Пользователи информационных систем оставляют в различных информационных системах много цифровых следов. Анализ этой информации можно использовать для самых различных задач, и первой из них является информационная безопасность. При этом системы управления событиями информационной безопасности (SIEM), которые следят за ИТ-системами, не всегда могут проанализировать сведения о действиях пользователей – они разработаны для контроля оборудования и не могут учитывать особенности поведения людей. Поэтому для анализа действий пользователей появился отдельный класс решений, которые обрабатывают информацию о самих пользователях – их действиях, их ИТ-инструментах и данных, к которым они обращаются. Эти решения стали называть системами аналитики поведения пользователей и объектов (User and Entity Behavior Analytics – UEBA). Иногда непонятные объекты (Entity) в названии пропускаются и получается, что анализируют поведение только пользователей – UBA-решения.
Что такое UEBA?
Технологически эти решения являются продолжением развития целых классов систем, таких как DLP, SIEM, защиты от мошенничества и учета рабочего времени сотрудников. Цель решения – профилировать деятельность сотрудников, выявляя как инсайдеров, так и взломанные учетные данные, которые используются посторонними хакерами. Однако в случае систем защиты от мошенников, UEBA может быть использована в том числе и для определения случаев нехарактерного поведения клиентов банков вплоть до выявления действий под принуждением или манипулированием. В некоторых случаях, когда решения выросли из учетных систем рабочего времени, его можно использовать и для развития компетенций сотрудников, поскольку по их поведению можно выявить их слабые стороны или случаи несоблюдение правил цифровой гигиены. В целом же, UEBA-системы занимаются решением следующих задач:
- Выявление скомпрометированных учетных данных пользователей и рабочих станций, что определяется по изменению их профиля деятельности;
- Выявление инсайдеров, деятельность которых не соответствует профилю их рабочих обязанностей;
- Мониторинг деятельности сотрудников для минимизации прав их доступа;
- Выявление сотрудников, которые не соблюдают правила информационной безопасности или цифровой гигиены;
- Анализ работы удаленных сотрудников с целью контроля качества и компетенции их работы.
- Выявление случаев фишинга или манипулирования в действиях клиентов.
Архитектурно решения построены аналогично SIEM-системам, которых разделены на уровни сбора информации, сохранения и обработки. В качестве источников данных для анализа UEBA-инструменты используют следующую информацию:
- Записи системных журналов серверов, рабочих станций, маршрутизаторов и других устройств;
- Реестры систем контроля доступа и аутентификации;
- Данные специального программного агента UEBA, который устанавливается на устройство пользователя и фиксирует деятельность как самого пользователя, так и программ;
- Данные других ИБ-решений — межсетевых экранов, антивирусов, SIEM-продуктов и DLP-систем;
- Переписка пользователей в социальных сетях, мессенджерах, по электронной почте;
- Кадровые регистры компании, бизнес-процессы и другая корпоративная информация.
Хотя технология поведенческого анализа пользователей известна уже достаточно давно, однако в классификаторе программного обеспечения, который утвержден приказом Минцифры от 22.09.2020 № 486, она все-таки не входит. Поэтому при внесении в реестр разработчикам приходиться использовать альтернативные коды классификатора, типа 03.14 `Средства обнаружения и/или предотвращения вторжений (атак)` или 03.02 `Средства управления событиями информационной безопасности`.
1. Security Vision UEBA
Компания Security Vision специализируется на создании инструментов для построения ситуационных центров по информационной безопасности (Security Operation Center – SOC). Одним из его компонентов является продукт Security Vision UEBA, который занимается анализом трафика защищаемой инфраструктуры для обнаружения отклонений с использование искусственного интеллекта. При помощи более сотни встроенных аналитических правил система позволяет выявить подозрительную активность и привлечь к ней внимание оператора SOC и далее предложить варианты реагирования.
