Журнал "Information Security/ Информационная безопасность" #3, 2025

DLP – это инструмент для контроля утечек данных, он работает по принципу сигнатур и правил. Если сотрудник дей- ствует в рамках своих прав, но его пове- дение резко меняется, DLP может ничего не заметить. В таких ситуациях на помощь приходит UEBA (User and Entity Behavior Analytics) – технология анализа поведения пользователей и сущностей. Она не заменяет DLP, а дополняет ее, выявляя аномалии, которые не попадают под стандартные правила. Почему DLP уже недостаточно Система DLP остается основным инструментом предотвращения утечек, и со своей задачей она справляется: блокирует отправку документов на лич- ную почту, следит за флешками, запре- щает пересылку архивов с паролем и т. п. Но все это – про известные сценарии, и если действие не нарушает заданной в DLP политики, оно считается безопас- ным. Именно здесь образуются слепые зоны. 1. Когда бухгалтер вдруг начинает скачивать исходники из проектных папок, DLP остается спокойной – доступ есть, формально все в порядке. Но UEBA фиксирует отклонение: раньше такого поведения не было, и для этой роли оно нехарактерно. Именно это и становится основанием для тревоги. 2. Администратор, всегда работавший днем, вдруг заходит в архив глубокой ночью, да еще и с давно неактивного аккаунта. DLP не видит проблемы: вход легитимен. А вот UEBA отмечает сбой в привычном ритме и реагирует на ано- малию, которую остальные системы про- сто игнорируют. 3. Менеджер, который всегда работает из офиса в России, внезапно авторизу- ется из-за границы. DLP не замечает ничего необычного – вход легитимен. А вот UEBA распознает несоответствие привычному шаблону и подает сигнал: география стала аномалией. 4. Сотрудник, зная, что цельный архив не пройдет через DLP, дробит его на части и отправляет по почте фрагмен- тами. Для DLP это – разрозненные, неопасные действия. UEBA замечает рост активности, повторяемость, смену паттерна – и именно в этой мозаике распознает угрозу. Любое отклонение от нормы, даже без нарушения политики, становится сигналом. UEBA приносит в инфраструк- туру то, чего не хватает DLP, – внимание не к событию, а к поведению. Как работает связка UEBA и DLP UEBA – из тех систем, от которых заказчики ждут быстрых чудес: внедрили, подключили, запустили – но вдруг насту- пает тишина. Ни тревог, ни сигналов, ни результата. Кажется, что технология не работает. Но тишина здесь не ошибка, а симптом изоляции. UEBA не порождает события – она их интерпретирует. Без регулярной подпитки данными, без связи с DLP, SIEM и другими системами она молчит. Ее задача – заметить отклоне- ние, но для этого ей сначала нужно показать, как выглядит норма. Связка DLP и UEBA – это не просто обмен событиями, это формирование двуслойного восприятия. DLP, заточен- ная под блокировку конкретных, заранее известных нарушений, работает как фильтр, пропускающий только то, что укладывается в набор запретов. Она хорошо знает, что нельзя, но ничего не знает о том, как бывает обычно. UEBA, напротив, не ищет нарушения как тако- вого – она ищет отклонение, смещение, поведенческую неестественность. Там, где DLP видит допустимое действие, UEBA распознает его неожиданность. UEBA становится по-настоящему эффективной, когда оценивает не отдельные события, а их смысл в кон- тексте – конкретного сотрудника, его роли, времени и привычного поведения. Не сам факт доступа важен, а его умест- ность. Вспомним кейс, с администрато- ром, который всегда работал днем с одних устройств, вдруг выходит в сеть ночью с заброшенного аккаунта. Фор- мально – всё в порядке, но интонация действия меняется. UEBA улавливает именно это: несоответствие ожиданиям. Работа связки UEBA и DLP требует не просто обмена событиями, а обратной связи. UEBA обучается на данных DLP и со временем точнее отличает реальную угрозу от безобидных отклонений. DLP, в свою очередь, может адаптировать свои политики, опираясь не на жесткие шаблоны, а на живую статистику пове- денческих аномалий. В типовой инфраструктуре все события стекаются в SIEM-систему – она стано- вится нервным центром, где сходятся 26 • СПЕЦПРОЕКТ UEBA усиливает DLP там, где правила молчат то, если сотрудник уносит данные не нарушая ни одного пра- вила? Он действует в рамках своих полномочий, не вызывает тревог в DLP и остается незамеченным – до тех пор, пока ущерб не станет необратимым. Инсайдерские угрозы эволю- ционируют, и классическим средствам защиты все труднее отличить норму от отклонения. Рассмотрим, как поведенчес- кая аналитика возвращает смысл в защиту информации, уси- ливая DLP за счет наблюдения, контекста и раннего распо- знавания аномалий. Ч Лидия Виткова, к. т. н., начальник аналитического центра кибербезопасности компании “Газинформсервис" Яна Заковряжина, менеджер продукта Ankey ASAP компании “Газинформсервис” Фото: Газинформсервис Фото: Газинформсервис