Системы поведенческого анализа (UEBA - User and Entity Behavior Analytics), позволяющие выявлять потенциальные угрозы на ранних стадиях, обретают популярность в сфере информационной безопасности. Основная причина кроется в росте объема данных для обработки службами ИБ и необходимости применения алгоритмов машинного обучения для ускорения и упрощения этих процессов. При этом злоумышленники также наращивают свою экспертизу и меняют методы атак. Становится все сложнее отличить действия, направленные на кражу или изменение критически важных данных, от обычного поведения пользователей.
О том, зачем нужны решения класса UEBA и чем они отличаются от других классов – в экспресс-обзоре Николая Перетягина, менеджера по продукту NGR Softlab.
О том, зачем нужны решения класса UEBA и чем они отличаются от других классов – в экспресс-обзоре Николая Перетягина, менеджера по продукту NGR Softlab.
Российский рынок
Российский рынок UEBA-решений находится в активной фазе развития. Уже сформировался прочный фундамент: определились ключевые игроки и представлены серьезные наработки в области поведенческой аналитики – как с точки зрения используемых подходов и алгоритмов, так и общей концепции.
Характерной особенностью нашего рынка UEBA является довольно гибкая трактовка термина «поведенческая аналитика». Если рассматривать это направление по уровням взаимодействия анализируемых объектов, можно выделить несколько групп решений:
Все эти направления являются составными частями рынка UEBA, и в каждом из них сейчас представлены российские разработки или в виде отдельных модулей, или в виде комплексных решений.
Характерной особенностью нашего рынка UEBA является довольно гибкая трактовка термина «поведенческая аналитика». Если рассматривать это направление по уровням взаимодействия анализируемых объектов, можно выделить несколько групп решений:
- Решения для анализа телеметрии сетевого трафика оценивают работу объектов по телеметрии сетевого трафика
- Решения для оценки поведения пользователей при работе с компьютером в целом
- Решения для оценки взаимодействия пользователей с конкретными прикладными системами (например, базами данных), процессами и другими объектами инфраструктуры, информационными системами между собой и др.
Все эти направления являются составными частями рынка UEBA, и в каждом из них сейчас представлены российские разработки или в виде отдельных модулей, или в виде комплексных решений.
Спрос
Спрос на UEBA-решения на российском рынке стабильно высокий и продолжает расти. Заказчики проявляют интерес к различным реализациям таких систем – от технологического стека и используемых алгоритмов до конкретных результатов анализа.
Растущий интерес обусловлен несколькими факторами:
Заказчики ищут решения, которые позволят не только анализировать поведение пользователей, но и упреждающе блокировать потенциальные угрозы, связанные с нарушением установленных паттернов поведения.
Растущий интерес обусловлен несколькими факторами:
- Классические средства защиты информации (антивирусы, системы обнаружения вторжений, межсетевые экраны и др.) качественно решают довольно узкий спектр задач и не дают полной картины происходящего в информационной системе.
- Существует потребность в более глубоком анализе действий легитимных пользователей при работе с защищаемыми данными. Традиционные СЗИ чаще всего фиксируют уже свершившиеся инциденты, в то время как заказчикам важно выявлять потенциальные угрозы на ранних стадиях.
- Постоянно растущий объем данных, анализ которого со стороны человека уже физически не возможен без помощников в виде средств автоматизации и искусственного интеллекта
- Введение оборотных штрафов за утечку конфиденциальных данных усилило интерес к превентивным мерам защиты.
Заказчики ищут решения, которые позволят не только анализировать поведение пользователей, но и упреждающе блокировать потенциальные угрозы, связанные с нарушением установленных паттернов поведения.
Особенности класса
Существует различное понимание задач и функций UEBA-решений. Выделение в отдельный класс помогает формировать базовые требования к продуктам (по аналогии с SIEM-системами, межсетевыми экранами, СКЗИ и др.) и создает единый язык общения между разработчиками и заказчиками.
Важно отметить, что не все решения для поведенческого анализа используют искусственный интеллект. Некоторые системы работают на основе правил корреляции, что тоже является формой поведенческого анализа. ИИ и машинное обучение в данном случае автоматизируют процессы сопоставления данных и помогают точнее оценивать отклонения от нормы.
Преимущества и ограничения класса UEBA-решений
Плюсы:
• Глубокий анализ поведения пользователей в инфраструктуре
• Возможность выявления неочевидных отклонений
• Автоматизация процессов анализа
У некоторых решений, представленных на российском рынке, есть ограничения:
• Необходимость накопления исторических данных для качественного анализа
• Временной лаг в обработке информации (некоторые алгоритмы требуют накопления данных за день или неделю для сравнения)
• Зависимость от специфики бизнес-процессов конкретной организации – система должна быть настроена под них для корректной оценки поведения пользователей
Важно понимать, что оценка поведения как «нормального» или «подозрительного» всегда зависит от контекста, специфики бизнес-процессов и конкретной ситуации в организации. К сожалению, пока не все решения дают возможность гибко настраивать свои параметры для адаптации под бизнес-процессы компании.
