Uba dlp что это
Что такое UBA?
Реалии наших дней таковы, что компании хотят иметь возможность предугадать, когда и где появится внутренний злоумышленник. Предвидеть будущее непросто, куда эффективнее построить прогноз на основе аналитики. Здесь поможет анализ поведения пользователей (User Behavior Analytics) — это процесс обеспечения кибербезопасности, связанный с обнаружением внутренних угроз, целевых атак и финансового мошенничества.
1. Анализ данных
Технологии UBA анализируют историю активности пользователя на рабочем месте. Таким образом определяются нормальные и вредоносные модели поведения пользователей. UBA предоставляет офицерам кибербезопасности данные для понимания паттернов поведения пользователей.
2. Интеграция данных
UBA-технологии позволяют работать с различными типами данных, такими как позиции и должности пользователей, уровень доступа, учетные записи и разрешения, активность пользователя и его географическое положение, а также оповещения о безопасности. Эти данные могут быть выявлены на основе прошлой и текущей деятельности. Кроме того, анализ учитывает такие факторы как используемые интернет ресурсы и продолжительность сеансов. Показатели автоматически обновляются при внесении изменений в данные.
3. Визуализация приоритетных данных
Технология UBA не выделяет все аномалии как риски. Вместо этого оценивается потенциальное негативное влияние поведения пользователя. Если в инциденте задействованы менее чувствительные ресурсы, он получает низкий балл риска. Если же нарушение принятых политик безопасности связано с чем-то более чувствительным, например, с персональными данными, инцидент получит более высокую оценку риска. Таким образом, специалисты безопасности могут расставить приоритеты для принятия последующих действий.
Современные алгоритмы машинного обучения позволяют системам UBA снижать количество ложных срабатываний и предоставлять более четкие и точные сведения о рисках.
Зачем это нужно бизнесу?
Помогает предприятиям обнаруживать внутренние угрозы, целевые атаки и финансовое мошенничество.
Человеческий фактор, как и прежде, остается угрозой номер один для любого бизнеса. UBA-система рассматривает шаблоны человеческого поведения. Используя вычислительные алгоритмы и статистический анализ, она выявляет значительные аномалии этих шаблонов, несущие потенциальную угрозу. Вместо того, чтобы собирать и анализировать информацию об устройствах и событиях, UBA концентрируется на информации о людях, использующих эти устройства.
Оптимизирует работу офицера безопасности, нейтрализуя возможные ошибки, связанные с человеческим фактором.
Системы безопасности собирают огромное количество разнообразных данных, поэтому их ручной анализ может занять годы и даже десятилетия. К тому же, не всегда понятно, какая именно информация является предвестником потенциальной атаки. UBA-решение концентрируется на поведенческих шаблонах и их нарушениях, которые являются ярким маркером возрастающего риска. Служба безопасности получает наглядные отчеты, сообщающие об общем уровне риска в компании и отдельный ТОП-лист наиболее неблагонадежных сотрудников. Имея эту информацию, офицер безопасности может своевременно провести превентивную работу и нейтрализовать существующий риск.
Как технология UBA представлена на рынке?
Сегодня существует достаточное количество отдельных решений, которые дают возможность использовать технологию UBA. С их помощью можно проводить углубленную аналитику, выстраивать модели поведения пользователей и предотвращать возможные угрозы. Однако в связи с высокой стоимостью таких решений, большим спросом пользуются продукты, в которых частичный (наиболее полезный для пользователей) функционал UBA синхронизирован с другими функциями. К примеру, с DLP-системой или системой контроля сотрудников.
UBA и Falcongaze SecureTower
В новой версии SecureTower появился UBA-модуль Анализ рисков, позволяющий отслеживать аномальные и потенциально опасные для организации изменения в поведении сотрудников.
Модуль определяет суммарный уровень риска, идущий от сотрудников, на основе случившихся инцидентов. Специалист по безопасности может сам настраивать уровень риска для каждого конкретного инцидента. В результате формируется ТОП-список сотрудников, представляющих повышенную угрозу. Изменение уровней риска автоматически отражается на динамическом графике временных тенденций поведения сотрудников.
Модуль анализа рисков автоматически генерирует всю необходимую информацию и отчеты для проведения работы по исследованию тенденций поведения пользователей.
Сравнительный обзор современных UEBA-систем
Содержание:
Системы UEBA (или UBA-системы) представляют собой инновационные программные комплексы, которые сейчас активно внедряются в крупных компаниях по всему миру. Их задача – на основании поведенческих паттернов, типичных для конкретной среды, выявлять аномальное поведение пользователя и IT-сущностей (сервера, рабочие станции и тд.).
