Аналитика поведения
пользователей и объектов (UEBA)

Что такое UEBA?

Аналитика поведения пользователей и объектов (UEBA) или обнаружение аномалий - это метод кибербезопасности, который использует алгоритмы машинного обучения для обнаружения аномальных действий пользователей, хостов и других объектов в сети.

Для обнаружения аномалий UEBA сначала изучает ожидаемое поведение всех пользователей и объектов в сети и создает базовый уровень регулярных действий для каждого из них. Любая активность, отклоняющаяся от этого базового уровня, помечается как аномалия. Решения UEBA становятся более эффективными по мере накопления опыта.

Чтобы понять, как UEBA создает поведенческий профиль для каждого пользователя, давайте сначала рассмотрим пример и разберемся, как это делают люди. Представьте себе Джона, которого недавно приняли на должность стажера в отдел маркетинга. В первый рабочий день охранник узнал в нем новичка и внимательно проверил все его документы. Охранник также отслеживает время входа и выхода Джона из учреждения. Он следит за активностью Джона в течение нескольких дней и узнает его предполагаемый график - прибытие в 10 часов утра и уход в 18 часов вечера. Любое отклонение от этого правила, например, прибытие Джона в 5 часов утра, вызовет подозрения у охранника. Вот как люди обнаруживают аномалию.

Аналогичным образом алгоритм машинного обучения в решении SIEM, интегрированном с UEBA, будет отслеживать данные журнала для выявления закономерностей в вашей сети. Например, время входа и выхода пользователя из системы, а также его действия на конкретных устройствах дадут решению SIEM информацию о том, какие действия ожидаются от этого пользователя. После нескольких дней мониторинга активности модуль UEBA узнает ожидаемое поведение пользователя, включая любые отклонения от него. Показатель риска пользователя увеличится, отражая серьезность угрозы, а решение SIEM отправит предупреждение аналитикам по безопасности.

"Но если человек уже может это сделать, зачем вам UEBA?"

Потому что для вашей службы безопасности немыслимо постоянно наблюдать и анализировать поведение тысяч сотрудников, работающих в вашей организации, составлять отчеты об аномальной активности в различных частях сети и немедленно принимать соответствующие меры. Это подводит нас к следующему вопросу: "Какие типы аномалий может выявлять UEBA?"

Какие типы аномалий может выявлять UEBA?

UEBA выявляет аномалии, связанные со временем, количеством и закономерностью. Давайте рассмотрим, что означает каждая из них.

Аномалия времени. Если пользователь или объект отклоняется от ожидаемого базового уровня, это называется временной аномалией. В качестве примера временной аномалии можно привести приход Джона на работу в 5 часов утра вместо обычных 10 часов утра.

Аномалия количества. Если пользователь или объект выполняет ненормальное количество действий в течение короткого промежутка времени, мы называем это аномалией количества. Примером может служить пользователь, обращающийся к базе данных клиентов 50 раз в час с 11:00 до 12:00.

Аномалия закономерности. Если непредвиденная последовательность событий приводит к тому, что доступ к учетной записи пользователя или объекту осуществляется нетипичным или несанкционированным образом, это называется аномалией закономерности. Примером такой аномалии является учетная запись пользователя, в которую успешно вошли после восьми последовательных неудачных попыток входа в систему, за которыми последовали многочисленные удаления файлов, изменения и передачи данных, выполненные из этой учетной записи.

Прежде чем мы обсудим внутренние процессы UEBA, давайте немного подробнее рассмотрим основы, разобравшись в трех столпах и компонентах UEBA.

---

Три столпа UEBA

Определение UEBA компанией Gartner включает три ключевых атрибута или столпа: сценарии использования, источники данных и аналитика.

Сценарии использования

Решения UEBA выявляют аномальные отклонения от нормального поведения пользователей и объектов для выявления угроз безопасности. Однако крайне важно, чтобы они подходили для многочисленных сценариев использования, таких как внутренние угрозы, взлом учетных записей, кража данных и атаки нулевого дня.

