Журнал "Information Security/ Информационная безопасность" #2, 2019

– Насколько эффективной оказалась технология UEBA? В каких ситуациях она необходима? Владимир Бенгин – За прошедшие четыре года мы не встречали на отечественном рынке рабочих внедрений UEBA и ни разу не столкнулись с ситуацией, когда нали- чие UEBA играло бы ключевую роль в выборе конкретного продукта. Интерес компаний к UEBA, как правило, чисто академический. Во-первых, в силу завышенных ожида- ний: анализ и профилирование действий пользователей – задача важная, но в реальности сложно решаемая. Мы зна- комы с ней, так как активно работаем над определением сценариев, в которых работает UEBA, и решаем их иными спо- собами. В частности, ведем разработки в области выявления аномалий в дей- ствиях пользователей. Построение моде- ли поведения и отклонений от нее – непростая задача, требующая значитель- ных трудозатрат (за исключением, пожа- луй, нескольких простых кейсов, вроде модели операциониста, выполняющего в банке всегда одинаковый набор дей- ствий). UEBA позиционировали как гото- вое решение всех проблем, но пока она не показывает достойных результатов. Во-вторых, внедрение UEBA от продви- нутых производителей – дорогостоящее удовольствие и в большинстве своем ком- пании не готовы к таким расходам. Дмитрий Кандыбович – На тему UEBA разго- воров много, но прак- тики использования в России нет, поскольку отечественные решения не созрели, а западные очень дорогие. В систе- ме StaffCop Enterprise частично реали- зован функционал UEBA в виде анали- за статистических отклонений и авто- матического оповещения о них. Он хорошо работает в файловом монито- ринге, например, если алерт настроен на экстремальное количество опера- ций. Это удобно, когда нет понимания, какой документ важен, а важно деся- тикратное увеличение количества дей- ствий. Это происходит, например, когда сотрудник перед увольнением отправ- ляет много документов: сохраняет на USB, в облако, распечатывает и пр. И тут UEBA показывает себя очень хорошо: когда вы не знаете, какой файл вам важен, а важен сам факт большого количества отправки почты или вывода на печать, эта технология позволяет зафиксировать инцидент. Елена Нагорная – Несомненно, техно- логия UEBA позволяет решить широкий спектр задач, связан- ных с аналитикой ИБ. Получая данные с раз- личных средств защи- 26 • ТЕХНОЛОГИИ SIEM vs новые угрозы: что необходимо SIEM для их оперативного выявления? дин из ключевых трендов последних двух лет – не только общий рост числа киберинцидентов, но и усложнение атак с технологической точки зрения: злоумышленники стали активно использовать методы, затрудняющие анализ и расследование инцидентов. Используются так называемые средства антианализа, антиатрибуции, антифорензики, увеличилось число бесфайловых атак, вредоносное ПО все чаще стало подписываться цифровыми подписями. С течением времени атаки будут только усложняться. Существенно сокращается окно между появлением новой технологии и принятием ее на вооружение злоумышленниками: в среднем между появлением нового эксплойта и началом активного его использования злоумышленниками проходит от 3 до 5 дней. А некоторые особо продвинутые группировки тратят на адаптацию новых эксплойтов и техник и их применение в своих атаках всего лишь несколько часов. Все это требует от организаций большей гибкости и оперативности в отслеживании новейших угроз и методов атакующих, использования более интеллектуальных средств защиты, обеспечивающих минимальное отставание от нападающих. Могут ли современные SIEM-системы стать эффективным инструментом информационной безопасности в таких условиях? Редакции журнала Information Security рассказали эксперты: Владимир Бенгин, директор департамента поддержки продаж, Positive Technologies Дмитрий Кандыбович, генеральный директор компании StaffCop (ООО “Атом Безопасность") Елена Нагорная, руководитель направления департамента по защите активов и информации АО “Техснабэкспорт" Лев Палей, начальник отдела ИТ-обеспечения защиты информации, АО “СО ЕЭС” Сергей Рысин, эксперт по информационной безопасности О