Поведенческий анализ пользователя позволяет оперативно обнаруживать угрозы безопасности и тенденции снижения продуктивности сотрудников компании. На основании такого анализа UEBA-система самостоятельно принимает решение или отправляет отчет руководителю. Ниже мы подробно рассмотрим механизмы работы таких решений.
UEBA – что это?
Аббревиатура UEBA английская по происхождению – за ней скрыто значение User and Entity Behavioral Analytics, в переводе – Пользовательская и Объектная Поведенческая Аналитика. Помимо UEBA-систем существуют и UBA-системы. Из этой аббревиатуры убрано слово «Entity», следовательно, решение разработано, чтобы оценивать конкретно поведение пользователя, оно не затрагивает работу IT-систем. Но механизмы оценки и базовые принципы в обоих случаях аналогичные.
UEBA/UBA – это системы обнаружения аномального поведения активных пользователей. Они анализируют массивы данных, свободно получаемые из внутренней сети предприятия, делают выводы на основании алгоритмов машинного обучения и статистической оценки. Если результат по конкретному пользователю/объекту отклоняется от заданного/типичного, его активность признают за аномальную.
В дальнейшем софт действует по предустановкам, например – помещает сервер на карантин, блокирует пользователю доступ в Интернет или отправляет оповещение его непосредственному руководителю.
Основные принципы работы UEBA-систем
Системы обнаружения аномального поведения используют журналы сетевых/серверных компонентов, информацию из баз данных охранных сетей, локальных БД отделов и конкретных ПК. Также в распоряжении таких систем находятся сведения по аутентификации, переписка в корпоративных мессенджерах, по электронной почте, с использованием иных коммуникативных каналов, включая социальные сети.
Таким образом, для программы просто нет элементов сетевой инфраструктуры компании, к которым она не имеет доступа. Безопасность UEBA/UBA обеспечивается специальными протоколами, непреодолимыми для хакеров и инсайдеров. Суммирующие результаты оценки безопасности доступны только руководителю и тем специалистам, кому он делегировал соответствующие полномочия. User and Entity Behavioral Analytics – это без преувеличения уникальный метод защиты от инсайдерских сливов и киберопасностей.
Какие задачи решает данный класс систем
Понимая, как работает технология UBA/UEBA, нетрудно понять, для каких целей можно использовать полученные данные. Эти технологии внедряются и функционируют на предприятиях с двумя целями:
То есть, помимо обеспечения безопасности корпоративных данных, программы типа UBA можно использовать для тотального контроля персонала. Специализированные DLP или SIEM-решения не предназначены для таких задач. Для них угроза – это внезапный выход пользователя в облачный сервис или перенос данных с рабочего ПК на съемный носитель. Но сниженный KPI или регулярное общение в Telegram по внерабочим темам – не позиционируются ими как угроза, такие действия вообще не отлеживаются.
Обзор программных решений по сегменту
В данном обзоре рассмотрим популярные решения систем поведенческого анализа пользователей, позволяющие решать широкий спектр задач по информационной безопасности.
ObservIt UEBA
Год разработки: 2016
Специализация: кибербезопасность
Особенности: легковесные клиентские агенты
Бесплатная версия: есть, с ограниченным функционалом
В отличие от большинства UBA/UEBA-систем, это израильское решение для сбора поведенческой аналитики имеет наивысшую степень интегративности. Например, если у вас уже есть ПО типа DLP или программа для анализа поведения пользователя, вы можете применять ObservIt без риска для стабильности имеющейся инфраструктуры. К плюсам решения относят высокую скорость работы и глубокую настройку. Лицензируется по числу рабочих станций, на которые установлен клиентский агент.
ObservIt в режиме реального времени анализирует данные, которые проходят через все внутренние и внешние информационные каналы предприятия. Если происходит обнаружение данных, значения которых отклоняются от признаваемых типовыми, они определяются как угроза. Согласно предустановкам система проводит аудит на соответствие деятельности штатных сотрудников требованиям регуляторов. Перманентно генерируются отчеты, в том числе предоставляющие данные скомпрометированных учетных записей.
Microsoft Advanced Threat Analytics (ATA)
Год разработки: 2015
Специализация: кибербезопасность
Особенности: адаптивная антихакерская защита
Бесплатная версия: есть, с ограниченным функционалом
Как и многие UBA/UEBA-системы, Microsoft Advanced Threat Analytics ориентирована на защиту от инсайдерских сливов, плюс мощная защита от внешних воздействий, которые могут быть классифицированы как хакерская угроза. По архитектуре и функциям ATA сильно отличается от ObservIt, но и первое и второе решение совершенно не подходит для контроля персонала. Они ближе к классическим технологиям предотвращения утечек корпоративных данных.
ATA отлично выявляет факты кражи учетных записей и злоупотребления полномочиями для привилегированных записей. Также эта системы обнаружения несанкционированного аномального поведения оперативно фиксирует неидентифицируемые угрозы и пресекает их горизонтальное распространение по внутренней сети компании. Подобные UBA/UEBA-системы всегда эффективны, но они не дают подробного контроля за деятельностью сотрудников в контексте их продуктивности.
