербезопасности R-Vision
Новости

ГК Softline становится стратегическим партнером разработчика систем кибербезопасности R-Vision

06.03.2024

ГК Softline добавила платформу для создания виртуальных миров VOLTEP в продуктовый портфель
Новости

ГК Softline добавила платформу для создания виртуальных миров VOLTEP в продуктовый портфель

06.03.2024

ГК Softline и Росатом объявляют о начале партнерства
Новости

ГК Softline и Росатом объявляют о начале партнерства

05.03.2024

SL Soft (ГК Softline) и РЕД СОФТ подтвердили совместимость продуктов
Блог

SL Soft (ГК Softline) и РЕД СОФТ подтвердили совместимость продуктов

28.07.2023

Microsoft Inspire 2021: безопасность в основе бизнеса
Блог

Microsoft Inspire 2021: безопасность в основе бизнеса

27.07.2021

Удаленная работа Apple Практики в Softline. День 2. Антон Карпов
Блог

Удаленная работа Apple Практики в Softline. День 2. Антон Карпов

09.07.2020

Работа из дома – хорошее решение. Доказано Softline
Блог

Работа из дома – хорошее решение. Доказано Softline

09.07.2020

Учим безопасности
Блог

Учим безопасности

08.07.2020

Сертификация ФСТЭК для чайников
Блог

Сертификация ФСТЭК для чайников

26.05.2020

Облачная симфония CloudMaster
Блог

Облачная симфония CloudMaster

21.05.2020

Удаленная работа Apple Практики в Softline. День 1. Дмитрий Шалеев
Блог

Удаленная работа Apple Практики в Softline. День 1. Дмитрий Шалеев

18.05.2020

Централизация или независимость?
Блог

Централизация или независимость?

14.05.2020

Видеоконференции корпоративного уровня бесплатно для всех
Блог

Видеоконференции корпоративного уровня бесплатно для всех

12.05.2020

«Защита КИИ на удаленке» вошла в чат
Блог

«Защита КИИ на удаленке» вошла в чат

08.05.2020

На длинной дистанции: как Softline перевела 3000 человек на удаленную работу за 1 день
Блог

На длинной дистанции: как Softline перевела 3000 человек на удаленную работу за 1 день

07.05.2020

Безопасная виртуализация бизнеса вместе с Citrix Xen и Bitdefender
Блог

Безопасная виртуализация бизнеса вместе с Citrix Xen и Bitdefender

29.04.2020

Высококачественная техническая поддержка при работе из дома
Блог

Высококачественная техническая поддержка при работе из дома

27.04.2020

Биллинг и работа с бюджетными лимитами
Блог

Биллинг и работа с бюджетными лимитами

23.04.2020

Возможности самообслуживания и автоматизации
Блог

Возможности самообслуживания и автоматизации

21.04.2020

Softline на рынке аутсорсинга бизнес-процессов «в вопросах и ответах»
Блог

Softline на рынке аутсорсинга бизнес-процессов «в вопросах и ответах»

17.04.2020

Дорога в облака: как быстро, безопасно и выгодно организовать удаленную работу сотрудников
Блог

Дорога в облака: как быстро, безопасно и выгодно организовать удаленную работу сотрудников

16.04.2020