Журнал "Information Security/ Информационная безопасность" #2, 2018

Место аналитики С точки зрения архи- тектуры механизмы UEBA похожи на реше- ния, предназначенные для мониторинга собы- тий информационной безопасности (SIEM), и даже некоторые про- изводители называют их NGSIEM (Next Generation SIEM). Они состоят из агентов, которые собирают информацию о действиях поль- зователей, единого хранилища, куда эти сведения собираются из всех источников, и аналити- ческого модуля, который выпол- няет анализ событий, возможно, в реальном времени и с реак- цией на наиболее опасные дей- ствия по заранее заданным пра- вилам. Иногда в качестве агента и даже хранилища сведений о действиях пользователей могут выступать сторонние системы, такие как DLP, IDM, SIEM или др. Таким образом, достаточно часто анализ поведения поль- зователей – это модуль, который использует инфраструктуру дру- гого приложения для получения данных, но дает ему сигналы о выявленной подозрительной активности. Необходимо отметить, что сейчас методики обнаружения подозрительного поведения активно развиваются в связи с появлением доступных техно- логий машинного обучения и искусственного интеллекта, которые могут самостоятельно, без предварительного обучения выявлять аномальное поведе- ние пользователей и резкое изменение стиля их работы, что вызывает подозрение в ком- прометации пароля или же попытке доступа к критическим ресурсам без необходимых для этого полномочий. Тем не менее в ряде случаев результаты подобного анализа требуют руч- ной проверки аналитиком для подтверждения или опроверже- ния гипотезы, выдвинутой системой UEBA. В частности, в составе SOC логично иметь подобный модуль, который давал бы операторам центра реагирования дополнительную информацию о подозрительных действиях пользователей и при- влекал их внимание к опреде- ленным цепочкам событий. UEBA-решения UEBA-решения могут быть реализованы в виде отдельных продуктов либо в виде расши- рений для уже существующих систем, например SIEM, DLP или PAM (Privileged Access Management) и др. С практиче- ской точки зрения служба информационной безопасности может с помощью инструмен- тария UEBA решать следующие задачи: l выявление скомпрометиро- ванных учетных записей. Ана- лиз поведения пользователей может устанавливать, в какой именно момент пользователь начинает вести себя подозри- тельно, проявляя активность в тех направлениях, которые ранее ему свойственны не были. К сожалению, система UEBA не сможет ответить на вопрос, что послужило причиной 18 • ТЕХНОЛОГИИ Анализируй это... еловеческий фактор в информационной безопасности является одним из ключевых. С одной стороны, он источник возможных угроз информационной безопасности, а с другой – именно мониторинг поведения легитимных пользователей в информационной системе позволяет выявить возможные несанкционированные действия. Так, например, можно сделать вывод о том, что в случае сильного изменения поведения пользователя его учетные данные могут быть скомпрометированы и от его имени работает кто-то посторонний. Такое изменение поведения также может указывать и на нарушения, связанные c умышленными действиями сотрудника. Именно возможности профилирования и анализа активности пользователей и объектов ИТ-инфраструктуры реализованы в относительно новом сегменте рынка систем защиты, который получил название “средства поведенческого анализа пользователей и сущностей” – UEBA (User and Entity Behavioral Analytics). Ч Виктор Сердюк, генеральный директор АО “ДиалогНаука” Роман Ванерке, технический директор АО “ДиалогНаука” UEBA-решения могут быть реализованы в виде отдельных продуктов либо в виде расширений для уже существующих систем.