Системы поведенческой аналитики пользователей и сущностей (UEBA)
Системы и платформы для анализа поведения пользователей и сущностей - User and Entity Behavior Analytics
Описание и назначение
Cистемы анализа поведения пользователей и сущностей (User and Entity Behavior Analytics - UEBA) — решения, направленные на поиск и выявление аномалий в поведении пользователей и различных систем.
Класс решений поведенческого анализа появился в связи с тем, что для обеспечения информационной безопасности в компаниях внедряют множество различных систем сбора данных. При этом сотрудники не всегда способны просматривать все полученные сведения и вовремя реагировать на потенциальные инциденты. Составляя профили, системы UEBA повышают эффективность и обеспечивают своевременное реагирование на возможные утечки данных.
Системы UEBA крайне близки к решениям поведенческого анализа пользователей (UBA) и, по сути, являются их продолжением. Отличием этих систем друг от друга служит наличие в UEBA профилирования и анализа сущностей, под которыми понимаются приложения, системы хранения данных, сетевой трафик, устройства, серверы и данные. Помимо этого, системы UEBA позволяют решать проблемы не только внутренних утечек конфиденциальных данных, но и внешних целенаправленных на систему атак. В виду расширения объектов анализа, в системе создаются профили не только пользователей, но и различных сущностей, что позволяет своевременно реагировать на скомпрометированные активы и объекты инфраструктуры. Кроме того, системы UBA обычно реализованы в виде отдельных решений под определенные задачи. Они могут самостоятельно функционировать без интеграции с другими решениями, в то время как UEBA поставляются в рамках платформы и могут использовать данные других систем.
Наличие анализа поведения сущностей расширяет возможности системы и отражает тот факт, что сетевые устройства могут в равной мере использоваться в сетевой атаке, и составление модели их поведения может быть полезным при обнаружении активности атаки.
Задачи, которые решают системы анализа поведения пользователей и сущностей:
- Анализ больших массивов данных (может быть статистическая, расширенная, в режиме реального времени, либо запускаемая с определенной периодичностью).
- Идентификация и выявление целенаправленных атак, которые не могут быть найдены другими средствами, существующими на рынке информационной безопасности в настоящее время.
- Приоритизация событий, полученных из различных источников.
- Своевременная реакция на события и предоставление подробных сведений о пользователях и объектах, которые участвовали в аномальной активности.
Основными технологиями, используемыми для решения задач поведенческого анализа, служат:
- Статистика;
- Соответствие паттернам поведения;
- Машинное обучение.
Все системы поведенческого анализа могут быть:
- По способам размещения — локальные, внедряемые внутри инфраструктуры предприятия, или построенные по принципу SaaS (Software-As-A-Service).
- По методам, которыми система получает исходные данные.
- По способам анализа, которые используются в работе систем UEBA (предиктивные математические модели, ретроспективный анализ полученных данных, использование систем хранения данных).
- По предназначению — разработанные для анализа поведения локальных инфраструктур или для работы в облаке и мониторинга виртуальных платформ и сервисов.
В последнее время наблюдается тенденция к интеграции систем поведенческого анализа с такими решениями, как SIEM, DLP, EDR с целью обеспечить администраторов безопасности не только точными данными о пользователях и инфраструктуре, но и предоставить анализ активности сотрудников и различных устройств.
Список средств защиты
Ankey ASAP (Advanced Security Analytics Platform) предназначен для углублённого изучения ИБ-событий c функциями поведенческого анализа. Система может формировать контент для помощи в расследовании киберинцидентов на основе данных, полученных от средств защиты информации и информационных систем...
R-Vision SENSE – аналитическая платформа кибербезопасности, которая детектирует нарушения в состоянии систем, подозрительную активность объектов и осуществляет динамическую оценку угроз и аномалий. Использование платформы повышает эффективность служб ИБ, позволяя своевременно выявлять признаки...