Что такое UEBA? Комплексное руководство по системам аналитики поведения пользователей и сущностей

Обнаружение угроз

UEBA может означать “Аналитика поведения пользователей и событий”, а также “Аналитика поведение пользователей и сущностей”. Объектами анализа UEBA, кроме пользователей, являются также “сущности” и “события”, такие как маршрутизаторы, серверы и конечные точки. Решения UEBA мощнее ранее используемых систем UBA, поскольку они могут обнаруживать комплексные атаки на нескольких пользователей, ИТ-устройства и IP-адреса.

UEBA сегодня является очень важным компонентом ИТ-безопасности и критическим элементом решений Varonis по обнаружению угроз. Эти решения могут значительно сократить время на обнаружение кибератак и реагирование на них за счет выявления угроз, которые пропускают традиционные системы, благодаря высоким показателям видимости и достаточному контексту как в облачной, так и в локальной инфраструктуре.

 По оценкам Gartner Peer Insights, Varonis предлагает лучшее на рынке решение для анализа поведения пользователей и сущностей. Сравнения и рейтинги см. здесь.

Как работает UEBA?

Основные принципы, лежащие в основе решений UEBA, похожи на методы системы UBA. Система аналитики поведения пользователей и сущностей сначала собирает информацию о нормальном поведении пользователей и сущностей из системных журналов. Затем применяются глубокие методы анализа данных и формируется базовая модель поведения пользователей. После этого UEBA непрерывно отслеживает поведение сущности и сравнивает его с базовым поведением той же сущности или ее аналогов.

Цель такого анализа — обнаружить любую аномалию поведения или отклонения от “нормальных” моделей. Например, если конкретный пользователь регулярно ежедневно загружает 10 МБ данных, но внезапно этот показатель увеличивается до гигабайтов, система выявит такую аномалию и предупредит вас о потенциальной угрозе безопасности.

В структуру UEBA входит анализ пользовательского поведения (UBA), при этом он дополняется изучением сущностей. Ключевая идея заключается в расширении возможностей аналитики в UEBA за счет включения в нее анализа машинных процессов и сущностей.

Почему нужно смотреть шире?

Во многих случаях не следует проверять отдельные пользовательские аккаунты, чтобы обнаружить необычное поведение. Например, хакеры, внедрившиеся в компьютер жертвы, могут использовать сразу несколько чужих аккаунтов для выполнения пост-эксплуатации (скажем, горизонтального перемещения) на других устройствах.

Более крупная сущность, на которой нужно сосредоточиться, находится не в аккаунте, а на уровне оборудования, которое можно идентифицировать по IP-адресу. Другими словами, ищите необычные действия, общим элементом которых является IP-адрес рабочей станции.

В случае существующего системного ПО Windows — regsvr32 или rundll32, которые хакеры используют в контексте, не связанном с обычным использованием, логичнее будет сосредоточиться на самом ПО.

Компоненты UEBA

Решения UEBA состоят из трех основных компонентов, которые играют решающую роль для их функционирования:

  1. Аналитика данных использует данные о “нормальном” поведении пользователей и сущностей для формирования профиля их обычных действий. Затем с помощью статистических моделей можно выявить необычное поведение и отправить предупреждение системным администраторам.
  2. Под интеграцией данных понимается возможность сравнения системами UEBA данных из различных источников, например журналов событий, данных о записи пакетов и других наборов данных.
  3. Представление данных — это процесс, посредством которого системы UEBA сообщают о своих выводах. Обычно это делается путем отправки запроса аналитику по безопасности для расследования необычного поведения.

Разница между UBA и UEBA

В октябре 2017 года Gartner выпустила новое рыночное руководство для UEBA. Это был первый раз, когда в термине UBA появилась буква “E”.

Чтобы понять причину появления дополнительной буквы, возможно, стоит вспомнить классическое определение термина UBA. Основной акцент система UBA делает на технологиях безопасности (кража данных) и мошенничестве (использование украденной информации). Однако по мере роста объемов кражи данных развивался и рынок технологий безопасности. В результате компания Gartner пришла к выводу, что необходима технология, в корне отличающаяся от имеющихся технологий выявления мошенничества.