Источники данных

Используемое решение UEBA должно иметь возможность собирать данные из различных источников, таких как журналы событий, сетевой трафик и конечные устройства, путем полной интеграции с решением SIEM или приема данных из общих репозиториев, таких как хранилища данных или озера данных. Они не должны требовать развертывания агентов в ИТ-средах для сбора данных.

Аналитика

Решения UEBA используют передовые аналитические методы, такие как алгоритмы машинного обучения, статистические модели, сигнатуры угроз и правила для определения нормального базового поведения пользователей и объектов. Затем решение UEBA анализирует поведение в контексте ролей пользователей, разрешений и типичных действий, чтобы точно различать нормальное и подозрительное поведение.

Эти три столпа в совокупности позволяют организациям укреплять свою позицию по кибербезопасности и эффективно снижать риски.

---

Компоненты UEBA

Решение UEBA состоит из трех основных компонентов:

1. Аналитика данных

Аналитика данных в UEBA включает сбор и анализ данных из различных источников журналов для изучения "нормального поведения" всех пользователей и объектов. При обнаружении любых выходящих за рамки событий он помечает их как аномалию.

2. Интеграция данных

Это предполагает интеграцию данных, собранных из различных источников, включая журналы, данные захвата пакетов и другие наборы данных, с существующими системами безопасности для повышения их надежности.

3. Представление данных

Представление данных в UEBA помогает аналитикам безопасности и другим заинтересованным сторонам с легкостью интерпретировать данные и принимать обоснованные решения на основе выявленных моделей поведения. Это делается с помощью визуализаций, диаграмм, графиков или отчетов, которые подчеркивают закономерности, аномалии и оценки риска, полученные в результате анализа данных.

---

Как работает UEBA?

Внимательное наблюдение за поведением человека может многое рассказать о его истинных намерениях. Именно на этой концепции основана работа UEBA. Решения UEBA внимательно отслеживают действия каждого пользователя и объекта внутри сети и изучают их характеристики. Решение UEBA часто работает вместе с решением SIEM, используя журналы активности для изучения обычного поведения пользователей и объектов.

Оценка риска рассчитывается для каждого пользователя и объекта в организации после сравнения их действий с базовым уровнем обычной деятельности. Показатель риска обычно варьируется от нуля до 100 (что означает отсутствие риска или максимальный риск соответственно). Оценка риска отклоняющихся действий зависит от таких факторов, как присвоенный действию вес, степень отклонения действия от базового уровня, частота каждого вида отклонения и время, прошедшее с момента возникновения отклонения данного типа. Подробнее о том, как работает оценка риска при обнаружении аномалий, см. в ознакомьтесь в этом блоге.

Существует два способа настройки системы UEBA:

Контролируемое машинное обучение

При использовании этого метода в систему UEBA поступает список известных хороших и плохих моделей поведения. Этот список ограничен, и поэтому для обнаружения аномального поведения в нем может не хватать достаточных знаний. Система дополнительно накапливает эти входные данные и обнаруживает аномальное поведение в сети.

Автоматическое машинное обучение

Данный способ подразумевает, что система UEBA проходит период обучения, чтобы изучить нормальное поведение каждого пользователя и объекта. Этот метод, бесспорно, является лучшим, поскольку система самостоятельно изучает повседневное поведение пользователей и сущностей.

Рабочий механизм UEBA

UEBA использует статистические модели, такие как надежный анализ основных компонентов (RPCA) и цепи Маркова, для установления базовых поведенческих показателей. Эти модели обнаружения аномалий помогают выявлять аномалии времени, количества и закономерности.

Цепи Маркова

Цепь Маркова характеризуется последовательностью событий, в которой вероятность следующего события полностью зависит от состояния текущего события. Здесь алгоритм сравнивает каждое действие пользователя или хоста со списком возможных действий и со временем идентифицирует каждое событие с низкой вероятностью как аномалию. Используя этот метод, можно определить аномалии закономерностей.

В цепях Маркова интересующая нас закономерность делится на два последовательных действия, и алгоритм проверяет, является ли вероятность того, что второе действие произойдет после первого, разумно вероятностной. Алгоритм определяет эту вероятность на основе исторического поведения.

