Журнал "Information Security/ Информационная безопасность" #2, 2018

С точки зрения архитек- туры механизмы UEBA похо- жи на решения, предназна- ченные для мониторинга событий информационной безопасности (SIEM), и даже некоторые производители называют их NGSIEM (Next Generation SIEM). Они состоят из агентов, которые собирают информацию о действиях пользователей, единого хранилища, куда эти сведения собираются из всех источников, и аналити- ческого модуля, который выполняет анализ событий, возможно, в реальном вре- мени и с реакцией на наибо- лее опасные действия по заранее заданным прави- лам. необычного поведения – утечка паролей учетных данных, тро- янская программа или просто изменение должностных инструкций. Ответить на эти вопросы должен уже админи- стратор безопасности, но при- влечь его внимание к подозри- тельной активности с, казалось бы, легальной учетной записью аналитическая система способ- на. В первую очередь объектом контроля здесь являются учет- ные записи привилегированных пользователей, а также тех сотрудников, которые имеют доступ к критическим инфор- мационным активам; l выявление внутренних нару- шителей. Собственно, это часть функционала UEBA, которая дополняет возможности DLP- решений, которые сейчас являются основными для поиска так называемых инсайдеров. Конечно, отличить инсайдера- человека от троянской програм- мы, проникшей на компьютер, достаточно сложно, поэтому классические DLP такую задачу решить не могут. Но именно аналитика поведения пользо- вателей может более точно отличить сотрудника, который по глупости установил тро- янскую программу, от реального злоумышленника, целенаправ- ленно получившего легальные учетные данные в системе и пытающегося добраться до ценной информации; l мониторинг прав доступа сотрудников. Одной из наибо- лее сложных задач обеспечения безопасности является мини- мизация прав легальных поль- зователей – их права должны обеспечить им доступ ко всем необходимым для них инфор- мационным системам и блоки- ровать – ко всем остальным. Обычно достигнуть такого иде- ального состояния сложно – у пользователей всегда есть некоторые избыточные права доступа. Система анализа пове- дения пользователя может выявить действительно необхо- димые пользователю права и обнаружить явно избыточные назначения; l обнаружение целенаправлен- ных атак. В этом случае именно необычное поведение пользо- вателей или устанавливаемых ими приложений позволит выявить действия хакеров, при- чем как с помощью вредонос- ных программ, так и за счет компрометации учетных данных с использованием уже установ- ленных на предприятии прило- жений. Современные технологии в составе UEBA Для решения всех указанных выше проблем современные средства UEBA используют тех- нологии анализа больших дан- ных и те или иные механизмы искусственного интеллекта, которые предназначены для поиска аномалий, профилиро- вания работы пользователя и обнаружения злоупотреблений правами доступа. Для этого они строят модели поведения поль- зователей и групп, куда эти пользователи входят, и сравни- вают их с эталонными для выявления отклонений и нару- шений. Причем чем больший массив данных о поведении пользователей анализируется, тем точнее будет построена модель поведения, что позволит более точно предсказать откло- нения от нормы и выявить подо- зрительное поведение пользо- вателей. При этом решения класса UEBA позволяют строить профили не только пользова- телей, но и объектов ИТ-инфра- структуры – телекоммуника- ционного оборудования, серве- ров, приложений, сетевого тра- фика и др. Это позволяет выявлять атаки не только на основе выявления аномалий в работе пользователей, но и ИТ-систем. По каждому аномальному поведению пользователя реше- ние класса UEBA увеличивает значение риска по нему и при достижении определенного порога начинает сигнализиро- вать администратору безопас- ности о наиболее "подозритель- ных" пользователях. Такой под- ход позволяет, с одной стороны, создавать инциденты по наибо- лее вероятным нарушениям, а с другой стороны – миними- зировать количество ложных срабатываний. К сожалению, UEBA-системы не являются "коробочными" и для их внедрения необходимо выполнить большой объем работ по настройке этих средств. Модули UEBA уже достаточно давно появились в SIEM-реше- ниях, таких как IBM QRadar, ArcSight и Splunk. Однако есть и решения, где аналитика пове- дения пользователей является основным конкурентным пре- имуществом, например решение Exabeam. Российские произво- дители также ведут разработки систем подобного класса. Заключение На сегодняшний день суще- ствует большое количество угроз информационной без- опасности, которые можно выявить только за счет пове- денческого анализа событий, регистрируемых в локальной сети компании. Использование для этих задач решений класса UEBA позволит предоставить администраторам безопасности эффективный инструмент для выявления атак злоумышлен- ников. l • 19 ТЕХНОЛОГИИ www.itsec.ru Служба информационной безопасности может с помощью инструментария UEBA решать следующие задачи: l выявление скомпрометированных учетных записей; l выявление внутренних нарушителей; l мониторинг прав доступа сотрудников; l обнаружение целенаправленных атак. АДРЕСА И ТЕЛЕФОНЫ АО "ДИАЛОГНАУКА" см. стр. 48 NM