УМЕЕШЬ В ИБ? ДЕЛИСЬ! Ближайший CIRF уже 14 ноябряРеклама. Рекламодатель ООО "МКО Системы", ИНН 7709458650, 18+Системы поведенческой аналитики пользователей и сущностей (UEBA)
Системы и платформы для анализа поведения пользователей и сущностей - User and Entity Behavior Analytics
Описание и назначение
Cистемы анализа поведения пользователей и сущностей (User and Entity Behavior Analytics - UEBA) — решения, направленные на поиск и выявление аномалий в поведении пользователей и различных систем.
Класс решений поведенческого анализа появился в связи с тем, что для обеспечения информационной безопасности в компаниях внедряют множество различных систем сбора данных. При этом сотрудники не всегда способны просматривать все полученные сведения и вовремя реагировать на потенциальные инциденты. Составляя профили, системы UEBA повышают эффективность и обеспечивают своевременное реагирование на возможные утечки данных.
Системы UEBA крайне близки к решениям поведенческого анализа пользователей (UBA) и, по сути, являются их продолжением. Отличием этих систем друг от друга служит наличие в UEBA профилирования и анализа сущностей, под которыми понимаются приложения, системы хранения данных, сетевой трафик, устройства, серверы и данные. Помимо этого, системы UEBA позволяют решать проблемы не только внутренних утечек конфиденциальных данных, но и внешних целенаправленных на систему атак. В виду расширения объектов анализа, в системе создаются профили не только пользователей, но и различных сущностей, что позволяет своевременно реагировать на скомпрометированные активы и объекты инфраструктуры. Кроме того, системы UBA обычно реализованы в виде отдельных решений под определенные задачи. Они могут самостоятельно функционировать без интеграции с другими решениями, в то время как UEBA поставляются в рамках платформы и могут использовать данные других систем.
Наличие анализа поведения сущностей расширяет возможности системы и отражает тот факт, что сетевые устройства могут в равной мере использоваться в сетевой атаке, и составление модели их поведения может быть полезным при обнаружении активности атаки.
Задачи, которые решают системы анализа поведения пользователей и сущностей:
- Анализ больших массивов данных (может быть статистическая, расширенная, в режиме реального времени, либо запускаемая с определенной периодичностью).
- Идентификация и выявление целенаправленных атак, которые не могут быть найдены другими средствами, существующими на рынке информационной безопасности в настоящее время.
- Приоритизация событий, полученных из различных источников.
- Своевременная реакция на события и предоставление подробных сведений о пользователях и объектах, которые участвовали в аномальной активности.
Основными технологиями, используемыми для решения задач поведенческого анализа, служат:
- Статистика;
- Соответствие паттернам поведения;
- Машинное обучение.
Все системы поведенческого анализа могут быть:
- По способам размещения — локальные, внедряемые внутри инфраструктуры предприятия, или построенные по принципу SaaS (Software-As-A-Service).
- По методам, которыми система получает исходные данные.
- По способам анализа, которые используются в работе систем UEBA (предиктивные математические модели, ретроспективный анализ полученных данных, использование систем хранения данных).
- По предназначению — разработанные для анализа поведения локальных инфраструктур или для работы в облаке и мониторинга виртуальных платформ и сервисов.
В последнее время наблюдается тенденция к интеграции систем поведенческого анализа с такими решениями, как SIEM, DLP, EDR с целью обеспечить администраторов безопасности не только точными данными о пользователях и инфраструктуре, но и предоставить анализ активности сотрудников и различных устройств.
Список средств защиты
Solar Dozor — высокопроизводительная DLP-система со встроенным UBA-модулем для контроля коммуникаций сотрудников и защиты от утечек конфиденциальной информации.
Главной угрозой информационной безопасности остается человеческий фактор. Forcepoint Insider Threat призвана защищать данные от широкого спектра угроз.
Fortscale Presidio позволяет провайдерам безопасности быстро и легко интегрировать расширенные модели поведенческой аналитики в свои собственные платформы безопасности.
Традиционные решения по обеспечению информационной безопасности в современных условиях не эффективны. Решение Gurucul Threat Analytics анализирует поведение пользователей и позволяет оперативно принимать решение на основе полученных данных.
Инсайдерские угрозы представляют серьезную проблему для компаний. Haystax Insider Threat собирает информацию о поведении пользователей и анализирует их. На основе данных ИБ сотрудники принимают решение о степени угрозы.
Niara автоматически выявляет атаки и подозрительное поведение в организации, позволяя специалистам по безопасности тратить меньше времени и ресурсов на изучение инцидентов и реагирование на них.
Interset используется для сбора данных о работе пользователей, анализе этих данных и возможности принимать решения сотрудниками отдела информационной безопасности.
Splunk User Behavior Analytics помогает компаниям обнаруживать инсайдерские угрозы, для этого используется машинное обучение. Достоинством решения является его автономность, от администраторов требуется минимальное участие.
PA LightCyber Magna - платформа обнаружения атак на базе поведенческого анализа, таргетированные атаки могут обойти старые средства предотвращения вторжений, а затем использовать неконтролируемый доступ к сетевым ресурсам.
Microsoft Advanced Threat Analytics позволяет оценить ситуацию в реальном времени в наглядном представлении временной шкалы атак, а встроенные функции для обучения выявлять подозрительное поведение пользователей и устройств.