Технология обнаружения угроз на основе продвинутой аналитики действий в подконтрольных системах использует машинное обучение и data science. Определяя нормальное поведение и находя аномалии или рискованные действия, которые угрожают информационной безопасности, системы UEBA эффективно применяются для своевременного выявления целевых атак, инсайдерских угроз, компрометации сотрудников.
Пользователь
Для UEBA-систем User - это «виртуальное» представление человека в цифровом мире. Обычно в операционной системе пользователь определяется как учетная запись или UID (User Identifier) и совпадает с адресом электронной почты: vasiliy@bestcompany.ru.
В прикладной системе — это как правило доменная учетная запись или другой идентификатор: ID 555555555.
Также для системы поведенческой аналитики пользователем является второй фактор (из сервиса двухфакторной аутентификации) - это токен или уникальный зашифрованный идентификатор: oXD8c1ec0c2d235d8789el1...
В государственных системах пользователь может быть представлен в виде ИНН, СНИЛС и других идентификаторов, связанных с личными документами: ИНН 500266666601.
В прикладной системе — это как правило доменная учетная запись или другой идентификатор: ID 555555555.
Также для системы поведенческой аналитики пользователем является второй фактор (из сервиса двухфакторной аутентификации) - это токен или уникальный зашифрованный идентификатор: oXD8c1ec0c2d235d8789el1...
В государственных системах пользователь может быть представлен в виде ИНН, СНИЛС и других идентификаторов, связанных с личными документами: ИНН 500266666601.
Сущность
Обрабатывая большой объем данных из различных источников, UEBA-система определяет нормальные модели поведения не только пользователей, но и объектов — сущностей. Компьютер (хост) или любое сетевое устройство (маршрутизатор, коммутатор и пр.) определяется по IP-адресу, MAC-адресу, FQDN или DN-записи: 192.168.0.1.
Процесс тоже является сущностью. Обычно это PID (Process ID), имя процесса или любой другой идентификатор: cmd.exe.
Подконтрольной сущностью может быть и посылка на почте или пачка печенья в фулфилмент центре. У таких объектов тоже есть идентификатор, например, RFID-метки, которые позволяют отследить путь передвижения товара и не только.
Процесс тоже является сущностью. Обычно это PID (Process ID), имя процесса или любой другой идентификатор: cmd.exe.
Подконтрольной сущностью может быть и посылка на почте или пачка печенья в фулфилмент центре. У таких объектов тоже есть идентификатор, например, RFID-метки, которые позволяют отследить путь передвижения товара и не только.
Поведение и его анализ
Системы UBA/UEBA анализируют совокупность действий и их параметров в информационной системе. Это не только поведение пользователей, события в цифровой инфраструктуре, но и работа оборудования.
Системы UEBA могут собирать данные из совершенно разных источников, в зависимости от задач компании. Источниками чаще всего являются: материнская система, в состав которой входит модуль поведенческой аналитики, а также модули UBA/UEBA в составе DLP, IRP, SIEM и других решений ИБ.
Аномалии
Отклонениями считаются значения параметров поведения какой-то сущности, которые отличны от заданного значения. Границы «нормального» поведения определяются администратором вручную. Например, нормальным считается три попытки ввода пароля. Тогда отклонением (аномалией) будет считаться четыре и более попыток ввода. Такая логика позволяет отслеживать простое отслеживание отклонений в поведении сущностей. Подходит для небольших инфраструктуру или неизменных бизнес-процессов организации.
Также отклонениями считаются значения параметров поведения какой-то сущности, которые нехарактерны для нее или группы. Границы «нормального» поведения в этом случае определяются автоматически. Отклонения на основе накопленных данных и ретроспективных данных зачастую осуществляется с применением машинного обучения и искусственного интеллекта. Это актуально для средних и больших инфраструктур с постоянно изменяющимися процессами внутри организации.
Что такое модуль xBA Application
Модуль xBA - это расширение для аналитической платформы Dataplan, который выполняет функции класса решений UBA/UEBA. Ограничения по анализируемым сущностям отсутствуют, кроме одного - сведения о действиях сущности должны находиться в данных, которые анализирует модуль. xBA Application позволяет получить дополнительные сведения для оценки текущего состояния системы защиты информации - выявить признаки угроз ИБ, которые не обнаружены типовыми СЗИ.
Помимо обеспечения безопасности инфраструктуры и ее элементов, применение технологий xBA Application помогает оптимизировать затраты на внедрение средств защиты от несанкционированного доступа, предотвращения утечек и других инструментов кибербезопасности.
Помимо обеспечения безопасности инфраструктуры и ее элементов, применение технологий xBA Application помогает оптимизировать затраты на внедрение средств защиты от несанкционированного доступа, предотвращения утечек и других инструментов кибербезопасности.