Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Блог

Системы UEBA, или как изобличить волка в овечьей шкуре?

Еще в 19 веке Натан Ротшильд прозорливо заметил: «Кто владеет информацией, тот владеет миром». Сейчас его слова актуальны и справедливы как никогда. Владея определенными сведениями, можно получить невероятную прибыль, продвинуть бизнес вперед, стать первым в своей сфере или… разорить удачливого конкурента.  И чем большую значимость имеют данные, тем сложнее их защищать. Отвечая на запросы рынка, появляются новые технологии, помогающие бороться с современными информационными угрозами. Одной из них является User and Entity Behavioral Analytics (UEBA) – поведенческая аналитика пользователей и сущностей.

Что такое UEBA?

UEBA — достаточно молодой класс систем, использующий принципиально новый подход в борьбе с современными угрозами. Используя возможности машинного обучения, средства статистического анализа, а также массивы данных о пользователях и ИТ-сущностях (серверах, рабочих станциях, коммутаторах и т.д.), решения UEBA строят модели поведения, а затем отслеживают отклонения от них как в режиме реального времени, так и постфактум.

Источники данных для систем UEBA:

  • Журналы серверных и сетевых компонентов.
  • Сведения из журналов систем безопасности.
  • Локальные журналы с конечных станций.
  • Информация из систем аутентификации.
  • Сообщения в социальных сетях, мессенджерах, почтовых сообщениях и многое другое.

UEBA-системы способны создавать профили всего ИТ-окружения, что помогает выявлять угрозы, связанные не только с пользователями, но и с объектами ИТ-инфраструктуры.

Для чего это нужно?

Системы UEBA могут решать широкий спектр задач. Однако основной сценарий их применения включает обнаружение различных категорий угроз за счет анализа типичных моделей поведения пользователей и других сущностей, с последующим выявлением «белых ворон». Таким образом определяются:

  • неавторизованный доступ и перемещение данных;
  • подозрительное поведение привилегированных пользователей;
  • вредоносная или неавторизованная активность сотрудников;
  • нестандартный доступ и использование облачных ресурсов и многое другое.

Существует также ряд нетипичных сценариев применения, не связанных с кибербезопасностью, таких как мошенничество или мониторинг сотрудников.

Отдельное решение или функция?

Системы UEBA могут являться как отдельным решением, так и встроенной функцией.

  • «Чистые» UEBA-платформы фокусируются на большом спектре задач по аналитике поведения пользователей и сущностей.
  • Встроенные UEBA входят в состав комплексных продуктов и сфокусированы на решении более специфического набора задач.

Плюсом UEBA-платформ являются более широкие возможности, сложная аналитика и увеличенный функционал, но встроенные системы UEBA могут оказаться более эффективными для решения определенных задач благодаря своему доступу исключительно к нужным данным.

В настоящее время многие вендоры встраивают в свои решения функционал UEBA. Среди них можно отметить продукты Aruba (HP), Exabeam, Forcepoint, Fortinet, InfoWatch, Microsoft, Palo Alto, Securonix, Splunk, Varonis, VMware и другие.

Популярные «чистые» продукты в сегменте UEBA

Forcepoint UEBA. Решение позволяет командам безопасности проактивно отслеживать внутри организации аномальное поведение с высоким уровнем риска. Аналитическая платформа защиты формирует контекст, объединяя структурированные и неструктурированные данные для выявления и блокирования злонамеренных, скомпрометированных и небрежных пользователей. Продукт также обнаруживает различные критические проблемы, такие как скомпрометированные учетные записи, корпоративный шпионаж, кража интеллектуальной собственности и мошенничество.

Оценивая нюансы взаимодействия людей, данных, устройств и приложений, Forcepoint UEBA определяет приоритеты для групп безопасности.

Securonix UEBA. Продукт представляет возможности расширенной аналитики на основе машинного обучения. Среди преимуществ:

  • Уменьшение риска инсайдерских угроз за счет создания профиля риска для каждого пользователя в среде компании, исходя из информации о личности, занятости, типичных нарушениях безопасности, ИТ-активности, правах на доступ, физическом доступе и даже телефонных записях.
  • Определение истинных областей риска с помощью сравнения активности пользователей с их индивидуальными базовыми показателями, базовыми показателями тех групп, в которые они входят, и известными индикаторами угроз.
  • Более четкая видимость в облаке: мониторинг «от облака к облаку» со встроенными API-интерфейсами для всех основных облачных инфраструктур и технологий приложений; обнаружение вредоносной активности путем анализа прав и событий пользователя; корреляция облачных и локальных данных с целью добавления информации о контексте объекта; сквозной анализ шаблонов угроз, дающих повод для ответной реакции.
  • Проактивное обнаружение онлайн-мошенничества на предприятии: продукт идентифицирует сложные мошеннические атаки, используя расширенное поведение без сигнатур и методы анализа аномальных значений на основе одноранговых узлов; также предусмотрены функции обнаружения захвата аккаунта, аномального поведения пользователя, мошенничества с транзакциями, и нарушений, связанных с отмыванием денег.