Forcepoint UEBA
Год разработки: 2017
Специализация: корпоративный шпионаж
Особенностии: высокий уровень автоматизации
Бесплатная версия: есть, на индивидуальных условиях
Эта UEBA-система широко известна своей динамической защитой (Dynamic User Protection или DUP), которая не имеет аналогов с точки зрения архитектуры. Благодаря глубокому сканированию пользовательской активности во внутренней сети предприятия, программа без труда определяет паттерны поведения каждого конкретного сотрудника. Плюс мощная система отслеживания коммуникационных каналов.
Программа считается топовой с точки зрения скорости работы – обнаружение угроз, блокирование их деятельности и оповещение руководства реализуется в минимальные сроки. Контекстно-зависимый подход к мониторингу и изменяемые индикаторы поведения делают решение оптимальным в своем классе. Однако у него нет никакого функционала по контролю продуктивности, оно не предоставляет подробной статистики по действиям специалистов в конкретных приложениях.
Securonix UEBA
Год разработки: 2020
Специализация: пользовательская безопасность
Особенности: обнаружение сложных угроз
Бесплатная версия: есть, на индивидуальных условиях
Компания Securonix предлагает ряд цифровых продуктов, среди которых UEBA-система занимает особое место. Она основана на классических системах обнаружения опасности по сигнатурам, но дополнена контекстным анализом IT-сущностей и расширенной аналитикой с машинным обучением. За счет этого решение потенциально позволяет выявлять все типы угроз.
Софт специализируется на выявлении инсайдерских сливов, защите от кибератак и утечки корпоративных данных. Он дает глубокую аналитику по поведению каждого пользователя в Сети и мгновенно фиксирует любые факты, способные привести к компрометированию аккаунтов. Но этот продукт также не позволяет контролировать эффективность деятельности специалистов.
Splunk UEBA
Год разработки: 2005
Специализация: пользовательская аналитика
Особенности: простота интерфейса и настроек
Бесплатная версия: есть, с ограниченным функционалом
Особенность UEBA-системы Splunk заключается в комплексной поведенческой аналитике корпоративных пользователей на основании предустановок, а также интеграций с уже имеющимися аналитическими продуктами и системами кибербезопасности. Софт легко внедряется и быстро адаптируется, формирует поведенческие модели и выявляет нетипичные действия. Однако у него есть одна особенность – проще всего интеграция проходит с продуктами Splunk, с решениями других производителей использовать систему может быть проблематично.
Помимо защиты интеллектуальной собственности компании, решение выявляет и пресекает внешние угрозы. Оно эффективно против распространения вирусов и хакерских атак. Потенциально скомпрометированные данные или аккаунты сразу изолируются, либо выбирается действие по предустановке. Из всех представленных в этом обзоре UEBA-систем Splunk обладает наиболее простой и интуитивно понятной системой настройки и управления.
Альтернативные решения для поведенческого анализа пользователей и контроля деятельности сотрудников
Для обеспечения информационной безопасности корпоративных данных предприятия и оценки результативности активных пользователей можно применять не только UEBA-системы. Удобная альтернатива – система учета и контроля рабочего времени. Это не UEBA-системы в их традиционном смысле, здесь анализ пользователей и обнаружение действий, классифицируемых как угроза, реализованы иным образом.
Чтобы понять, как работают такие программы, какие механизмы поведенческого анализа пользователей здесь задействуются и в чём их кардинальное отличие от вышерассмотренных систем, изучим базовый функционал на примере Bitcop:
- программа ведет учет отработанного времени; в графиках дает структуру и хронометраж дня; блокирует несанкционированные приложения и сайты; детализирует действия сотрудников (отсылает отчеты руководству); делает скриншоты экрана, предоставляет оперативные сводки; есть функция кейлоггера и мониторинг поисковых запросов; доступен трекинг задач и мониторинг терминальных серверов; встроенные элементы DLP-систем, невидимый режим работы; синхронизация с Active Directory, поддержка API и другие возможности.
По статистике, использование специализированных UEBA-систем для обеспечения корпоративной безопасности с поведенческим анализом штатных пользователей обосновано лишь в 20% случаев. Речь идет о крупнейших холдингах с десятками тысяч сотрудников. Для 80% предприятий с теми же целями целесообразнее применение решений типа BItcop.
Такие решения (в том числе через оценку поведения пользователей) нацелены на повышение продуктивности работы сотрудников, устранение слабых мест в бизнес-процессах, упрощение расчета заработной платы, санкционирования и премирования, отслеживания выполнения текущих задач. Они одинаково удобны для специалистов в штате и фрилансеров, дают отличную защиту от инсайдерских сливов. При этом они дешевле, проще с точки зрения внедрения и освоения.
