Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Блог

Системы UEBA, или как изобличить волка в овечьей шкуре?

Еще в 19 веке Натан Ротшильд прозорливо заметил: «Кто владеет информацией, тот владеет миром». Сейчас его слова актуальны и справедливы как никогда. Владея определенными сведениями, можно получить невероятную прибыль, продвинуть бизнес вперед, стать первым в своей сфере или… разорить удачливого конкурента.  И чем большую значимость имеют данные, тем сложнее их защищать. Отвечая на запросы рынка, появляются новые технологии, помогающие бороться с современными информационными угрозами. Одной из них является User and Entity Behavioral Analytics (UEBA) – поведенческая аналитика пользователей и сущностей.

Что такое UEBA?

UEBA — достаточно молодой класс систем, использующий принципиально новый подход в борьбе с современными угрозами. Используя возможности машинного обучения, средства статистического анализа, а также массивы данных о пользователях и ИТ-сущностях (серверах, рабочих станциях, коммутаторах и т.д.), решения UEBA строят модели поведения, а затем отслеживают отклонения от них как в режиме реального времени, так и постфактум.

Источники данных для систем UEBA:

  • Журналы серверных и сетевых компонентов.
  • Сведения из журналов систем безопасности.
  • Локальные журналы с конечных станций.
  • Информация из систем аутентификации.
  • Сообщения в социальных сетях, мессенджерах, почтовых сообщениях и многое другое.

UEBA-системы способны создавать профили всего ИТ-окружения, что помогает выявлять угрозы, связанные не только с пользователями, но и с объектами ИТ-инфраструктуры.

Для чего это нужно?

Системы UEBA могут решать широкий спектр задач. Однако основной сценарий их применения включает обнаружение различных категорий угроз за счет анализа типичных моделей поведения пользователей и других сущностей, с последующим выявлением «белых ворон». Таким образом определяются:

  • неавторизованный доступ и перемещение данных;
  • подозрительное поведение привилегированных пользователей;
  • вредоносная или неавторизованная активность сотрудников;
  • нестандартный доступ и использование облачных ресурсов и многое другое.

Существует также ряд нетипичных сценариев применения, не связанных с кибербезопасностью, таких как мошенничество или мониторинг сотрудников.

Отдельное решение или функция?

Системы UEBA могут являться как отдельным решением, так и встроенной функцией.

  • «Чистые» UEBA-платформы фокусируются на большом спектре задач по аналитике поведения пользователей и сущностей.
  • Встроенные UEBA входят в состав комплексных продуктов и сфокусированы на решении более специфического набора задач.

Плюсом UEBA-платформ являются более широкие возможности, сложная аналитика и увеличенный функционал, но встроенные системы UEBA могут оказаться более эффективными для решения определенных задач благодаря своему доступу исключительно к нужным данным.

В настоящее время многие вендоры встраивают в свои решения функционал UEBA. Среди них можно отметить продукты Aruba (HP), Exabeam, Forcepoint, Fortinet, InfoWatch, Microsoft, Palo Alto, Securonix, Splunk, Varonis, VMware и другие.

Популярные «чистые» продукты в сегменте UEBA

Forcepoint UEBA. Решение позволяет командам безопасности проактивно отслеживать внутри организации аномальное поведение с высоким уровнем риска. Аналитическая платформа защиты формирует контекст, объединяя структурированные и неструктурированные данные для выявления и блокирования злонамеренных, скомпрометированных и небрежных пользователей. Продукт также обнаруживает различные критические проблемы, такие как скомпрометированные учетные записи, корпоративный шпионаж, кража интеллектуальной собственности и мошенничество.

Оценивая нюансы взаимодействия людей, данных, устройств и приложений, Forcepoint UEBA определяет приоритеты для групп безопасности.

Securonix UEBA. Продукт представляет возможности расширенной аналитики на основе машинного обучения. Среди преимуществ:

  • Уменьшение риска инсайдерских угроз за счет создания профиля риска для каждого пользователя в среде компании, исходя из информации о личности, занятости, типичных нарушениях безопасности, ИТ-активности, правах на доступ, физическом доступе и даже телефонных записях.
  • Определение истинных областей риска с помощью сравнения активности пользователей с их индивидуальными базовыми показателями, базовыми показателями тех групп, в которые они входят, и известными индикаторами угроз.
  • Более четкая видимость в облаке: мониторинг «от облака к облаку» со встроенными API-интерфейсами для всех основных облачных инфраструктур и технологий приложений; обнаружение вредоносной активности путем анализа прав и событий пользователя; корреляция облачных и локальных данных с целью добавления информации о контексте объекта; сквозной анализ шаблонов угроз, дающих повод для ответной реакции.
  • Проактивное обнаружение онлайн-мошенничества на предприятии: продукт идентифицирует сложные мошеннические атаки, используя расширенное поведение без сигнатур и методы анализа аномальных значений на основе одноранговых узлов; также предусмотрены функции обнаружения захвата аккаунта, аномального поведения пользователя, мошенничества с транзакциями, и нарушений, связанных с отмыванием денег.