Security Vision UEBA обнаруживает изменения в работе пользователей, их учётных записях, устройствах и процессах, объёмных показателях трафика и других поведенческих атрибутах. Для этого обрабатываются сырые потоки данных из разных источников: озёра данных, SIEM, NGFW, proxy-сервера и другие сетевые-, Windows- и Linux-устройства. Модуль UEBA обеспечивает обнаружение новых типов инцидентов, выявление которые с помощью сигнатурных методов затруднительно. Встроенные возможности поведенческого анализа можно дополнять, настраивая новые или адаптируя существующие sigma-правила и правила корреляции, управляя пороговыми значениями движка математической статистики и обучая систему на живом трафике. Security Vision UEBA предлагает:
Расширенный набор правил корреляции, позволяющий обнаруживать сложные атаки. Система не только анализирует сетевой трафик, но и отслеживает события на хостах, объединяя данные из различных источников.
Статистические методы позволяют автоматически собирать детальную информацию о поведении системы, такой как активность хостов, процессов и сетевых соединений, что позволяет создавать более точные правила обнаружения угроз и снижать количество ложных срабатываний.
Различные модели машинного обучения для комплексного анализа сетевого трафика и событий на хостах, например, модели с учителем для обнаружения известных угроз, а модели без учителя – для новых, ранее неизвестных аномалий.
Гибкий интерфейс позволяет пользователю легко настраивать параметры этих правил и адаптировать систему под специфику любой организации, а установка on-premise позволяет выполнять все расчёты локально, для гарантии безопасность данных.
Продукт можно использовать для:
- Сбора «сырых» событий от различных источников;
- Обработки событий NGFW, хостов, прокси-серверов, SIEM, озёр данных и пр.;
- Определения веса событий и подсчёт скоринговых значений;
- Отслеживания состояния выбранных объектов даже без учёта «веса» событий;
- Автоматического формирования типовых моделей поведения объектов инфраструктуры;
- Выявления отклонений и аномалий в поведении объектов;
- Комбинирования технологий анализа с помощью более 25 правил корреляции;
- Комбинирования технологий анализа с помощью сбора статистики по более чем 45 правилам;
- Комбинирования технологий анализа с помощью ML-модели;
- Автоматической отправки сведений об инцидентах и событиях в SOAR или SIEM.
При превышении заданных пороговых значений или отдельном отслеживании важных активов даже без учёта «веса» событий на них – система автоматически группирует все связанные события в единое подозрение на инцидент и запускает процедуры реагирования. Для каждого инцидента собирается дополнительная информация, позволяющая лучше понять его природу и принять взвешенные решения, а автоматизированные действия и гибкие настройки позволяют эффективно реагировать на угрозы.
2. InfoWatch Prediction
Компания InfoWatch изначально занималась разработкой систем предотвращения утечек – DLP. Флагманским продуктом является InfoWatch Traffic Monitor, однако со временем он оброс различными дополнительными системами, одной из которых стала и система InfoWatch Prediction, которая позволяет в том числе и выполнять задачи анализа поведения пользователей – UBA.
По представлению компании UBA-система многократно повышает эффективность DLP. Если последняя сообщает об уже случившихся инцидентах, то UBA-система подсказывает, где есть риски информационной безопасности, которые еще не сработали, и на что обратить внимание в первую очередь. UBA-система помогает заметить те нарушения, которые пока вне зоны «видимости» DLP, идентифицировать отклонения от нормального течения бизнес-процессов. UBA-система особенно актуальна во времена нестабильности и глубоких изменений, поскольку мотивы сотрудников могут быть менее предсказуемы, а последствия — еще более чувствительны.
UBA-система InfoWatch Prediction автоматически формирует рейтинг сотрудников с подозрительным поведением. Для этого она собирает данные о действиях пользователя, получаемых из разных продуктов InfoWatch и анализирует их по нескольким сотням параметров. Искусственный интеллект, используемый в UBA-системе InfoWatch, помогает автоматически сформировать группы риска на основе динамических моделей поведения каждого сотрудника. ИИ также позволяет специалистам ИБ анализировать миллионы событий для выявления подозрительного поведения, что просто невозможно сделать «вручную» без автоматизированного инструмента обработки информации о событиях.