Такая переориентация была обусловлена рядом одновременных изменений в подходе корпораций к вопросам кибербезопасности. С эволюцией модели DevSecOps и развитием хаос-инжиниринга была выявлена важность отслеживания и мониторинга всех подключенных к системе устройств и их системы контроля доступа. Как мы уже отмечали ранее, сейчас важно понимать, что представляет собой каждая сущность в списке контроля доступа (ACL), включая скрытые идентификаторы, встроенные в среду Windows, и, в частности, разницу между группами “Все” и “Авторизованные пользователи”.

Из этих соображений UBA была переименована в UEBA, а буква “E”, согласно определению Gartner:

…признаёт тот факт, что другие сущности, помимо пользователей, часто профилируются для более точного определения угроз, отчасти путем сопоставления поведения этих других сущностей с поведением пользователей.

Другими словами, программное обеспечение UEBA сопоставляет действия пользователей и других сущностей, например управляемых и неуправляемых конечных точек, приложений (включая облачные, мобильные и другие локальные приложения), сетей, а также внешних угроз.

Используя UEBA, вы обеспечиваете безопасность от внешних угроз, проникающих внутрь периметра, а также от уже существующих внутренних угроз — другими словами, вы защищаете свои данные изнутри.

Нужна ли мне система UEBA?

Рост популярности UEBA был вызван осознанием того, что превентивных мер уже недостаточно для обеспечения безопасности корпоративных систем. Веб-шлюзы, брандмауэры, инструменты предотвращения вторжений, VPN, больше не гарантируют защиту от вторжений. Рано или поздно хакеры проникнут в ваши системы, и важно моментально их обнаружить.

Таким образом, ценность UEBA заключается не в предотвращении доступа хакеров и инсайдеров к критически важным системам. Наоборот, системы UEBA быстро обнаруживают факт возникновения подобных случаев и предупреждают о рисках.

Принимая решение о том, нужна ли вам система UEBA, нужно иметь ввиду несколько факторов:

  • Во-первых, UEBA действительно снижает уязвимость к наиболее распространенным типам кибератак. По нашим данным, среди наиболее распространенных атак — фишинг, вейлинг, социальная инженерия , распределенный отказ в обслуживании (DDoS) , вредоносное ПО и вирусы-вымогатели. UEBA оперативно предупреждает вас об успешном проведении любой из них.
  • С другой стороны, следует отметить, что инструменты и процессы в системах UEBA не могут заменить используемые раннее системы мониторинга, поскольку они предназначены для их дополнения и повышения общего уровня безопасности вашей компании.
  • По этой причине UEBA всегда используется в сочетании с системой мониторинга периметра, такой как Varonis Edge. Edge анализирует метаданные от DNS, VPN и веб-прокси, с целью обнаружения признаков атак. Мы помещаем действия в пределах периметра в контекст с основными действиями пользователя по доступу к данным, его геолокацией, вхождением в группу безопасности и многими другими параметрами, чтобы обеспечивать аналитиков SOC более точными и значимыми оповещениями.
  • UEBA не является заменой брокерам безопасного доступа в облако (Cloud Access Security Brokers, CASB) — приложениям безопасности, которые помогают организациям управлять данными в облаке и защищать их. Gartner советует организациям найти решение CASB по принципу Златовласки, которое предоставляет нужные возможности для приложений SaaS и облачной инфраструктуры, и использовать его в сочетании с UEBA.

Суть в том, что UEBA может эффективно предупреждать сотрудников службы безопасности об аномалиях стандартной активности в существующей среде, сигнализирующих о потенциальной атаке. Это чрезвычайно полезно, но не заменяет комплексное решение для обнаружения угроз.

Кроме того, у UEBA есть различные преимущества и недостатки. Давайте рассмотрим их.