Как системы безопасности анализируют поведение пользователей: «подводные камни» и специфика решений UBA
Что представляют собой решения класса UBA, каковы основные направления их использования и какие продукты представлены на рынке? Отвечаем на эти вопросы в материале, подготовленном независимыми экспертами для TAdviser.
Содержание
О чём пойдёт речь?
Относительно недавно на зарубежном и совсем недавно на отечественном рынке информационных систем обеспечения безопасности появился новый класс решений. Основной упор эти решения делают на анализ поведения, что следует из их названий.
К единому наименованию решений по анализу поведения поставщики и рыночные аналитики пока не пришли. Компания Gartner использует аббревиатуру UEBA – User and Entity Behavior Analytics. Подобным образом называют свои решения вендоры Securonix, Gurucul, Fortscale, Forcepoint. Консультанты из IDC и производители программного обеспечения из DNIF, Splunk, IBM, HP ArcSight (HPE/MicroFocus) используют сокращение UBA – User Behavior Analytics.
Другие игроки рынка пытаются заострить внимание не только на объектах анализа, соответственно, на пользователях (User) или сущностях (Entity), но и на целях. Так консультанты из Forrester называют класс решений по поведенческому анализу SUBA (Security User Behavior Analytics), фокусируясь на обеспечении безопасности. Exabeam и Microsoft используют такие термины, как Advanced Analytics или Advanced Threat Analytics. Некоторые вендоры идут ещё дальше и придумывают собственные, порой, весьма образные названия для своих решений. Например, Enterprise Immune System от Darktrace или Risk Fabric от Bay Dynamics.
Отечественные производители решений класса UEBA/UBA/SUBA либо не особо мудрствуют, либо используют смешанный подход. У Zecurion это называется системой UBA в составе DLP, у InfoWatch – модулем Prediction класса UEBA, у SearchInform – центром профилирования или ProfileCenter.
В настоящее время тенденции в сфере безопасности сводятся к тому, что внимание фокусируется на человеке и его поведении, так как всё-таки именно человек является основным источником рисков, угроз, нарушений и инцидентов. Концепция Human Centric Security, то есть безопасность, в центре внимания которой находятся люди, активно применяется и имеет массу последователей. Именно поэтому логичнее было бы использовать аббревиатуру UBA (что и будет сделано в данной статье).
Однако и о слове Entity в названии решений поведенческого анализа не стоит забывать. Ведь за буквой E порой скрываются не менее опасные источники угроз, чем пользователи. Это серверы, коммутаторы, рабочие станции, приложения, системы хранения данных, хосты, сетевой трафик. За определенными странностями и отклонениями в их работе могут скрываться и атаки на ИТ-инфраструктуру, и активные действия злоумышленников.
Что же такое класс решений UBA?
В своих публикациях Gartner продвигает общепринятое понимание базовых функций UBA-решений. К ним относятся: мониторинг и анализ поведения, детектирование поведенческих отклонений и расстановка для них приоритетов, которая, в свою очередь, должна обеспечивать оперативное реагирование на наиболее серьезные и массовые поведенческие изменения. Со временем базовое понимание функциональности решений UBA было расширено.
Первое, что должно делать решение UBA, – это, накапливая в процессе работы или используя ранее накопленные данные, с помощью заложенных методов определять характерное стабильное поведение объектов. И не важно, пользователи это, программные или аппаратные средства.
Для анализа решению нужны источники разнообразных данных за значительный исторический период, чтобы на их основании можно было определить обычное для пользователя или сущности поведение и его границы, выход за которые будет считаться отклонением от нормы. В зависимости от используемых методов анализа подходы в решениях UBA могут различаться – об этом мы поговорим чуть позже.
Считается, что чем больше источников поставляют данные в UBA, тем лучше. Это неоднозначное заключение, поскольку подключение большого количества источников приводит к расширению работ по интеграции и к сложностям интерпретации разрозненной информации для единой цели поведенческого анализа. Тут скорее следует говорить о достаточности данных для обработки. Ведь избыточность информации не только увеличивает объемы и продолжительность вычислений, но и может повлечь за собой такое нагромождение результатов, с которыми у сотрудника безопасности просто не будет времени и возможности разобраться.
Допускается, что решения UBA могут выдавать результаты анализа с определенной периодичностью, но чем более оперативно они это делают, тем выгоднее смотрятся.
Второе, что ожидается от решений UBA, – это как раз способность детектировать нетипичное или, как его ещё называют, аномальное поведение. В открытых источниках часто высказывается мнение, что за результатами детектирования UBA могут скрываться серьёзные нарушения, которые плохо выявляются традиционными средствами систем безопасности.