Применение UEBA в составе разных типов решений

По технологической сфере применения функционала UEBA можно выделить следующие несколько типов решений:

Аудит и защита. В эту группу можно включить продукты, сфокусированные на улучшении безопасности структурированных и неструктурированных хранилищ данных (DCAP). В этой категории Gartner отметил, в том числе, платформу кибербезопасности Varonis, предлагающую анализ поведения пользователей для мониторинга изменений прав доступа к неструктурированным данным и их использования для различных хранилищ информации.

Cистемы CASB. Предлагают защиту от различных угроз в облачных SaaS-приложениях путем блокировки доступа нежелательных устройств, пользователей и версий приложений к облачным службам с помощью адаптивной системы контроля доступа. Все лидирующие на рынке решения CASB включают UEBA-возможности. В этом сегменте работают такие компании, как Cisco, Oracle, Palo Alto Networks, Symantec и Microsoft.

DLP-решения. Сами по себе фокусированы на обнаружении вывода критических данных за пределы организации или их злоупотреблении.

Достижения DLP в большей части основываются на понимании контента. Меньшее внимание уделяется контексту, такому как привязка к пользователю, приложению, местонахождению, времени, скорости событий и другим внешним факторам. Чтобы быть эффективными, DLP-продукты должны распознавать и контент, и контекст. Именно поэтому многие производители (такие как InfoWatch, Solar Dozor и Forcepoint) начинают встраивать UEBA-функционал в свои решения.

Мониторинг сотрудников. Это возможность записывать и воспроизводить действия сотрудников, обычно в формате данных, подходящих в том числе и для судебных разбирательств.

Постоянное наблюдение за пользователями часто генерирует непомерное количество данных, требующих ручной фильтрации и анализа человеком. Поэтому UEBA используется внутри систем мониторинга для улучшения работы этих решений и обнаружения инцидентов только с высокой степенью риска, таких как, к примеру, FortiInsight, разработанный компанией Fortinet.

Безопасность конечных устройств. Решения для конечных устройств по обнаружению атак и реагированию на них (EDR), а также платформы защиты (EPP) предоставляют мощный инструментарий и телеметрию операционной системы на конечных устройствах.

Связная с пользователем телеметрия может быть проанализирована встроенными функциями UEBA.

Онлайн-мошенничество. Решения по обнаружению онлайн-мошенничества детектируют отклоняющуюся активность, указывающую на компрометацию аккаунта клиента через подставное лицо, вредоносное ПО или эксплуатацию незащищенных соединений/перехват трафика браузера.

Большинство решений, помогающих бороться с онлайн-мошенничеством используют квинтэссенцию UEBA, транзакционного анализа и измерения характеристик устройства, а более продвинутые системы дополняют их сопоставлением связей в базе данных идентификаторов личности. Такие продукты разрабатывает, к примеру, компания Group-IB.

IAM и управление доступом. IAM, а также системы управления и администрирования идентификации (IGA) используют UEBA для покрытия сценариев поведенческой и идентификационной аналитики, таких как обнаружение аномалий, анализ динамической группировки схожих сущностей, анализ входов в систему и политик доступа.

IAM и управление привилегированным доступом (PAM). Функция контроля использования административных учетных записей предопределяет наличие в PAM-решениях телеметрии, предназначенной для отображения как, почему, когда и где были использованы административные аккаунты. Эти данные могут быть проанализированы с помощью встроенного функционала UEBA на наличие аномального поведения администраторов или злого умысла.

Производители NTA (Network Traffic Analysis), такие как Aruba (HP), используют для выявления подозрительной активности в корпоративных сетях комбинацию машинного обучения, продвинутой аналитики и обнаружения на базе правил.

Инструменты NTA фокусируются на аналитике поведения сущностей, постоянно мониторя исходный трафик и/или записи потоков (например, NetFlow) для построения моделей, которые отражают нормальное сетевое поведение.

