Системы UEBA, или как изобличить волка в овечьей шкуре?

Еще в 19 веке Натан Ротшильд прозорливо заметил: «Кто владеет информацией, тот владеет миром». Сейчас его слова актуальны и справедливы как никогда. Владея определенными сведениями, можно получить невероятную прибыль, продвинуть бизнес вперед, стать первым в своей сфере или… разорить удачливого конкурента.  И чем большую значимость имеют данные, тем сложнее их защищать. Отвечая на запросы рынка, появляются новые технологии, помогающие бороться с современными информационными угрозами. Одной из них является User and Entity Behavioral Analytics (UEBA) – поведенческая аналитика пользователей и сущностей.

Что такое UEBA?

UEBA — достаточно молодой класс систем, использующий принципиально новый подход в борьбе с современными угрозами. Используя возможности машинного обучения, средства статистического анализа, а также массивы данных о пользователях и ИТ-сущностях (серверах, рабочих станциях, коммутаторах и т.д.), решения UEBA строят модели поведения, а затем отслеживают отклонения от них как в режиме реального времени, так и постфактум.

Источники данных для систем UEBA:

• Журналы серверных и сетевых компонентов.
• Сведения из журналов систем безопасности.
• Локальные журналы с конечных станций.
• Информация из систем аутентификации.
• Сообщения в социальных сетях, мессенджерах, почтовых сообщениях и многое другое.

UEBA-системы способны создавать профили всего ИТ-окружения, что помогает выявлять угрозы, связанные не только с пользователями, но и с объектами ИТ-инфраструктуры.

Для чего это нужно?

Системы UEBA могут решать широкий спектр задач. Однако основной сценарий их применения включает обнаружение различных категорий угроз за счет анализа типичных моделей поведения пользователей и других сущностей, с последующим выявлением «белых ворон». Таким образом определяются:

• неавторизованный доступ и перемещение данных;
• подозрительное поведение привилегированных пользователей;
• вредоносная или неавторизованная активность сотрудников;
• нестандартный доступ и использование облачных ресурсов и многое другое.

Существует также ряд нетипичных сценариев применения, не связанных с кибербезопасностью, таких как мошенничество или мониторинг сотрудников.

Отдельное решение или функция?

Системы UEBA могут являться как отдельным решением, так и встроенной функцией.

• «Чистые» UEBA-платформы фокусируются на большом спектре задач по аналитике поведения пользователей и сущностей.
• Встроенные UEBA входят в состав комплексных продуктов и сфокусированы на решении более специфического набора задач.

Плюсом UEBA-платформ являются более широкие возможности, сложная аналитика и увеличенный функционал, но встроенные системы UEBA могут оказаться более эффективными для решения определенных задач благодаря своему доступу исключительно к нужным данным.

В настоящее время многие вендоры встраивают в свои решения функционал UEBA. Среди них можно отметить продукты Aruba (HP), Exabeam, Forcepoint, Fortinet, InfoWatch, Microsoft, Palo Alto, Securonix, Splunk, Varonis, VMware и другие.

Популярные «чистые» продукты в сегменте UEBA

Forcepoint UEBA. Решение позволяет командам безопасности проактивно отслеживать внутри организации аномальное поведение с высоким уровнем риска. Аналитическая платформа защиты формирует контекст, объединяя структурированные и неструктурированные данные для выявления и блокирования злонамеренных, скомпрометированных и небрежных пользователей. Продукт также обнаруживает различные критические проблемы, такие как скомпрометированные учетные записи, корпоративный шпионаж, кража интеллектуальной собственности и мошенничество.

Оценивая нюансы взаимодействия людей, данных, устройств и приложений, Forcepoint UEBA определяет приоритеты для групп безопасности.

Securonix UEBA. Продукт представляет возможности расширенной аналитики на основе машинного обучения. Среди преимуществ:

• Уменьшение риска инсайдерских угроз за счет создания профиля риска для каждого пользователя в среде компании, исходя из информации о личности, занятости, типичных нарушениях безопасности, ИТ-активности, правах на доступ, физическом доступе и даже телефонных записях.
• Определение истинных областей риска с помощью сравнения активности пользователей с их индивидуальными базовыми показателями, базовыми показателями тех групп, в которые они входят, и известными индикаторами угроз.
• Более четкая видимость в облаке: мониторинг «от облака к облаку» со встроенными API-интерфейсами для всех основных облачных инфраструктур и технологий приложений; обнаружение вредоносной активности путем анализа прав и событий пользователя; корреляция облачных и локальных данных с целью добавления информации о контексте объекта; сквозной анализ шаблонов угроз, дающих повод для ответной реакции.
• Проактивное обнаружение онлайн-мошенничества на предприятии: продукт идентифицирует сложные мошеннические атаки, используя расширенное поведение без сигнатур и методы анализа аномальных значений на основе одноранговых узлов; также предусмотрены функции обнаружения захвата аккаунта, аномального поведения пользователя, мошенничества с транзакциями, и нарушений, связанных с отмыванием денег.

Применение UEBA в составе разных типов решений

По технологической сфере применения функционала UEBA можно выделить следующие несколько типов решений:

Аудит и защита. В эту группу можно включить продукты, сфокусированные на улучшении безопасности структурированных и неструктурированных хранилищ данных (DCAP). В этой категории Gartner отметил, в том числе, платформу кибербезопасности Varonis, предлагающую анализ поведения пользователей для мониторинга изменений прав доступа к неструктурированным данным и их использования для различных хранилищ информации.