---

Конвергенция SIEM и UEBA

Gartner рассматривает UEBA как функцию или компонент решений SIEM, и современные решения SIEM разработаны именно таким образом. Несмотря на то, что существуют отдельные решения UEBA, в последние годы поставщики решений безопасности в основном интегрируют возможности UEBA в свои решения по аналитике безопасности или SIEM. Такое слияние представляет собой мощную синергию в современной кибербезопасности.

Платформы SIEM собирают, сопоставляют и анализируют данные о событиях безопасности из различных источников, предоставляя информацию о потенциальных угрозах. UEBA расширяет возможности SIEM, уделяя особое внимание поведению пользователей и объектов, используя расширенную аналитику для обнаружения аномалий и внутренних угроз. Интегрируя возможности UEBA в SIEM, организации получают механизм упреждающей защиты от сложных кибератак, что позволяет быстрее обнаруживать угрозы, эффективнее реагировать на инциденты и снижать общие риски в современном динамичном ландшафте угроз.

---

Примеры использования UEBA

UEBA может помочь организациям выявлять различные угрозы, такие как действия внутренних злоумышленников, скомпрометированные учетные записи, утечка данных и аномальные входы в систему. Для этого они ориентируются на следующие признаки:

Признаки внутренней угрозы

• Новые или необычные действия доступа к системе
• Необычное время доступа
• Необычный доступ к файлам или их изменение
• Излишнее количество сбоев проверки подлинности

Признаки компрометации учетной записи

• Необычное программное обеспечение, запущенное пользователем
• Установка на хост нескольких экземпляров программного обеспечения
• Многочисленные ошибки входа на хост

Признаки кражи данных

• Необычное количество или тип загрузок файлов
• Создание пользователями множества съемных дисков
• Необычные команды, выполненные пользователем
• Аномальные действия по входу на хост

Признаки аномалий входа в систему

• Многократные сбои входа в систему
• Успешный вход после нескольких неудачных попыток входа
• Попытки входа в систему в необычное время
• Входы из необычных мест
• Несанкционированные входы или попытки входа

---

Преимущества UEBA для операций по обеспечению безопасности

• Решение может обеспечить лучшую защиту от эксплойтов нулевого дня, для которых пока нет известных сигнатур.
• Действия каждого пользователя и объекта сравниваются с их соответствующим типичным, усредненным или базовым поведением. Таким образом, количество ложных положительных и ложных отрицательных срабатываний будет сокращено по сравнению с механизмами оповещения на основе правил.
• Традиционные решения SIEM рассматривают нарушения безопасности как отдельные инциденты и отправляют оповещения, в то время как решения UEBA рассматривают безопасность в целом и рассчитывают оценки риска для каждого пользователя, что в результате снижает количество ложных оповещений.
• Решение SIEM, интегрированное с UEBA, может обнаруживать долгосрочные вредоносные обходы защиты более эффективно, чем традиционные решения безопасности, а оценка рисков помогает держать их под контролем.
• Меньше нагрузки на ИТ-администраторов в вопросах разработки пороговых значений или правил корреляции для выявления угроз.
• Оценка рисков позволяет экспертам по безопасности сосредоточиться на наиболее достоверных оповещениях о высоком уровне риска.

---

UEBA сегодня

UEBA продолжает развиваться как решение для борьбы с постоянно растущим объемом проблем, с которыми сталкиваются организации при выявлении и устранении угроз со стороны пользователей. Разрабатываются новые методы и подходы, позволяющие опережать возникающие угрозы. Вот некоторые из новейших технологий в UEBA, которые делают решение еще более эффективным.

Анализ группы аналогов

Анализ группы аналогов в UEBA - это метод, при котором применяются статистические модели для отнесения пользователей и хостов, имеющих схожие характеристики, к одной группе. Идея группирования аналогов заключается в том, что сравнение поведения пользователя с поведением соответствующей группы аналогичных объектов повышает точность оценки риска. Существует два различных типа групп аналогов: статические и динамические.

Статическое группирование аналогов подразумевает группирование пользователей или объектов на основе предварительно заданных атрибутов, таких как отдел, роль или местоположение. Сравнивая поведение пользователей и объектов внутри этих статических групп, можно обнаружить аномалии. Например, если поведение пользователя существенно отличается от поведения его коллег, это может указывать на потенциальную проблему безопасности, и его оценка риска соответственно увеличится.