Третье, что аналитики включают в must have функционала решений UBA, – приоритизация полученных результатов. Многие системы обеспечения безопасности очень чутко реагируют на всевозможные изменения, что, как следствие, приводит к генерации большого количества предупреждений. Таких предупреждений бывает настолько много, что у сотрудников безопасности просто не находится времени на их разбор и тщательное расследование. Решения UBA способны консолидировать предупреждения, оценивать их риски, расставлять приоритеты и обращать внимание пользователя только на самые серьезные отклонения. В результате возрастает эффективность работы служб безопасности за счет снижения количества ложных срабатываний.
И, конечно, всякое технологическое решение должно выдавать конечный результат. В случае с UBA – предоставлять специалисту по безопасности весь контекст выявленных аномалий. Контекст будет варьироваться в зависимости от возможностей конкретного решения и конкретной инсталляции.
Как минимум, ожидания сводятся к тому, чтобы UBA-решения предоставляли для расследования информацию обо всех пользователях и сущностях, связанных с детектированным поведенческим отклонением. Сведения о действиях персоналий и о результатах этих действий значительно обогащают контекст. Считается, что развитые решения UBA должны информировать специалистов безопасности обо всем «окружении» выявленной аномалии, включающем все лежащие рядом во времени и связанные по определенным признакам группы и цепочки поведенческих отклонений.
Гибкость решений UBA, выражающаяся в адаптивности к постепенному изменению объектов анализа и в наличии возможности расширения и уточнения моделей поведения, является дополнительным преимуществом.
В дополнение к вышеперечисленному ведущие аналитики ИТ-рынка (Gartner, проект ROI4CIO) подчеркивают, что от UBA-решений ожидается поддержка облачных сервисов. Имеется ввиду наличие функционала CASB – систем обеспечения безопасного доступа к облакам, выделяемых в отдельный класс решений.
Кроме того, вендор Exabeam [5] продвигает концепцию использования UBA-решений для активно развивающегося интернета вещей (IoT). Это, безусловно, востребованное направление по отслеживанию поведения различных устройств, но оно очень слабо перекликается с концепцией HumanCentric Security. Это уже, скорее Entity Behavior Analytics или EBA.
На чем основаны методы аналитики UBA?
Традиционные методы аналитики сводятся к определению специалистами по безопасности наборов правил, на основании которых системы определяют, является ли то или иное событие нарушением безопасности. Данный подход не является адаптивным к новым типам угроз или изменению поведения.
Отличительной чертой решений UBA является расширенная аналитика, предназначенная главным образом для предотвращения утечек конфиденциальной информации. Признаком хорошего аналитического аппарата UBA считается не только способность выявить аномалии в поведении, но и умение рассчитать вероятность того, насколько аномалия свидетельствует о действительной угрозе безопасности. В настоящее время в основу расширенной аналитики UBA-решений закладываются технологии машинного обучения и статистические модели [6] [7] [8] [9] [10] Среди них:
Unsupervised algorithms. Алгоритмы, не требующие наличия заранее промаркированных примеров для последующей классификации пользователей и детектирования аномалий поведения. Это позволяет использовать решения UBA без предварительной адаптации и настройки, что несомненно является большим плюсом. Но также имеет и негативный эффект – множество малозначимых с точки зрения безопасности результатов классификации пользователей и большую долю ложных срабатываний.
Supervised algorithms. Алгоритмы, обладающие более высоким качеством оценки поведения и классификации пользователей. На практике стабильность такого высокого качества нуждается в регулярном переобучении и подкреплении примерами. Это каждый раз требует привлечения специалистов по анализу данных и тесных коммуникаций между ними и сотрудниками безопасности.
Смешанные модели. Сочетают в себе как «автономные» алгоритмы, так и supervised-алгоритмы.
Согласно исследованиям Gartner, в ближайшем будущем решения UBA будут пополняться инструментарием глубокого обучения и нейронных сетей.
Основные направления использования решений UBA
В рамках сложившегося понимания применения решений UBA выделяют следующие направления использования этой относительно новой технологии:
Помимо всего вышеперечисленного решения UBA обладают высоким потенциалом в сфере выявления рисковых областей в компании, групп риска из числа персонала, сотрудников, наиболее уязвимых с точки зрения безопасности. То есть в общем виде – для оценки рисков и управления ими.
Особенности решений класса UBA
UBA-системы становятся все популярнее среди крупного бизнеса. По прогнозам Gartner, объем продаж решений данного класса с 2015 по 2020 год вырастет в 7 раз.
Кто заинтересован в приобретении UBA?