Преимущества UEBA

  • Основным преимуществом UEBA является автоматическое обнаружение широкого спектра кибератак. К ним относятся внутренние угрозы, взлом аккаунтов, атаки методом перебора, создание новых пользователей и утечка данных. Это полезно, поскольку автоматизированные системы позволяют значительно сократить количество необходимых аналитиков по безопасности. На данный момент это будет главным преимуществом для многих компаний — хотя рынок кибербезопасности остается сильным, все же существует огромный пробел в навыках в области кибербезопасности. 74% респондентов исследования ESG/ISSA заявили, что их компании страдают от недостатка таких навыков.
  • Поскольку с помощью системы UEBA меньшее количество аналитиков по безопасности может выполнять больше задач, ее использование позволяет значительно сократить бюджет на кибербезопасность. Это одна из основных причин, по которым растет количество компаний, внедряющих UEBA.

Недостатки UEBA

  • Основной недостаток — сумма начальных капиталовложений. В то время как более крупные компании окупят вложения в UEBA достаточно быстро, у более мелких может в принципе отсутствовать потребность в таком сложном решении для мониторинга.
  • Во-вторых, данные, генерируемые UEBA, более сложны, чем данные, создаваемые более простыми системами UBA. Без необходимой подготовки аналитикам может быть нелегко их понять. Для устранения этого недостатка Varonis предлагает программу обучения системам безопасности, в рамках которой персонал быстро и эффективно изучит передовые технологии, такие как UEBA.
  • Наконец, как уже упоминалось выше, важно понимать, что UEBA предоставляет очень специфическую поддержку и не может стать заменой другим системам кибербезопасности. С помощью анализа вы сможете обнаружить необычное поведение, но не остановить злоумышленников.

Машинное обучение и аналитика поведения пользователей

Для достижения эффективности UEBA применяет методы машинного обучения (ML). Эти инструменты могут оказать большую поддержку специалистам по кибербезопасности или ИТ-системам. Хотя машинному обучению еще предстоит пройти долгий путь, прежде чем его можно будет использовать для обнаружения угроз самостоятельно без вмешательства человека, существует множество задач, которые он может решить для повышения уровня безопасности.

Давайте подробнее рассмотрим, как ML используется в UEBA. В руководстве Gartner по UEBA (доступно здесь ) есть некоторые сведения о UEBA и соответствующих сценариях использования. Как отмечается в руководстве, UEBA в большей степени, чем UBA, уделяет внимание использованию науки о данных и машинного обучения, чтобы отделить обычные действия людей и сущностей от аномальных.

Gartner считает, что UEBA применяется в тех случаях, когда необходима более точная аналитика и сбор большего объема контекста, в том числе в отношении следующих аспектов:

  • Вредоносные инсайдеры;
  • Группы APT, использующие уязвимости «нулевого дня»;
  • Эксфильтрация данных с использованием новых каналов;
  • Мониторинг доступа к учетной записи пользователя.

Gartner отмечает, что ML имеет важное значение для установления норм, основанных на “взаимодействиях между всеми пользователями, системами и данными”. Но, как отметили исследователи систем машинного обучения, единого подхода к разработке этих норм не существует.

SimplyStats

Кластеризация методом k-средних, классификация, регрессия, компонентный анализ — все это может использоваться в в алгоритмах UEBA. Если вы интересуетесь данной темой, подробная информация доступна здесь.

Но даже самые большие сторонники аналитики, основанной на машинном обучении, согласятся с существованием границ. Их очень сложно настраивать, и они могут сформировать негативное отношение ко всем системам UEBA из-за слишком большого количества ложных срабатываний. Другими словами, алгоритмы настолько чувствительные, что предупреждают о событиях, которые хоть и необычные, но не указывают на отклонение от нормы, обнаружение злоумышленника или инсайдера.

Допустим, системному архитектору пришлось работать на выходных, чтобы уложиться в срок, и копировать сотни файлов. А алгоритмы кластеризации UEBA сочли действия этого сотрудника необычными, заблокировали его аккаунт, и это привело к задержке критически важного проекта.

UEBA, достоверные данные и моделирование угроз

Более серьезный вопрос для UEBA — это источники данных.

Очень сложно основывать аналитику безопасности на необработанном журнале событий Windows. Это сложный (и подверженный ошибкам) процесс сопоставления связанных событий из системного журнала. К тому же, он ресурсоемкий. Есть лучшие решения, которые могут создавать более “чистую” историю событий, связанных с файлами.