SIEM. Многие SIEM-вендоры сейчас обладают продвинутым функционалом аналитики данных, встроенным в SIEM или в виде отдельного UEBA-модуля. В течение всего 2019 года наблюдалось непрерывное стирание границ между функционалом SIEM и UEBA. SIEM-системы стали лучше работать с аналитикой и предлагают более сложные сценарии применения.

Настоящее и будущее в отчете Gartner

В мае 2019 года аналитическое агентство Gartner опубликовало отчет по рынку систем поведенческой аналитики пользователей и сущностей (UEBA).

По итогам были сделаны следующие ключевые выводы:

  • Рынок поведенческой аналитики пользователей и сущностей перешел в стадию зрелости, что подтверждается широким использованием технологий UEBA средним и крупным корпоративным сегментом.
  • Функции UEBA-аналитики начали встраиваться в широкий диапазон смежных технологий информационной безопасности, таких как брокеры безопасного доступа в облако (CASB), системы управления и администрирования идентификацией (IGA) SIEM-системы. В ходе исследования аналитики сделали прогноз, что к 2021 году рынок систем UEBA сильно сдвинется в сторону комплексных решений, включающих функционал UEBA, а к 2020 году 95% всех внедрений UEBA будет являться частью функционала более широкой платформы безопасности.

Решения UEBA появились не так давно, но очень быстро завоевали популярность, что свидетельствует об их несомненной эффективности и востребованности в корпоративном сегменте. По данным Gartner, объем продаж специализированных решений UEBA удваивается каждый год, а многие крупные компании включают функциональность UEBA в свои решения, такие как SIEM, системы анализа сетевого трафика, управление идентификацией и доступом (IAM), защита конечных точек или средства предотвращения утечек данных.

Источник: отчет Gartner (май 2019)

Теги:

Новости, истории и события
Смотреть все
ГК Softline и компания «Цифровые Технологии и Платформы» подписали меморандум о сотрудничестве
Новости

ГК Softline и компания «Цифровые Технологии и Платформы» подписали меморандум о сотрудничестве

04.06.2025

Экосистема «Лукоморье» и TMS Test IT («Девелоника», ГК Softline) в связке создают решение для управления ИТ-продуктами
Новости

Экосистема «Лукоморье» и TMS Test IT («Девелоника», ГК Softline) в связке создают решение для управления ИТ-продуктами

04.06.2025

«Инферит» (ГК Softline) подтверждает совместимость сервера INFERIT RS224 с системой виртуализации Numa vServer
Новости

«Инферит» (ГК Softline) подтверждает совместимость сервера INFERIT RS224 с системой виртуализации Numa vServer

04.06.2025

ГК Softline и Yandex B2B Tech заключили соглашение о стратегическом сотрудничестве
Новости

ГК Softline и Yandex B2B Tech заключили соглашение о стратегическом сотрудничестве

04.06.2025

Партнерство ГК Softline и SimpleOne усилит экосистему ITAM-решений в России
Новости

Партнерство ГК Softline и SimpleOne усилит экосистему ITAM-решений в России

03.06.2025

Российский производитель лазерных решений VPG LaserONE (ГК Softline) представил инновационные разработки на международной выставке «Металлообработка-2025»
Новости

Российский производитель лазерных решений VPG LaserONE (ГК Softline) представил инновационные разработки на международной выставке «Металлообработка-2025»

03.06.2025

ГК Softline и «Росатом Автоматизированные системы управления» договорились о совместной разработке доверенных цифровых решений для промышленности
Новости

ГК Softline и «Росатом Автоматизированные системы управления» договорились о совместной разработке доверенных цифровых решений для промышленности

03.06.2025

Система «Инферит ИТМен» (ГК Softline) возглавила рейтинг российских систем для инвентаризации и контроля ИТ-инфраструктуры 2025
Новости

Система «Инферит ИТМен» (ГК Softline) возглавила рейтинг российских систем для инвентаризации и контроля ИТ-инфраструктуры 2025

03.06.2025

Академия АйТи (кластер FabricaONE.AI ГК Softline): 30 лет экспертизы в корпоративном ИТ-обучении
Новости

Академия АйТи (кластер FabricaONE.AI ГК Softline): 30 лет экспертизы в корпоративном ИТ-обучении

02.06.2025

Infosecurity запускает CYBERDEF — новый сервис цифровой защиты бренда и сетевых активов
Новости

Infosecurity запускает CYBERDEF — новый сервис цифровой защиты бренда и сетевых активов

02.06.2025

Рабочие пространства и обновленный интерфейс — масштабный релиз платформы Citeck от SL Soft (ГК Softline)
Новости

