User and Entity Behavior Analytics (UEBA), или поведенческая аналитика пользователей и сущностей — новый тренд, активно набирающий обороты на рынке информационной безопасности. UEBA обеспечивает профилирование и выявление аномалий в поведении пользователей и иных сущностей. Мы проанализировали станет ли он серебряной пулей для корпоративных служб ИБ в борьбе с новыми угрозами.
Вы когда-нибудь задумывались, что первично — технология или маркетинговая реальность? На протяжении долгого времени производители программных продуктов создавали решения, отталкиваясь от сильных технологий, которые позволяли решать новый спектр задач. Но по ходу дела смелые вендоры часто пытались выдавать свои решения за нечто большее, чем они были в реальности. И хотя у некоторых это неплохо получалось, тем не менее, правда состоит в том, что первична всегда потребность. И только в идеальном случае она закладывает фундамент для синергии технологии и ярких рекламных лозунгов.
Возможно, примером такой синергии станет User and Entity Behavior Analytics (UEBA), или поведенческая аналитика пользователей и сущностей — новый тренд, активно набирающий обороты на рынке информационной безопасности. Gartner объясняет его суть следующим образом: UEBA обеспечивает профилирование и выявление аномалий в поведении пользователей и т. н. сущностей (entities). К последним относятся рабочие станции, приложения, сетевой трафик, хранилища данных и т. п. Для выявления аномалий используются различные аналитические методы (статистика, соответствие паттернам, машинное обучение). Подход подразумевает, что необычная активность, не соответствующая стандартному профилю, может более точно указывать на потенциальные инциденты информационной безопасности.
Рисунок 1. Схема применения UEBA в связке с другими решениями
Ведущие производители, такие как HPE, Cisco, IBM, стремятся дополнить свои решения новыми инструментами поведенческой аналитики. При этом корпорации предпочитают не вести самостоятельную разработку, в большей степени полагаясь на интеграционные проекты со стартапами и будущие поглощения.
Gartner тоже отмечает силу тренда и прогнозирует рост рынка UEBA примерно до 200 млн долларов к концу 2017 года, отталкиваясь от 50 млн долларов в 2016 году. Значит ли это, что нас ждет массовый выход на рынок решений нового класса, или UEBA останется фичей, расширением возможностей уже существующих продуктов? Чтобы ответить на этот вопрос, необходимо чуть точнее представлять, что UEBA может, а что нет.
Без сомнения, UEBA позволяет решить широкий спектр задач, связанных с ИБ-аналитикой. Данный подход построен вокруг анализа данных, корреляции событий и различных методик визуализации, призванных как выявлять нетипичное поведение пользователей и систем, так и повышать качество получаемых уведомлений об угрозах. Ключевым моментом при этом остается агрегация потоков данных с различных средств защиты, включая решения для защиты рабочих станций. Имея на руках такие данные в сыром виде и пополнив их логами с сетевых экранов и других средств контроля периметра, можно осуществлять более глубокий анализ, получая более высокоуровневый взгляд на текущую ситуацию. Кроме того, в конечном итоге это позволяет сформировать рекомендации по проактивной работе с потенциальными угрозами.
Однако несмотря на то, что UEBA детектирует необычное поведение пользователя или ПО, для того чтобы определить, является ли оно настоящей угрозой, требуется глубокое понимание контекста события. Например, сотрудник обращается к ранее не использовавшейся им корпоративной системе, которая содержит конфиденциальную информацию. Что произойдет в этом случае? ИБ-аналитик в центре мониторинга моментально получит уведомление, но ему потребуется еще несколько шагов расследования, чтобы подтвердить факт нарушения. Ведь такая активность может быть вполне легитимной, если она является частью новых обязанностей сотрудника и новых бизнес-процессов компании.
Таким образом, UEBA-решение известит аналитика о действиях пользователя, но не сможет предоставить достаточно информации о контексте: есть ли рабочая необходимость в доступе к данным, насколько они секретны и действительно ли подобное действие может нанести существенный урон организации. Если подозрения подтверждаются, то дальше придется выяснить, имеет ли пользователь легитимные права доступа к информации, не был ли скомпрометирован его ноутбук или учетная запись. Поэтому такие инструменты, как UEBA, должны рассматриваться не как панацея, а, скорее, как ключ к решению задач по отделению допустимых активностей сотрудников от потенциально опасных.
В теории UEBA помогает ИБ-специалистам определять злонамеренных инсайдеров и скомпрометированные учетные записи, но чтобы получить максимальный эффект от технологий UEBA, компании должны понимать реальную ценность своих информационных активов и правильно оценивать связанные с ними риски. Только в этом случае ИБ-аналитики смогут получить минимальный уровень ложноположительных срабатываний и уделять должное внимание реакции на реальные угрозы.
Таким образом, несмотря на широкие горизонты применения UEBA — от IdM до DLP и SOC — данный подход едва ли может быть реализован в виде отдельно стоящего решения. Но, тем не менее, это не повод сбрасывать новый тренд со счетов: в качестве добавочной технологии UEBA может стать серьезным конкурентным преимуществом для любого продукта.