Динамическое группирование аналогов подразумевает динамическое формирование групп на основе поведенческих данных, собранных с течением времени. В отличие от статических динамические группы аналогов создаются и анализируются на основе моделей схожего поведения, а не группируются на основе широких категорий, таких как местоположение. Такой подход позволяет более точно выявлять аномалии и снижает вероятность ложных срабатываний.

Хотя может показаться, что динамический способ группирования аналогов лучше статического метода, интегрированное с UEBA решение SIEM, способное создавать группы аналогов на основе обоих методов, является наиболее эффективным вариантом для точной оценки риска. Подробнее о статическом и динамическом группировании см.

Сезонность

Если какая-либо деятельность происходит с определенной степенью регулярности - например, ежечасно, ежедневно, еженедельно или ежемесячно, - она считается сезонной. Если эта сезонная активность происходит вне обычного графика, то ее следует считать аномалией, и ваше решение UEBA должно быть способно ее обнаружить. Например, если к базе данных, к которой обычно обращаются только в конце месяца, обращаются в середине месяца, это будет считаться аномалией.

Если не учитывать сезонность, можно упустить важные подсказки, которые могли бы помочь вам обнаружить и остановить атаку, или ваши аналитики по безопасности могут быть завалены многочисленными ложными предупреждениями, что приведет к усталости от оповещений. Учет сезонности в решении UEBA повысит точность оценки риска и сократит количество ложных срабатываний. Подробнее о сезонности см.

Возможности настраиваемого моделирования аномалий и настраиваемой оценки рисков

Настраиваемое моделирование аномалий в UEBA подразумевает возможность создания персонализированных моделей для обнаружения аномалий, характерных для уникальной среды и требований организации. Это позволяет организациям адаптировать систему UEBA под свои конкретные потребности и лучше выявлять отклонения от нормального поведения. На основе выбранных параметров алгоритм проанализирует поведение и установит базовый уровень. Моделирование аномалий можно настраивать с учетом аномалий времени, количества и закономерности.

Настраиваемая оценка рисков в UEBA подразумевает адаптацию методологии оценки рисков к конкретным потребностям и контексту организации. Это позволяет организациям определять собственные факторы риска и назначать соответствующие значения для весового коэффициента и коэффициента затухания аномалий на основе их уникальных требований к безопасности.

Сопоставление личности пользователя

Сопоставление личности пользователя (UIM) - это процесс сопоставления различных учетных записей пользователей на предприятии с базовой учетной записью, например Active Directory, путем сопоставления общих атрибутов. При использовании UIM действия отдельных учетных записей пользователей из разных источников приписываются одному пользователю, который их фактически выполняет. Учетные записи пользователей, которые считались отдельными и имели индивидуальные оценки риска, теперь будут иметь только одно представление и одну оценку риска. Консолидированная оценка риска рассчитывается на основе действий отдельного человека в различных учетных записях (например, Windows, Linux и SQL). Подробнее об UIM см.

---

UEBA в здравоохранении

UEBA играет важную роль в отрасли здравоохранения, предоставляя расширенные возможности обнаружения угроз и мониторинга внутренних угроз. Учреждения здравоохранения являются популярной целью кибератак. Злоумышленники все чаще используют медицинские устройства Интернета вещей для осуществления атак с целью вымогательства. Решения UEBA обнаруживают признаки программ-вымогателей (переименование файлов, доступ к файлам и необычное выполнение процессов) на ранних этапах и оповещают аналитиков для принятия эффективных мер по устранению последствий. UEBA может использоваться в сфере здравоохранения для защиты конфиденциальной информации о пациентах, обеспечения соблюдения нормативных требований и повышения общего уровня безопасности. Подробнее см.