Другая проблема, относящаяся к алгоритмам UEBA, заключается в том, что в их разработке в некотором смысле всё начинается с нуля: их нужно обучать либо посредством формальной работы с учителем, либо “по ходу дела” в режиме полуконтроля. Но здесь нет ничего плохого, поскольку именно так работает машинное обучение.

Но в области безопасности данных у нас есть серьезное преимущество — мы знаем суть большинства наиболее критичных инцидентов. К счастью, специалисты MITRE проделали большую работу и разработали ряд методов и тактик для различных моделей.

Источник: MITRE ATT&CK

Получилось просто отлично!

В отношении UEBA нам не нужно полагаться только на методы машинного обучения, чтобы “исследовать” ключевые факторы, определяющие необычное поведение. Представители MITRE и другие говорят нам, что, наиболее известными методами злоумышленников, являются, в частности, горизонтальное перемещение, доступ к учетным данным и повышение привилегий.

Если вы начнете с использования этих хорошо изученных тактик, то получите преимущество в организации данных об инцидентах. Это закономерно подводит нас к теме моделирования угроз.

Почему Varonis считается лидером в области UEBA?

Модели угроз представляют собой ключевые характеристики настоящих хакерских атак, сгруппированных по крупным и значимым категориям. В этом случае может пригодиться помощь Varonis.

Модели угроз Varonis готовы к применению без какой-либо настройки. Varonis использует модели прогнозирования угроз для автоматического анализа поведения на нескольких платформах и предупреждения о потенциальном злоумышленнике. От заражения CryptoLocker до взлома аккаунтов служб и недовольства сотрудников — мы обнаружим и предупредим вас обо всех типах необычного поведения пользователей.

Узнайте подробную информацию о том, почему Varonis был признан The Gartner Market Guide образцовой системой поведенческой аналитики или запросите демо-версию уже сегодня и попробуйте сами!

Передовой опыт систем поведенческой аналитики (UEBA)

После запуска системы UEBA рекомендуется следовать нескольким принципам, которые помогут в обеспечении максимальной безопасности системы и окупаемости инвестиций.

Обучите своих сотрудников

Один из наиболее важных элементов правильного использования системы UEBA — проверка наличия у сотрудников знаний и навыков, необходимых для работы с ней. Шаблоны памяток по кибербезопасности могут показать важность кибербезопасности вашим сотрудникам, а вам следует непрерывно содействовать углублению знаний и понимания мер безопасности и передовых методов кибербезопасности. Это необходимо как для систем UEBA, так и для других типов программного обеспечения в области безопасности.

Учитывайте внутренние угрозы

При работе с системами UEBA в момент создания правил и политик по обнаружению атак необходимо учитывать все имеющиеся сведения об угрозах. Одним из основных преимуществ системы UEBA является возможность обнаружения внутренних угроз с той же эффективностью, что и внешних, при единственном условии настройки системы на их поиск.

Ограничьте доступ

Не предоставляйте каждому сотруднику доступ к системе UEBA — эти данные должны видеть исключительно уполномоченные сотрудники, и только они должны получать системные оповещения.

Следите за возможным повышением привилегий

Не воспринимайте непривилегированные аккаунты как безвредные. Хакеры часто выбирают своей целью именно эти аккаунты, а затем пытаются расширить объем привилегий для проникновения в конфиденциальные базы. Системы UEBA могут помочь в обнаружении несанкционированного повышения привилегий, поэтому вам следует настроить свое программное обеспечение так, чтобы оно оповещало вас о подобных случаях.

Используйте другие инструменты

Не рассматривайте использование процессов и инструментов UEBA в качестве альтернативы базовым системам мониторинга, таким как системы обнаружения атак (IDS). Системы UEBA — дополнение к традиционной инфраструктуре мониторинга, а не ее замена.

Сравнение UEBA и SIEM

Еще один источник замешательства многих аналитиков в области безопасности — различия между UEBA и SIEM. В этом разделе остановимся на них подробнее.