Рабочие пространства и обновленный интерфейс — масштабный релиз платформы Citeck от SL Soft (ГК Softline)

02.06.2025

«Софтлайн Решения» стала серебряным призером премии HR Brand 2024
Новости

«Софтлайн Решения» стала серебряным призером премии HR Brand 2024

02.06.2025

Bell Integrator (входит в кластер FabricaONE.AI ГК Softline) принял участие в ежегодном Форуме Ассоциации центральных депозитариев Евразии (АЦДЕ)
Новости

Bell Integrator (входит в кластер FabricaONE.AI ГК Softline) принял участие в ежегодном Форуме Ассоциации центральных депозитариев Евразии (АЦДЕ)

30.05.2025

ГК Softline получила награду «Драйвер года» от компании InfoWatch за активное продвижение решений
Новости

ГК Softline получила награду «Драйвер года» от компании InfoWatch за активное продвижение решений

30.05.2025

ГК Softline примет участие в конференции ЦИПР 2025
Новости

ГК Softline примет участие в конференции ЦИПР 2025

30.05.2025

ГК Softline по итогам 2024 года опередила всех партнеров ИнфоТеКС по количеству наград, врученных на партнерской конференции
Новости

ГК Softline по итогам 2024 года опередила всех партнеров ИнфоТеКС по количеству наград, врученных на партнерской конференции

29.05.2025

«Инферит» (ГК Softline) обновил ПО для инвентаризации и контроля ИТ-активов «Инферит ИТМен» до версии 6.1
Новости

«Инферит» (ГК Softline) обновил ПО для инвентаризации и контроля ИТ-активов «Инферит ИТМен» до версии 6.1

29.05.2025

SL Soft (ГК Softline) представляет новый модуль платформы Citeck — «Корпоративный портал»
Новости

SL Soft (ГК Softline) представляет новый модуль платформы Citeck — «Корпоративный портал»

28.05.2025

Генеративный ИИ в промышленности: роботы, агенты и «Индустрия 6.0»
Блог

Генеративный ИИ в промышленности: роботы, агенты и «Индустрия 6.0»

04.06.2025

Платежные терминалы: виды, безопасность и тенденции рынка
Блог

Платежные терминалы: виды, безопасность и тенденции рынка

28.05.2025

Российские антивирусы
Блог

Российские антивирусы

26.05.2025

Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025
Блог

Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025

20.05.2025

Цифровая трансформация: с чего начать
Блог

Цифровая трансформация: с чего начать

15.05.2025

Защита персональных данных: требования законодательства и способы защиты от утечек
Блог

Защита персональных данных: требования законодательства и способы защиты от утечек

06.05.2025

Как устроены цифровые двойники: этапы разработки и примеры использования
Блог

Как устроены цифровые двойники: этапы разработки и примеры использования

29.04.2025

Стратегия перехода в облако
Блог

Стратегия перехода в облако

24.04.2025

Защита данных и информации: методы, практика, стандарты и законы
Блог

Защита данных и информации: методы, практика, стандарты и законы

22.04.2025

Цифровые профессии будущего: кто выживет в эпоху искусственного интеллекта
Блог

Цифровые профессии будущего: кто выживет в эпоху искусственного интеллекта

17.04.2025

Российские системы виртуализации
Блог

Российские системы виртуализации

15.04.2025

DDoS-атаки: как подготовиться к внедрению защиты и с чем предстоит бороться
Блог

DDoS-атаки: как подготовиться к внедрению защиты и с чем предстоит бороться

10.04.2025

Виртуальные тренажеры для медицинского персонала: инновационный подход к обучению
Блог

Виртуальные тренажеры для медицинского персонала: инновационный подход к обучению

08.04.2025

«Софтлайн Офис» — платформа корпоративных коммуникаций
Блог

«Софтлайн Офис» — платформа корпоративных коммуникаций

04.04.2025

Оснащение школ под ключ: от проектирования до ввода в эксплуатацию
Блог

Оснащение школ под ключ: от проектирования до ввода в эксплуатацию

03.04.2025

Киберучения: готовим сотрудников к успешным отражениям атак
Блог

Киберучения: готовим сотрудников к успешным отражениям атак

27.03.2025

Контроль усталости водителей
Блог

Контроль усталости водителей

25.03.2025

Инновации в школах в 2025 году: 3D-модели, БПЛА, роботы и VR
Блог

Инновации в школах в 2025 году: 3D-модели, БПЛА, роботы и VR

14.03.2025

ИТ-решения, кейсы, новости
в Telegram-канале Softline
Подписаться