Системы анализа поведения пользователей (UBA)

Системы анализа поведения пользователей (User Behavior Analitycs - UBA) — это решения, которые занимаются сбором и анализом всех действий пользователей, включая данные, которые обрабатываются пользователем, с целью определения внутренних угроз и атак, а также финансового мошенничества.

Задачи, которые решают системы поведенческого анализа:

- Обнаружение компрометации учетных записей. Технологии машинного обучения UBA и аналитики позволяют создавать профиль каждого пользователя на основе его действий в системе. В случае компрометации учетных данных поведение злоумышленника будет резко отличаться от поведения владельца учетной записи. В данном случае системы анализа поведения будут сигнализировать об аномальном поведении. Так, например, для работы приложений зачастую используются системные учетные записи, которые обладают расширенными правами на работу в системе. Однако обычным действием для них служит лишь запуск определенного пула приложений. В случае, когда такая учетная запись попадает под контроль злоумышленника, он будет действовать, отклоняясь от созданного системой UBA профиля.

- Злоупотребление правами привилегированных учетных записей. Указанная возможность систем UBA пересекается с решениями для контроля привилегированных учетных записей (PAM). Различие заключается в том, что системы PAM ведут мониторинг сессий и осуществляют сбор данных, в то время как системы анализа поведения позволяют во время обнаружить и предупредить об отклонении поведения таких пользователей.

- Предотвращение утечки конфиденциальной информации. Для решения такой задачи в организациях используют, как правило, DLP-решения, которые отслеживают каналы утечки информации. Но в случае интеграции UBA с системами DLP решение самостоятельно проанализирует поведение пользователя и предупредит о возможной утечке (например, в случае внезапной отправки больших файлов через электронную почту или копирования данных на USB-носители).

- Обнаружение подозрительного времени подключения. Большинство сотрудников компаний работают по конкретному графику и приходят в одно и то же время, уходя точно в срок. Когда сотрудник является инсайдером и планирует скопировать важные сведения со своего компьютера для передачи третьим лицам, он может остаться на работе допоздна или прийти раньше начала рабочего дня, для того чтобы другие сотрудники не смогли обратить внимание на то, чем он занимается. Системы поведенческого анализа смогут отследить аномальную активность и передать данные сотруднику, ответственному за безопасность.

- Обнаружение попыток совместного использования учетных записей. Зачастую одни сотрудники делятся своими паролями с другими, например, в случае ухода в отпуск. Передача учетных записей несет в себе определенные риски. В случае компрометации учетной записи невозможно будет отследить, кто ответственен за утечки конфиденциальной информации. В данном случае при получении данных из SIEM-систем и систем контроля доступа, решения UBA позволят выявить факт нарушения правил использования учетных записей.

- Выявление ошибок настройки прав доступа. При детальной настройке систем поведенческого анализа такая система не позволит пользователям, которые не должны иметь права на определенные действия, выполнять их.

Развитием систем анализа поведения пользователей являются системы анализы поведения пользователей и объектов (UEBA — User and Entity Behavior Analytics). Такие системы производят мониторинг и анализ не только поведения пользователей, но и объектов инфраструктуры.