Различные исследования рынка свидетельствуют о том, что в приобретении решений данного класса в компаниях заинтересованы представители служб безопасности, которым инструменты UBA помогают решать широкий спектр задач. К их числу относятся задачи информационной и экономической безопасности (сюда же аналитики включают и риск-менеджмент). Стоит отметить, что решения UBA позволяют проводить сложные расследования, направленные на раскрытие мошеннических схем и противодействие коррупции. Конечным эффектом от их использования является предотвращение и снижение ущерба для предприятий.
Gartner даже указывает отрасли, наиболее активно интересующиеся UBA. В настоящее время за рубежом финансы и здравоохранение испытывают потребность в мониторинге поведения сотрудников, подрядчиков и третьих лиц с целью выявления нелегитимных или несанкционированных действий.
«Подводные камни» и специфика UBA
Решения данного класса обладают специфическими особенностями и ограничениями, о которых полезно знать их пользователям.
Во-первых, если специалисты по безопасности хотят с высокой точностью осуществлять мониторинг и проводить анализ поведения сотрудников компании, они должны предоставить используемому решению UBA достаточный объем данных. Необходимо иметь данные за довольно длительный период времени и, как минимум, из нескольких источников.
Продолжительность периода анализа поведения напрямую влияет на качество определения стабильного характера поведения. Вендоры указывают на то, что минимальная продолжительность данного периода должна быть 90 дней, а достаточная – 180 дней. Но вообще – чем дольше, тем лучше.
Ускорить процесс помогает использование исторических данных, которые могут быть предоставлены решению UBA для обработки. Этот вариант возможен, если компания хранит ретроспективные данные об активности своих сотрудников, достаточные для анализа UBA.
Безусловно, важен и спектр обрабатываемой информации. Самыми лёгкими для подключения к UBA каналами–поставщиками данных в открытых источниках названы: данные сетевого доступа (например, из web-proxy), данные каталогов AD (либо данные о сотрудниках из HR-системы), данные журналов доступа и регистрации событий.
Более сложными для использования, но не менее значимыми считаются данные с модулей контроля рабочих станций, сведения о почтовой переписке и её содержании, а также информация о характере общения и контенте в мессенджерах и социальных сетях.
С одной стороны, чем больше источников, тем, казалось бы, более точную информацию о людях мы сможем получить. С другой стороны, сразу же возникают вопросы о сложностях получения, консолидации и совокупной интерпретации всех этих данных.
При выборе оптимального подхода нужно понимать, что на одной чаше весов лежат время и затраты на масштабное встраивание в ИТ-инфраструктуру (разворачивание смежного ПО, интеграция, консолидация данных), а на другой – скорейшее получение эффективных результатов работы решения UBA. Поэтому сбалансированный подход видится в том, чтобы ограничиться минимальным набором источников информации для UBA, данные из которых будут в достаточной степени описывать поведение сотрудников. Например, это могут быть сведения об активности в интернете, о почтовой переписке и о работе за компьютером.
Во-вторых, у решений UBA есть некоторые специфические особенности, связанные с самим заложенным в них подходом. Поведение некоторых пользователей носит нестабильный характер в некоторые периоды и по ряду показателей. Это характерно для сотрудников на высоких руководящих должностях. Для таких пользователей определение стабильного характера поведения средствами UBA является затруднительным. В данном случае специалисту по безопасности для точного детектирования нарушений нужно использовать дополнительные средства анализа контента той информации, с которой работает сотрудник.
Если в компании в период накопления данных UBA ведётся бизнес-реорганизация, связанная с серьезными кадровыми изменениями, то определение стабильного характера поведения сотрудников может быть затруднено, а для каких-то пользователей – и вовсе невозможно. В данном случае придётся дождаться, пока внутренние процессы компании придут в равновесие, и уже после этого прибегать к использованию UBA.
В довершение ко всему поведение определённых пользователей-нарушителей может быть аномальным с самого начала применения UBA. Если какой-то неблагонадёжный сотрудник регулярно совершает нарушения, то такое негативное поведение с самого начала анализа будет воспринято UBA как «нормальное». В данном случае, как и в случае с нестабильным поведением сотрудников, выявить нарушения поможет изучение конкретных деталей.
В-третьих, стоит отметить, что не все решения UBA наделены возможностью динамически подстраиваться под изменяющееся поведение пользователей. Но люди меняются. Самые очевидные причины изменения поведения сотрудников – реорганизация бизнес-процессов, смена должностных обязанностей или занимаемой позиции в организации, личные проблемы.
Решения UBA должны адаптироваться к таким изменениям. Таким образом системы, у которых адаптивность не является встроенной, требуют периодического сопровождения. Обновление данных о стандартном характере поведения сотрудников в таком случае становится обязательной периодической процедурой, требующей привлечения аналитиков.
Кроме того, следует отметить, что при внедрении решений UBA важную роль играет определённая зрелость специалистов по безопасности и их готовность регулярно использовать UBA в работе. UBA может попросту не прижиться, если безопасник не готов самостоятельно анализировать представляемые системой результаты, искать нарушителей, оценивать эффективность предлагаемых моделей.