Применение UEBA в составе разных типов решений

По технологической сфере применения функционала UEBA можно выделить следующие несколько типов решений:

Аудит и защита. В эту группу можно включить продукты, сфокусированные на улучшении безопасности структурированных и неструктурированных хранилищ данных (DCAP). В этой категории Gartner отметил, в том числе, платформу кибербезопасности Varonis, предлагающую анализ поведения пользователей для мониторинга изменений прав доступа к неструктурированным данным и их использования для различных хранилищ информации.

Cистемы CASB. Предлагают защиту от различных угроз в облачных SaaS-приложениях путем блокировки доступа нежелательных устройств, пользователей и версий приложений к облачным службам с помощью адаптивной системы контроля доступа. Все лидирующие на рынке решения CASB включают UEBA-возможности. В этом сегменте работают такие компании, как Cisco, Oracle, Palo Alto Networks, Symantec и Microsoft.

DLP-решения. Сами по себе фокусированы на обнаружении вывода критических данных за пределы организации или их злоупотреблении.

Достижения DLP в большей части основываются на понимании контента. Меньшее внимание уделяется контексту, такому как привязка к пользователю, приложению, местонахождению, времени, скорости событий и другим внешним факторам. Чтобы быть эффективными, DLP-продукты должны распознавать и контент, и контекст. Именно поэтому многие производители (такие как InfoWatch, Solar Dozor и Forcepoint) начинают встраивать UEBA-функционал в свои решения.

Мониторинг сотрудников. Это возможность записывать и воспроизводить действия сотрудников, обычно в формате данных, подходящих в том числе и для судебных разбирательств.

Постоянное наблюдение за пользователями часто генерирует непомерное количество данных, требующих ручной фильтрации и анализа человеком. Поэтому UEBA используется внутри систем мониторинга для улучшения работы этих решений и обнаружения инцидентов только с высокой степенью риска, таких как, к примеру, FortiInsight, разработанный компанией Fortinet.

Безопасность конечных устройств. Решения для конечных устройств по обнаружению атак и реагированию на них (EDR), а также платформы защиты (EPP) предоставляют мощный инструментарий и телеметрию операционной системы на конечных устройствах.

Связная с пользователем телеметрия может быть проанализирована встроенными функциями UEBA.

Онлайн-мошенничество. Решения по обнаружению онлайн-мошенничества детектируют отклоняющуюся активность, указывающую на компрометацию аккаунта клиента через подставное лицо, вредоносное ПО или эксплуатацию незащищенных соединений/перехват трафика браузера.

Большинство решений, помогающих бороться с онлайн-мошенничеством используют квинтэссенцию UEBA, транзакционного анализа и измерения характеристик устройства, а более продвинутые системы дополняют их сопоставлением связей в базе данных идентификаторов личности. Такие продукты разрабатывает, к примеру, компания Group-IB.

IAM и управление доступом. IAM, а также системы управления и администрирования идентификации (IGA) используют UEBA для покрытия сценариев поведенческой и идентификационной аналитики, таких как обнаружение аномалий, анализ динамической группировки схожих сущностей, анализ входов в систему и политик доступа.

IAM и управление привилегированным доступом (PAM). Функция контроля использования административных учетных записей предопределяет наличие в PAM-решениях телеметрии, предназначенной для отображения как, почему, когда и где были использованы административные аккаунты. Эти данные могут быть проанализированы с помощью встроенного функционала UEBA на наличие аномального поведения администраторов или злого умысла.

Производители NTA (Network Traffic Analysis), такие как Aruba (HP), используют для выявления подозрительной активности в корпоративных сетях комбинацию машинного обучения, продвинутой аналитики и обнаружения на базе правил.

Инструменты NTA фокусируются на аналитике поведения сущностей, постоянно мониторя исходный трафик и/или записи потоков (например, NetFlow) для построения моделей, которые отражают нормальное сетевое поведение.