---

UEBA в BFSI

Деньги являются одним из самых мощных мотиваторов кибератак, а банковская, финансовая и страховая отрасли (BFSI), которые имеют дело с деньгами и денежными транзакциями больше, чем большинство других учреждений, делают их главной мишенью для злоумышленников. UEBA расширяет возможности менеджеров по ИТ-безопасности, предоставляя расширенные сведения о действиях пользователей и поведении объектов, что позволяет им отслеживать подозрительные действия сотрудников и учетных записей клиентов. Используя решения SIEM совместно с UEBA, финансовые организации получают возможность отслеживать состояние своих ИТ-экосистем в режиме реального времени, что помогает им опережать угрозы и предотвращать финансовые преступления. Такой подход повышает эффективность обнаружения мошенничества и мониторинга внутренних угроз, а также обеспечивает соблюдение нормативных требований в жестко регулируемых финансовых средах. Подробнее о борьбе с угрозами с помощью UEBA в отрасли BFSI см.

---

UEBA в сфере образования

Образовательные учреждения хранят огромное количество конфиденциальных данных, включая сведения о студентах, имена, адреса, номера социального страхования, сведения о состоянии здоровья, финансовые данные и интеллектуальную собственность, что требует принятия надежных мер кибербезопасности. Используя технологию UEBA, менеджеры по ИТ-безопасности в образовательных учреждениях могут заблаговременно реагировать на возникающие киберугрозы, укреплять общую кибербезопасность и обеспечивать безопасную среду обучения для всех заинтересованных сторон. Постоянный мониторинг и анализ поведения пользователей, осуществляемые с помощью UEBA, позволяют обнаруживать и устранять угрозы на раннем этапе, что позволяет образовательным учреждениям снижать финансовые, репутационные и юридические риски, связанные с нарушениями кибербезопасности. Подробнее см.

---

Как выбрать правильное решение UEBA

Оповещения в режиме реального времени

С помощью оповещений вы всегда будете в курсе аномалий, происходящих в сети, в режиме реального времени. Например, можно настроить отправку уведомлений по электронной почте сразу после обнаружения аномалии. Благодаря оповещениям в режиме реального времени вам не придется входить в решение UEBA, чтобы проверить наличие оповещений каждый раз, когда сеть подвергается новому риску.

Сбор и анализ данных

Решение UEBA должно правильно собирать и анализировать данные пользователей, компьютеров и других объектов в сети, такие как журналы событий и данные захвата пакетов. Постоянный мониторинг и анализ данных из разных источников поможет с легкостью и мгновенно обнаружить аномалии.

Настраиваемые модели аномалий

Все системы обнаружения аномалий предлагают встроенные модели аномалий. Это алгоритмы машинного обучения, которые изучают базовый уровень ожидаемой активности для каждого пользователя и хоста в сети. Если решение UEBA включает возможность обучать собственную модель аномалий, это называется настраиваемой моделью аномалий. Это позволяет лучше учитывать конкретную ситуацию с безопасностью в своей компании. Подробнее о моделях аномалий см.

Полезные отчеты с возможностью выполнения действий прямо в отчете

Собранные данные должны быть эффективно объединены в удобные для просмотра отчеты, а создание отчетов, на основе которых можно принимать решения, является еще одной важной функцией решения UEBA. Регулярный просмотр отчетов помогает администраторам выявлять ложные сигналы в сети и дает представление о том, как настроить решение UEBA для соответствия нормам безопасности организации.

Точная оценка риска

Решение UEBA должно иметь возможность присваивать оценку риска каждому пользователю и хосту в сети, чтобы отражать степень риска, представляемого объектом. Оценка риска зависит от степени и типа аномалий, которые инициирует пользователь или хост.

Анализ группы аналогов

Группирование аналогов - это процесс, посредством которого вы группируете пользователей и хосты в отдельные группы аналогов на основе их прошлого поведения. Если ваша платформа аналитики безопасности использует анализ групп аналогов, она сможет определить, ведет ли себя пользователь или хост так, как ожидается, на основе групп, в которых он находится. Если поведение не соответствует ожиданиям, система выдает предупреждение об аномалии. Выполняя это в дополнение к сравнению поведения пользователя или хоста с его собственным базовым уровнем, анализ группы аналогов помогает сократить количество ложных срабатываний. Подробнее об анализе группы аналогов см.

---

Вопросы и ответы

В чем разница между UBA и UEBA?