Автономные и встроенные решения UBA
Решения UBA, представленные на рынке, делятся на два типа: автономные и встроенные. Встроенные поставляются в составе решений других классов, ориентированных на смежные задачи. В настоящее время рынок решений UBA разделен примерно пополам между автономными и встроенными решениями.
Особенности использования автономных решений
Две наиболее критичных сложности при использовании автономных решений – это их интеграция в ИТ-инфраструктуру и наполнение достаточными данными. Полноценное развертывание подобного решения в крупной или даже средней компании может вырасти в серьёзный и дорогостоящий проект. При этом, как показывает практика, результаты такого проекта в итоге могут не окупиться.
Автономные решения применимы, когда в компании уже есть единое хранилище, в котором накоплены данные для анализа. Эти данные можно использовать в качестве источника информации для UBA.
Особенности использования встроенных решений
Особенностью встроенных решений UBA является необходимость покупки и развертывания «родительской» системы. Базовая платформа при этом может быть довольно дорогостоящей.
С другой стороны, если UBA дополняет функционал полноценной системы обеспечения безопасности (как правило, это решения класса SIEM, DLP или IAM/PAM), вопрос наполнения данными снимается. При этом «родительские» платформы одного из указанных классов входят в стандартный набор используемых службами безопасности систем, и их расширение инструментарием UBA позволяет активно использовать уже собираемую информацию.
Помимо SIEM, DLP и IAM/PAM решения UBA могут совместно использоваться с системами других классов: системы аудита и защиты данных (DCAP), системы анализа сетевого трафика (NTA), системы защиты конечных точек (EDR), системы обнаружения вторжений (IDPS), системы мониторинга персонала (Employee Monitoring, EM).
Отечественные решения по поведенческому анализу Zecurion, InfoWatch и SearchInform являются компонентами DLP-систем либо ориентированы на использование данных из «родительских» DLP-систем.
По данным Gartner в 2017 – 2018 годах наблюдалось сокращение числа поставщиков автономных решений UBA, главным образом из-за поглощения компаний. Так Niara была приобретена Aruba Hewlett Packard Enterprise, Balabit – One Identity, E8 Security – VMware, Fortscale – RSA. Прогнозируется, что к 2021 году рынок автономных решений UBA перестанет существовать.
Также ожидается, что к 2022 году 80% решений, нацеленных на обнаружение и предотвращение угроз, будут использовать методы и технологии UBA. Кроме того, наблюдается и обратный процесс сближения UBA и SIEM: передовые решения UBA обрастают функциями развитых систем безопасности. Так IBM и LogRhythm развивают функционал UBA, а UBA-решения Exabeam и Securonix развили функционал SIEM.
Сравнительный обзор решений UBA
Сравнение различных решений класса UBA по 26 ключевым параметрам [13] приведено в таблице на сайте проекта ROI4CIO.
Кроме того, многие зарубежные вендоры на своих сайтах размещают довольно подробные описания собственных решений класса UBA.
В версии 8.0 DLP-системы от Zecurion, выпущенной в 2018 году, появился модуль поведенческого анализа (UBA).
Zecurion довольно скупо описывает возможности своего нового модуля и не раскрывает подробностей его внутреннего устройства. Упоминается лишь, что задействован «специально разработанный алгоритм», с помощью которого выполняется анализ действий пользователей. В пресс-релизе также отмечается, что решение UBA от Zecurion отслеживает возникновение нарушений и инцидентов безопасности и изменения характера использования сотрудниками каналов связи.
Таким образом, получается, что для анализа поведения пользователей UBA-решением Zecurion используется, с одной стороны, информация о нарушениях политики безопасности, собираемая «родительской» DLP-системой. А, с другой стороны, – сведения о нестандартных активностях сотрудников при использовании каналов коммуникаций, такие как интенсивная пересылка данных за пределы локальной сети компании.
В 2018 году компания InfoWatch представила на BIS Summit свой прототип решения класса UEBA под названием InfoWatch Prediction.
Производитель решения заявляет, что InfoWatch Prediction построен на «строгой математической модели» с применением методов машинного обучения. В качестве источника данных для решения называется почтовый сервер или DLP-система. Получается, что InfoWatch Prediction всё-таки является не автономным решением, а модулем, требующим развертывания «родительской» DLP-системы InfoWatch.
Вендор предлагает заказчикам самостоятельно проверить способность решения InfoWatch решать задачи по поиску сотрудников, которые собираются уволиться. Но тут всё опять упирается в данные. Предлагается предоставить решению для анализа данные за год и убедиться, что оно выдаёт хорошие результаты. Но с какими сложностями по загрузке и обработке данных могут столкнуться заказчики, даже если необходимые данные о сотрудниках у них имеются, не уточняется.