SIEM. Многие SIEM-вендоры сейчас обладают продвинутым функционалом аналитики данных, встроенным в SIEM или в виде отдельного UEBA-модуля. В течение всего 2019 года наблюдалось непрерывное стирание границ между функционалом SIEM и UEBA. SIEM-системы стали лучше работать с аналитикой и предлагают более сложные сценарии применения.

Настоящее и будущее в отчете Gartner

В мае 2019 года аналитическое агентство Gartner опубликовало отчет по рынку систем поведенческой аналитики пользователей и сущностей (UEBA).

По итогам были сделаны следующие ключевые выводы:

  • Рынок поведенческой аналитики пользователей и сущностей перешел в стадию зрелости, что подтверждается широким использованием технологий UEBA средним и крупным корпоративным сегментом.
  • Функции UEBA-аналитики начали встраиваться в широкий диапазон смежных технологий информационной безопасности, таких как брокеры безопасного доступа в облако (CASB), системы управления и администрирования идентификацией (IGA) SIEM-системы. В ходе исследования аналитики сделали прогноз, что к 2021 году рынок систем UEBA сильно сдвинется в сторону комплексных решений, включающих функционал UEBA, а к 2020 году 95% всех внедрений UEBA будет являться частью функционала более широкой платформы безопасности.

Решения UEBA появились не так давно, но очень быстро завоевали популярность, что свидетельствует об их несомненной эффективности и востребованности в корпоративном сегменте. По данным Gartner, объем продаж специализированных решений UEBA удваивается каждый год, а многие крупные компании включают функциональность UEBA в свои решения, такие как SIEM, системы анализа сетевого трафика, управление идентификацией и доступом (IAM), защита конечных точек или средства предотвращения утечек данных.

Источник: отчет Gartner (май 2019)

Теги:

Новости, истории и события
Смотреть все
Провайдер «Инферит Облако» (ГК Softline) и компания «Береста РК» объявили о стратегическом партнерстве в сфере цифровой трансформации бизнеса
Новости

Провайдер «Инферит Облако» (ГК Softline) и компания «Береста РК» объявили о стратегическом партнерстве в сфере цифровой трансформации бизнеса

27.06.2025

 ГК Softline приобретает контролирующую долю в группе компаний Омег-Альянс
Новости

ГК Softline приобретает контролирующую долю в группе компаний Омег-Альянс

27.06.2025

Российский производитель лазерных решений VPG LaserONE (ГК Softline) принял участие в Центрально-азиатском конгрессе по эндоурологии (CEAC 2025)
Новости

Российский производитель лазерных решений VPG LaserONE (ГК Softline) принял участие в Центрально-азиатском конгрессе по эндоурологии (CEAC 2025)

26.06.2025

Bell Integrator (кластер FabricaONE.AI ГК Softline) принял участие в дискуссии на тему искусственного интеллекта в рамках ПМЭФ-2025
Новости

Bell Integrator (кластер FabricaONE.AI ГК Softline) принял участие в дискуссии на тему искусственного интеллекта в рамках ПМЭФ-2025

26.06.2025

Позиция ГК Softline по приобретению завода по производству электроинструментов в г. Энгельс
Новости

Позиция ГК Softline по приобретению завода по производству электроинструментов в г. Энгельс

25.06.2025

ГК Softline и «Телеком биржа» объявляют о партнерстве в сфере облачных решений
Новости

ГК Softline и «Телеком биржа» объявляют о партнерстве в сфере облачных решений

25.06.2025

«Инферит ОС» (ГК Softline) подтвердил совместимость ОС «МСВСфера Сервер» 9 и справочной правовой системы «КонсультантПлюс»
Новости

«Инферит ОС» (ГК Softline) подтвердил совместимость ОС «МСВСфера Сервер» 9 и справочной правовой системы «КонсультантПлюс»

25.06.2025

Генеральный директор ГК Softline Владимир Лавров выступил на ежегодном ИТ-завтраке РУССОФТ на ПМЭФ-2025
Новости

Генеральный директор ГК Softline Владимир Лавров выступил на ежегодном ИТ-завтраке РУССОФТ на ПМЭФ-2025

24.06.2025

Стационарный комплекс РДИ от «Инферит Техника» (ГК Softline) вошел в реестр Минпромторга
Новости

Стационарный комплекс РДИ от «Инферит Техника» (ГК Softline) вошел в реестр Минпромторга

24.06.2025

Платформа для корпоративного обучения «Стадия» от Академии АйТи (кластер FabricaONE.AI ГК Softline) получила главную награду премии HR Tech Awards 2025
Новости

Платформа для корпоративного обучения «Стадия» от Академии АйТи (кластер FabricaONE.AI ГК Softline) получила главную награду премии HR Tech Awards 2025