Несмотря на то, что аналитика поведения пользователей (UBA) и аналитика поведения пользователей и объектов (UEBA) могут выглядеть схожими, они различаются по своей направленности и области применения. UBA в первую очередь фокусируется на анализе поведения отдельных пользователей в сети организации. UBA обычно не распространяет свой анализ на объекты, отличные от человека, такие как серверы или сетевые устройства. Тогда как UEBA использует алгоритмы машинного обучения для корреляции и анализа поведения пользователей и объектов (серверов, приложений, устройств), обеспечивая более комплексные возможности обнаружения угроз и реагирования на них.

В чем разница между NTA и UEBA?

Анализ трафика сети (NTA) включает мониторинг и анализ шаблонов и поведения сетевого трафика для выявления подозрительных или вредоносных действий. Это включает в себя проверку сетевых пакетов, потоковых данных и метаданных для обнаружения вторжений или показателей компрометации (IoC) в сетевой инфраструктуре. Проще говоря, NTA выявляет угрозы только на сетевом уровне, тогда как UEBA работает более комплексно. UEBA обнаруживает отклонения от нормальных моделей поведения на более высоком уровне, помогая выявлять внутренние угрозы, скомпрометированные учетные записи, атаки нулевого дня и аномальные модели доступа среди пользователей и объектов.

В чем разница между UEBA и EDR?

UEBA и обнаружение и реагирование для конечных точек (EDR) служат разным целям, но дополняют друг друга в многоуровневой стратегии безопасности. UEBA превосходно анализирует поведение пользователей и объектов для выявления более масштабных и стратегических угроз, в то время как EDR фокусируется на обнаружении, реагировании и устранении угроз на уровне конечных точек, нацеленных на такие конечные точки, как ноутбуки, настольные компьютеры, серверы и мобильные устройства. Вместе они повышают способность организации эффективно обнаруживать как внешние, так и внутренние угрозы и реагировать на них.

Каким образом UEBA или обнаружение аномалий способствуют снижению угроз?

Аномалии часто служат ранними предупреждающими знаками потенциальных кибератак. Выявляя отклонения от нормального поведения, UEBA может помочь организациям обнаружить угрозы, такие как ненормальное поведение при входе в систему, вредоносное ПО, кража учетных данных, внутренние угрозы, несанкционированный доступ и злоупотребление привилегиями, до того, как они перерастут в нечто большее. Такое быстрое обнаружение позволит службам безопасности быстрее решать проблемы, тем самым сокращая среднее время реагирования (MTTR) на инциденты безопасности.

Чем отличается UEBA от традиционных инструментов обеспечения безопасности?

В отличие от традиционных инструментов, основанных на правилах, UEBA использует машинное обучение для адаптации к меняющимся угрозам и поведению пользователей, сокращая количество ложных срабатываний и выявляя сложные атаки, которые обходят предопределенные правила. Решение для управления информационной безопасностью и событиями безопасности (SIEM) с возможностями UEBA может использовать преимущества как предварительно заданных, так и настраиваемых правил корреляции для идентификации известных кибератак, а также обнаруживать угрозы нулевого дня и сложные постоянные угрозы, что делает его идеальным решением для повышения уровня безопасности организаций.

Заменит ли UEBA другие инструменты обеспечения безопасности?

Нет, UEBA дополняет существующие инструменты, такие как межсетевые экраны, SIEM и обнаружение для конечных точек, предоставляя дополнительный уровень поведенческой аналитики. Таким образом, для укрепления своей безопасности организациям следует использовать как минимум решение UEBA (если не интегрированное с UEBA решение SIEM) в сочетании с другими инструментами кибербезопасности.

Выдает ли UEBA ложные срабатывания?

Хотя UEBA призвано минимизировать ложные срабатывания по сравнению с традиционными инструментами обнаружения угроз, иногда могут возникать ложные срабатывания, особенно на начальном этапе обучения или когда резкие изменения в поведении пользователя являются законными. Решения UEBA обычно требуют двухнедельного обучения (изучения поведенческих моделей пользователей) для установления базового уровня и выявления аномалий в поведении пользователей.