В целом InfoWatch Prediction решает следующие задачи:
- Создает автоматический рейтинг подозрительных сотрудников по более 230 параметрам;
- Выявляет аномалии по каждому сотруднику для анализа его действий;
- Устанавливает взаимосвязь событий на графике развития аномалий;
- Использует в своей работе данные DLP InfoWatch Traffic Monitor и системы контроля за действиями сотрудников Activity Monitor.
3. Solar Dozor UBA
DLP-решение компании «Солар» под названием Solar Dozor существует еще с тех времен, когда разработчики были в составе системного интегратора «Инфосистемы Джет». Фактически, это флагманский продукт компании, в котором появился в том числе и инструмент контроля поведения пользователей. Сейчас – это модуль Solar Dozor 7, который реализует задачи анализа информации о поведении учетных записей и устройств. Инструмент позволяет формировать поведенческие портреты корпоративных пользователей, искать по характерным особенностям их активности наиболее подозрительных из них, строить профили устойчивого поведения и выявлять аномальные отклонения от них.
Модуль UBA работает в составе DLP-системы, для работы которого необходимы дополнительные ресурсы. Поэтому требования к ним должны быть рациональными и соразмерными персоналу организации. Вследствие этих ограничений UBA опирается на метаданные сообщений и событий политики ИБ, сведения об информационных объектах и материалы из досье персон. Канал коммуникаций, за которым наблюдает Dozor UBA, это корпоративная почта. Со временем возможно подключение и других каналов коммуникаций.
Функциональные возможности модуля следующие:
- Мониторинг групп риска и опасных тенденций по шаблонам поведения.
- Выявление уязвимых персон и персон с подозрительным поведением внутри шаблона. Проведение расследования в отношении конкретной персоны.
- Совместный анализ аномалий поведения, подозрительных особенностей и связанных событий безопасности.
4. Dataplan
Российский разработчик решений по информационной безопасности NGR Softlab работает на рынке с 2019 года. В портфеле компании представлены интеллектуальные системы по управлению безопасностью, инструменты анализа и мониторинга ИБ, включая решение класса UEBA ─ Dataplan.
Dataplan ─ аналитическая платформа для решения задач ИБ. Платформа собирает, хранит и обрабатывает большие массивы данных из разных источников с помощью машинных алгоритмов для принятия data-driven решений при расследовании инцидентов ИБ и нарушения бизнес-процессов, выявлении скрытых угроз ИБ и деятельности компании и управлении рисками. Dataplan разворачивается в среде ОС Linux Ubuntu Server не ниже 18.04 x64 (рекомендованная версия 20.04 LTS) и Astra Linux Special Edition 1.7.
С помощью Dataplan компания может:
- получить дополнительные сведения для оценки текущего состояния системы защиты информации и инфраструктуры организации
- составить «портрет» пользователя и элементов инфраструктуры на основе ретроспективного анализа
- оптимизировать затраты на внедрение средств защиты от НСД, контроля доступа, предотвращения утечек и пр.
- выявить признаки скрытых угроз ИБ, которые не обнаружены типовыми средствами защиты информации
5. Касперский Fraud Prevention
Основным видом деятельности «Лаборатории Касперского» является разработка антивирусного программного обеспечения, именно поэтому различные компоненты Fraud Prevention зарегистрированы в реестре Минцифры как антивирусные продукты. Хотя сам по себе Fraud Prevention предназначен для выявления мошенничества в финансовой сфере, многофакторной аутентификации и снижения операционных расходов. Собственно, одним из методов выявления мошенников является контроль и анализ поведения пользователей, поэтому модуль UEBA также был встроен компанией для формирования дополнительных признаков потенциальных мошенников.