24.06.2025

ГК Softline примет участие во встрече HR-клуба РУССОФТ
Новости

ГК Softline примет участие во встрече HR-клуба РУССОФТ

23.06.2025

Сомерс (ГК Softline) внедряет Bluetooth-платежи «Волна» от НСПК
Новости

Сомерс (ГК Softline) внедряет Bluetooth-платежи «Волна» от НСПК

23.06.2025

Группа «Борлас» (ГК Softline) подтверждает лидирующие позиции в консалтинге
Новости

Группа «Борлас» (ГК Softline) подтверждает лидирующие позиции в консалтинге

20.06.2025

«Софтлайн Решения» и Axoft обеспечили информационную безопасность УЭСК
Новости

«Софтлайн Решения» и Axoft обеспечили информационную безопасность УЭСК

20.06.2025

Павел Витков возглавил отдел продаж софтверных продуктов «Инферит» (ГК Softline)
Новости

Павел Витков возглавил отдел продаж софтверных продуктов «Инферит» (ГК Softline)

19.06.2025

ГК Softline стала главным технологическим партнером чемпионата профессионального мастерства Госкорпорации «Росатом» AtomSkills-2025
Новости

ГК Softline стала главным технологическим партнером чемпионата профессионального мастерства Госкорпорации «Росатом» AtomSkills-2025

18.06.2025

Сомерс (ГК Softline) реализует платёжный проект для национального регулятора Армении
Новости

Сомерс (ГК Softline) реализует платёжный проект для национального регулятора Армении

18.06.2025

ПАО «Софтлайн» информирует участников обмена ГДР Noventiq о приближающейся дате фиксации реестра акционеров по третьему этапу обмена 23 июня 2025 года
Новости

ПАО «Софтлайн» информирует участников обмена ГДР Noventiq о приближающейся дате фиксации реестра акционеров по третьему этапу обмена 23 июня 2025 года

18.06.2025

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса
Блог

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса

27.06.2025

Технологии умного города: от ИИ до RPA
Блог

Технологии умного города: от ИИ до RPA

25.06.2025

ГК Softline развивает наукоемкое ПО для инженерного анализа (САЕ)
Блог

ГК Softline развивает наукоемкое ПО для инженерного анализа (САЕ)

23.06.2025

Российские облачные сервисы: преимущества, особенности и выбор
Блог

Российские облачные сервисы: преимущества, особенности и выбор

20.06.2025

VPS: что это и когда он необходим бизнесу
Блог

VPS: что это и когда он необходим бизнесу

17.06.2025

Яндекс 360: эволюция решений для цифровой трансформации бизнеса
Блог

Яндекс 360: эволюция решений для цифровой трансформации бизнеса

11.06.2025

Платформизация, безопасность ИИ и активная защита малого бизнеса — «Лаборатория Касперского» об ИБ-рынке
Блог

Платформизация, безопасность ИИ и активная защита малого бизнеса — «Лаборатория Касперского» об ИБ-рынке

09.06.2025

Генеративный ИИ в промышленности: роботы, агенты и «Индустрия 6.0»
Блог

Генеративный ИИ в промышленности: роботы, агенты и «Индустрия 6.0»

04.06.2025

Платежные терминалы: виды, безопасность и тенденции рынка
Блог

Платежные терминалы: виды, безопасность и тенденции рынка

28.05.2025

Российские антивирусы
Блог

Российские антивирусы

26.05.2025

Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025
Блог

Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025

20.05.2025

Цифровая трансформация: с чего начать
Блог

Цифровая трансформация: с чего начать

15.05.2025

Защита персональных данных: требования законодательства и способы защиты от утечек
Блог

Защита персональных данных: требования законодательства и способы защиты от утечек

06.05.2025

Как устроены цифровые двойники: этапы разработки и примеры использования
Блог

Как устроены цифровые двойники: этапы разработки и примеры использования

29.04.2025

Стратегия перехода в облако
Блог

Стратегия перехода в облако

24.04.2025

Защита данных и информации: методы, практика, стандарты и законы
Блог

Защита данных и информации: методы, практика, стандарты и законы

22.04.2025

Цифровые профессии будущего: кто выживет в эпоху искусственного интеллекта
Блог

Цифровые профессии будущего: кто выживет в эпоху искусственного интеллекта

17.04.2025

Российские системы виртуализации
Блог

Российские системы виртуализации

15.04.2025

ИТ-решения, кейсы, новости
в Telegram-канале Softline
Подписаться