Важно отметить, что не все решения для поведенческого анализа используют искусственный интеллект. Некоторые системы работают на основе правил корреляции, что тоже является формой поведенческого анализа. ИИ и машинное обучение в данном случае автоматизируют процессы сопоставления данных и помогают точнее оценивать отклонения от нормы.
Преимущества и ограничения класса UEBA-решений
Плюсы:
• Глубокий анализ поведения пользователей в инфраструктуре
• Возможность выявления неочевидных отклонений
• Автоматизация процессов анализа
У некоторых решений, представленных на российском рынке, есть ограничения:
• Необходимость накопления исторических данных для качественного анализа
• Временной лаг в обработке информации (некоторые алгоритмы требуют накопления данных за день или неделю для сравнения)
• Зависимость от специфики бизнес-процессов конкретной организации – система должна быть настроена под них для корректной оценки поведения пользователей
Важно понимать, что оценка поведения как «нормального» или «подозрительного» всегда зависит от контекста, специфики бизнес-процессов и конкретной ситуации в организации. К сожалению, пока не все решения дают возможность гибко настраивать свои параметры для адаптации под бизнес-процессы компании.
Сложности при работе
Основные проблемы, с которыми сталкиваются заказчики при внедрении UEBA-решений, связаны с необходимостью четко определить, что именно является отклонением в поведении пользователей. Зачастую, заказчик не может самостоятельно сформулировать, какие именно действия представляют угрозу или нарушение безопасности в его инфраструктуре. Поэтому, ключевая задача – формализация этих критериев.
В этой ситуации мы помогаем заказчику определить признаки аномального поведения, на основе их конкретной инфраструктуры и потребностей. Предоставляем инструменты для анализа данных и визуализации текущего состояния, которые позволяют увидеть картину в целом и, уже на основе этой информации, определить, какие именно аспекты требуют усиленного контроля. Это дает возможность выработать индивидуальные критерии нарушения безопасности, которые соответствуют именно их потребностям. Наша задача — не просто предоставить решение, а помочь заказчику разобраться, что для них критично и как это контролировать.
В этой ситуации мы помогаем заказчику определить признаки аномального поведения, на основе их конкретной инфраструктуры и потребностей. Предоставляем инструменты для анализа данных и визуализации текущего состояния, которые позволяют увидеть картину в целом и, уже на основе этой информации, определить, какие именно аспекты требуют усиленного контроля. Это дает возможность выработать индивидуальные критерии нарушения безопасности, которые соответствуют именно их потребностям. Наша задача — не просто предоставить решение, а помочь заказчику разобраться, что для них критично и как это контролировать.
Отличия интеллектуальных решений NGR Softlab
Мы применяем UEBA-решения в трех наших продуктах. Модуль поведенческой в SIEM Alertix используется для базовой поведенческой аналитики, модуль UEBA в PAM Infrascope контролирует отклонения в поведении привилегированных учетных записей, а аналитическая платформа Dataplan анализирует данные с применением алгоритмов машинного обучения и ИИ для комплексной оценки состояния защищенности информационных систем.
Наши UEBA-решения отличаются интеллектуальным подходом к выявлению аномального поведения. Мы не привязываемся к конкретным бизнес-процессам, а анализируем исторические данные о действиях пользователей в системе. Это позволяет строить динамические поведенческие профили, которые отражают нормальную активность. Так, наша платформа предоставляет мощные инструменты для отслеживания изменений поведения во времени, а также для формирования отчетности. Алгоритмы машинного обучения на основе больших данных позволяют эффективно решать большой спектр задач по выявлению инсайдерской деятельности и компрометации учетных данных, что является сложным для неспециализированных систем поведенческого анализа, поскольку они ограничены фиксированными алгоритмами анализа или специфическими типами данных. Наше главное преимущество в том, что мы выявляем аномалии, основываясь на фактическом поведении пользователей, а не на заранее заданных правилах.
Наши UEBA-решения отличаются интеллектуальным подходом к выявлению аномального поведения. Мы не привязываемся к конкретным бизнес-процессам, а анализируем исторические данные о действиях пользователей в системе. Это позволяет строить динамические поведенческие профили, которые отражают нормальную активность. Так, наша платформа предоставляет мощные инструменты для отслеживания изменений поведения во времени, а также для формирования отчетности. Алгоритмы машинного обучения на основе больших данных позволяют эффективно решать большой спектр задач по выявлению инсайдерской деятельности и компрометации учетных данных, что является сложным для неспециализированных систем поведенческого анализа, поскольку они ограничены фиксированными алгоритмами анализа или специфическими типами данных. Наше главное преимущество в том, что мы выявляем аномалии, основываясь на фактическом поведении пользователей, а не на заранее заданных правилах.
Тем, кто еще не использует UEBA-решения, но ищет способы усиления защиты инфраструктуры организации, мы предлагаем оценить их эффективность. Сейчас для наших заказчиков действует специальное предложение на модуль UEBA в PAM Infrascope: -60% при покупке до 31.03.2025. А если до конца 2025 года приобрести и подключить платформу Dataplan, то стоимость купленного по спецпредложению модуля UEBA будет полностью вычтена из стоимости лицензии Dataplan. Подробности на нашем сайте.