В основе работы модуля поведенческой аналитики Fraud Prevention является то, что при взаимодействии между пользователями и сервисом накапливается информация о типичном поведении клиентов компании. Мошенники и боты не укладываются в такое поведение, что и становиться повод присмотреться к таким подозрительным клиентам или объектам повнимательнее. На основе собранных ранее сведений UEBA-система с помощью машинного обучения и статистического анализа генерируют шаблоны нормального поведения пользователей и объектов. Впоследствии реальные данные об активности пользователей сопоставляются с этими шаблонами. Если то или иное действие значительно отличается от шаблона, например, сотрудник отправляет письмо топ-менеджеру, с которым обычно не взаимодействует по работе, или на какой-то внешний сервер передается большой объем данных, система уведомляет специалистов по безопасности.
С помощью технологий UEBA, встроенных в Fraud Prevention, можно решать следующие задачи:
- Выявление инсайдерских угроз;
- Обнаружение сложных таргетированных атак с помощью легальных инструментов, работу который антивирусные программы не считают вредоносной;
- Выявление скомпрометированных учетных записей корпоративных пользователей.
6. Zecurion DLP
Компания Zecurion также является одним из российских производителей DLP-решений, поэтому флагманским ее продуктом является Zecurion DLP. Ее разработчики стараются быть в курсе основных тенденций рынка, поэтому компания разработала и предлагает в составе своего решения в том числе и модуль UBA. Функционал продукта позволяет не только контролировать данные и видеть активность сотрудников, но и управлять рисками ИБ и быстрее выявлять потенциально опасных сотрудников, группы и целые отделы.
Модуль UBA позволяет DLP-системе работать уже не на уровне контроля за хранением, перемещением и обработкой данных, но обнаруживать подозрительное и аномальное поведение пользователей. Причем система контролирует все действия сотрудников в течении рабочего дня.
С помощью модуля UBA платформа Zecurion DLP позволяет решать такие задачи:
- Обнаруживать аномалии в поведении пользователей;
- Профилировать сотрудников и сравнивать их друг с другом, чтобы выявить группы риска;
- Реализовывать классическую риск-ориентированную модель при работе с информацией о сотрудниках;
7. F.A.C.C.T. Fraud Protection
Изначально продукт был флагманским для компании Group-IB, которая в процессе выделения международной части была переименована в F.A.C.C.T. Однако именно защита от мошенничества в финансовой сфере по-прежнему остается приоритетом для компании, и она развивает все связанные с этим направлением технологии. Не прошли разработчики продукта и мимо функционала поведенческого анализа.
С помощью F.A.C.C.T. Fraud Protection в частности можно решать следующие задачи UEBA:
- Создание глобального пользовательского профиля;
- Использование машинного обучения для анализа взаимосвязей между пользователями, устройствами и каналами взаимодействия;
- Блокировка ботов, которые занимают ресурсы финансовых и других компаний;
- Выявление нетипичного поведения пользователей, которое может быть связано с воздействием на пользователей посторонних злоумышленников.
8. R‑Vision UEBA
Компания R-Vision разрабатывает инструменты для построения центров реагирования на инциденты SOC. Одним из ее продуктов является и R‑Vision User and Entity Behavior Analytics (UEBA), который осуществляет непрерывный мониторинг событий безопасности, анализируя данные из источников, включая системы управления системными журналами, SIEM и защиты конечных устройств. Аналитические инструменты R‑Vision UEBA позволяют своевременно выявить признаки атаки, приоритизировать угрозы и анализировать всю последовательность аномальных событий.
R‑Vision UEBA осуществляет агрегацию событий информационной безопасности из различных источников. Далее проводит комплексный анализ собранных событий, изучая поведение объектов и их групп, формирует профили нормального поведения и фиксирует подозрительную активность при его отклонении. Подробная информация об угрозах и инцидентах сохраняется в виде временной шкалы, на которой отмечаются аномалии. В дальнейшем сформированное предупреждение передается в систему R‑Vision SOAR для реагирования на инцидент и предотвращения угрозы.
Продукт может быть использован для решения следующих задач:
- Выявление аномалий, которые не очевидны для классических правил детектирования SIEM-систем;
- Анализ нелегитимных действий, связанных с конкретным объектом или пользователем;
- Получение полного контекста по объекту при расследовании инцидента.