Cистемы CASB. Предлагают защиту от различных угроз в облачных SaaS-приложениях путем блокировки доступа нежелательных устройств, пользователей и версий приложений к облачным службам с помощью адаптивной системы контроля доступа. Все лидирующие на рынке решения CASB включают UEBA-возможности. В этом сегменте работают такие компании, как Cisco, Oracle, Palo Alto Networks, Symantec и Microsoft.

DLP-решения. Сами по себе фокусированы на обнаружении вывода критических данных за пределы организации или их злоупотреблении.

Достижения DLP в большей части основываются на понимании контента. Меньшее внимание уделяется контексту, такому как привязка к пользователю, приложению, местонахождению, времени, скорости событий и другим внешним факторам. Чтобы быть эффективными, DLP-продукты должны распознавать и контент, и контекст. Именно поэтому многие производители (такие как InfoWatch, Solar Dozor и Forcepoint) начинают встраивать UEBA-функционал в свои решения.

Мониторинг сотрудников. Это возможность записывать и воспроизводить действия сотрудников, обычно в формате данных, подходящих в том числе и для судебных разбирательств.

Постоянное наблюдение за пользователями часто генерирует непомерное количество данных, требующих ручной фильтрации и анализа человеком. Поэтому UEBA используется внутри систем мониторинга для улучшения работы этих решений и обнаружения инцидентов только с высокой степенью риска, таких как, к примеру, FortiInsight, разработанный компанией Fortinet.

Безопасность конечных устройств. Решения для конечных устройств по обнаружению атак и реагированию на них (EDR), а также платформы защиты (EPP) предоставляют мощный инструментарий и телеметрию операционной системы на конечных устройствах.

Связная с пользователем телеметрия может быть проанализирована встроенными функциями UEBA.

Онлайн-мошенничество. Решения по обнаружению онлайн-мошенничества детектируют отклоняющуюся активность, указывающую на компрометацию аккаунта клиента через подставное лицо, вредоносное ПО или эксплуатацию незащищенных соединений/перехват трафика браузера.

Большинство решений, помогающих бороться с онлайн-мошенничеством используют квинтэссенцию UEBA, транзакционного анализа и измерения характеристик устройства, а более продвинутые системы дополняют их сопоставлением связей в базе данных идентификаторов личности. Такие продукты разрабатывает, к примеру, компания Group-IB.

IAM и управление доступом. IAM, а также системы управления и администрирования идентификации (IGA) используют UEBA для покрытия сценариев поведенческой и идентификационной аналитики, таких как обнаружение аномалий, анализ динамической группировки схожих сущностей, анализ входов в систему и политик доступа.

IAM и управление привилегированным доступом (PAM). Функция контроля использования административных учетных записей предопределяет наличие в PAM-решениях телеметрии, предназначенной для отображения как, почему, когда и где были использованы административные аккаунты. Эти данные могут быть проанализированы с помощью встроенного функционала UEBA на наличие аномального поведения администраторов или злого умысла.

Производители NTA (Network Traffic Analysis), такие как Aruba (HP), используют для выявления подозрительной активности в корпоративных сетях комбинацию машинного обучения, продвинутой аналитики и обнаружения на базе правил.

Инструменты NTA фокусируются на аналитике поведения сущностей, постоянно мониторя исходный трафик и/или записи потоков (например, NetFlow) для построения моделей, которые отражают нормальное сетевое поведение.

SIEM. Многие SIEM-вендоры сейчас обладают продвинутым функционалом аналитики данных, встроенным в SIEM или в виде отдельного UEBA-модуля. В течение всего 2019 года наблюдалось непрерывное стирание границ между функционалом SIEM и UEBA. SIEM-системы стали лучше работать с аналитикой и предлагают более сложные сценарии применения.

Настоящее и будущее в отчете Gartner

В мае 2019 года аналитическое агентство Gartner опубликовало отчет по рынку систем поведенческой аналитики пользователей и сущностей (UEBA).

По итогам были сделаны следующие ключевые выводы:

• Рынок поведенческой аналитики пользователей и сущностей перешел в стадию зрелости, что подтверждается широким использованием технологий UEBA средним и крупным корпоративным сегментом.
• Функции UEBA-аналитики начали встраиваться в широкий диапазон смежных технологий информационной безопасности, таких как брокеры безопасного доступа в облако (CASB), системы управления и администрирования идентификацией (IGA) SIEM-системы. В ходе исследования аналитики сделали прогноз, что к 2021 году рынок систем UEBA сильно сдвинется в сторону комплексных решений, включающих функционал UEBA, а к 2020 году 95% всех внедрений UEBA будет являться частью функционала более широкой платформы безопасности.

Решения UEBA появились не так давно, но очень быстро завоевали популярность, что свидетельствует об их несомненной эффективности и востребованности в корпоративном сегменте. По данным Gartner, объем продаж специализированных решений UEBA удваивается каждый год, а многие крупные компании включают функциональность UEBA в свои решения, такие как SIEM, системы анализа сетевого трафика, управление идентификацией и доступом (IAM), защита конечных точек или средства предотвращения утечек данных.

Источник: отчет Gartner (май 2019)