SIEM подразумевает наличие комплексного набора инструментов и технологий, позволяющих получить полное представление о безопасности ИТ-системы. В нем используются данные и информация о событиях, позволяющие просматривать закономерности и тенденции и отправлять уведомления. Система UEBA работает таким же образом, но в ней собирается информация о поведении пользователя (и сущности) для определения нормальной и ненормальной активности.

SIEM служит отличной отправной точкой для анализа безопасности, поскольку отслеживает системные события, фиксируемые в брандмауэрах, системном журнале, журналах ОС и сетевого трафика и пр. На первый взгляд, UBA и SIEM очень похожи, однако, если присмотреться, они выполняют разные задачи.

Если у меня SIEM, нужна ли мне UEBA?

Хороший вопрос. Ответ зависит от размеров организации и от того, что именно требуется от системы обнаружения атак.

SIEM — эффективный инструмент управления безопасностью, но обычно в нем нет эффективных и интеллектуальных функций обнаружения угроз и реагирования на них. Опытные хакеры могут с легкостью обойти их. Кроме того, этот инструмент больше сосредоточен на угрозах в реальном времени, чем на расширенных атаках. UBA уделяет меньше внимания системным событиям и больше — конкретным действиям пользователя, она создает профиль сотрудника на основе его шаблонов использования и отправляет предупреждение, если обнаруживает нетипичное поведение. Обычно оповещения UEBA отправляются по электронной почте, в SMS или передаются через SIEM. Одновременное использование двух этих инструментов позволяет организациям гораздо эффективнее защищаться от угроз.

Тем не менее, есть несколько моментов, о которых следует задуматься, принимая решение о необходимости установки UEBA в дополнение к SIEM:

  1. Решите, что вам нужно: SIEM — для анализа данных о событиях безопасности, создаваемых устройствами безопасности, сетевыми инфраструктурами, системами и приложениями, или UEBA — для глубокого понимания того, что делают пользователи в системе: их действия и способы доступа к файлам.
  2. Сценарии использования также очень помогают сотрудникам службы безопасности определять и уточнять условия для выбора нужного решения, а также расставлять приоритеты между ними. К тому же, это хороший способ четко разобраться, в чем разница между этими взаимодополняющими технологиями.

Вот некоторые сценарии использования SIEM:

  • Отчеты о соблюдении норм;
  • Мониторинг событий: операции доступа, доступ к данным, активность приложений и управление событиями.

Некоторые сценарии использования UEBA:

  • Внутренние угрозы безопасности компании;
  • Защита организаций, которые владеют ценной интеллектуальной собственностью или имеют конфиденциальные данные, которые необходимо защитить (например, финансовые, государственные, телекоммуникационные, образовательные, здравоохранительные, торговые структуры и пр.).
  1. Если вы уже развернули SIEM-систему, оцените ее возможности мониторинга пользователей, профилирования и обнаружения аномалий, чтобы определить, можно ли адаптировать их для ваших сценариев использования, прежде чем переходить к технологии UEBA.

Резюмируя, и у SIEM, и у UEBA есть эффективные способы использования, которые помогают организации удовлетворить свои потребности в области безопасности. Поскольку внутренние атаки реально существуют и обходятся дорого, не упускайте из виду UEBA — это отличное дополнение к SIEM.

Заключение

UEBA может стать серьезным дополнением к уже имеющимся средствам обеспечения кибербезопасности. Системы UEBA также являются полезным инструментом для обучения инженеров по безопасности, поскольку они позволяют научиться определять подозрительную активность.

Однако системы UEBA не являются универсальным средством кибербезопасности. Их также следует использовать вместе с полнофункциональным решением для обнаружения угроз. При этом системы UEBA могут значительно сократить время, необходимое для обнаружения кибератак и реагирования на них, выявляя угрозы, которые не замечают стандартные программы.

 

Бесплатный аудит рисков кибербезопасности

Узнайте об уязвимостях вашей ИТ-инфраструктуры - мы проведем бесплатный аудит рисков и подготовим для вас отчет. Это займет около 90 минут вашего времени и никак не отразится на бизнес-процессах компании.