Также в 2018 году компания SearchInform представила рынку свое решение по поведенческому анализу. SearchInform ProfileCenter был заявлен как «система диагностики поведения и склонностей человека в разных жизненных ситуациях».
По словам вендора, для построения достоверного портрета сотрудника нужно ретроспективно анализировать или накапливать данные в среднем 1 – 2 месяца.
Используя максимально возможное количество источников данных «родительской» DLP-системы, решение ProfileCenter формирует психологический портрет пользователя, выявляет слабые и сильные стороны личности, черты характера, базовые ценности, потребности, склонности и т.д., и т.п. При этом алгоритмы разделяют пользователей по группам риска, например: «Демотивированные», «Болтуны», «Лентяи», «Скандалисты», «Критики», «Манипуляторы», «Лидеры», «Эгоисты».
Для целей построения профиля, то есть выявления стабильного поведения сотрудников, используются не деловые, а естественные «живые» тексты из личной переписки. Минимальный объем информации для профилирования – 30 тысяч базовых единиц текста. Сразу же возникает вопрос: если сотрудник отправляет технический проект на 60 000 слов и добавляет к нему несколько слов (пусть даже естественной) личной переписки, как решение интерпретирует подобный текст?
«На выходе» ProfileCenter предоставляет результаты анализа для того, чтобы самостоятельно можно было сделать выводы о персонале компании и оценить риски. Впрочем, пока в публичном поле отсутствуют описания реальных примеров работы решения у заказчиков. Анна Попова, руководитель блока DLP ГК Инфосекьюрити, поставщика услуг в сфере ИБ, подчеркивает, что решение ещё «надо тестировать [18] ».
В целом, ProfileCenter по своим характеристикам стоит в стороне от решений класса UBA, как их определяют международные аналитические агентства. Применяемые в системе алгоритмы нацелены на классификацию сотрудников по тем или иным психотипам. В результате логичнее отнести это решение к классу систем Employment Testing (Screening) Software, используемых для задач сферы управления персоналом. Таким образом, целевой аудиторией ProfileCenter является скорее продвинутый HR, а не безопасность.
Заключение
В последние годы на глобальном рынке систем обеспечения безопасности появились и становятся все более востребованными решения, предназначенные для анализа пользовательского поведения. UBA-системы активно осваиваются отраслями, нацеленными на мониторинг персонала, анализ поведения, выявление значимых отклонений в стабильном поведении сотрудников в целях обнаружения и предотвращения инцидентов безопасности, выявления угроз бизнесу, профилактики нарушений и управления рисками. То есть теми сферами, для которых критично влияние человеческого фактора. Ведь именно человек, в соответствии с современным подходом в безопасности, является основным источником нарушений, угроз, и рисков. Системы поведенческого анализа полезны и для таких направлений деятельности, как управление персоналом, финансы, стратегический менеджмент и принятие управленческих решений.
Эти системы хороши тем, что, используя наиболее передовые методы анализа, они развиваются опытным путем, отбрасывают устаревающие методики и подтягивают в свой арсенал наиболее эффективные.
Спектр применения UBA в сфере обеспечения безопасности довольно широк: это и выявление злонамеренных инсайдеров, и предотвращение утечек ценной информации, и выявление скомпрометированных учётных записей, и противодействие несанкционированному доступу к данным, и предотвращение кибератак, и локализация zero-day угроз.
Зарубежный рынок может похвастаться большим разнообразием UBA-продуктов – как автономных, так и встроенных в смежные системы по обеспечению безопасности (как правило, это системы классов SIEM, DLP, IAM и другие). Тенденция такова, что автономные решения постепенно уступают место встроенным, поскольку развитые «родительские» системы сразу способны предоставить необходимые данные для анализа.
Отечественные разработки в сфере поведенческого анализа являются встроенными, идут в комплекте с развитыми DLP-системами. Российский рынок этих решений пока ещё молод и невелик. На рынке присутствуют несколько заметных игроков, в частности Zecurion, InfoWatch, SearchInform, и прочие. Каждое из решений этих вендоров обладает своими перспективами, особенностями и ограничениями. По сути эти системы пока лишь выходят на рынок. Соответственно, все они ещё должны пройти обкатку в боевых условиях на заказчиках.
Наибольшие перспективы видятся у тех решений, которые не только обеспечат выполнение базовых задач систем класса UBA, но и будут способствовать освоению новых возможностей. К таким вспомогательным вещам относятся: объяснение принципов работы, наличие методик применения, положительный опыт «обкатки», готовые сценарии использования, понятность шагов при освоении инструментария. Безусловными преимуществами также остаются наименьший период полноценного включения в работу при новом развёртывании и способность использовать для анализа ретроспективные данные при развёртывании на функционирующих площадках заказчиков.