Журнал "Information Security/ Информационная безопасность" #3, 2025

логи, телеметрия, сигналы от DLP и дру- гих решений. UEBA получает данные либо оттуда, либо напрямую из источни- ков, если архитектура это допускает. Но ее полноценная работа возможна только в насыщенной, живой среде. Лишь в непрерывном потоке активности она начинает распознавать ритмы, выявлять структуру, чувствовать границы нормы – и замечать, когда что-то выходит за них. Неочевидные сценарии применения UEBA UEBA часто воспринимается как сугубо антиинсайдерский инструмент. Но это слишком узкое восприятие для технологии, построенной на умении видеть поведение. Ее настоящая сила раскрывается в тех зонах, где прямых нарушений нет, а кон- текст – единственный источник тревоги. Одним из таких сценариев становится профилирование не отдельных сотруд- ников, а целых подразделений. Каждый отдел живет в своем ритме, работает со своими системами, оставляет за собой уникальный цифровой след. Финансисты взаимодействуют с бухгалтерским соф- том, HR – с кадровыми платформами, разработчики – с Git, Staging-средами, CI/CD-пайплайнами. Но если вдруг сотрудник из бухгалтерии начинает регу- лярно заходить в репозитории с исходным кодом и массово скачивать содержимое – с точки зрения поведенческой логики это событие становится тревожным. Еще одна область, где поведенческая аналитика незаменима, – это расследо- вание инцидентов постфактум. Когда данные уже утекли, важно восстановить хронологию: кто получил доступ, из како- го источника, в какое время, как долго продолжалась активность, предшество- вали ли этому изменения в привычном поведении. UEBA, хранящая поведенче- ские профили в динамике, позволяет воспроизвести эту картину с детализа- цией, которую невозможно получить, просто просматривая логи. Но, пожалуй, самый недооцененный эффект от внедрения UEBA – это фильт- рация событийного шума, который соз- дают другие ИБ-систе- мы. DLP в крупных инфраструктурах часто генерирует сотни, если не тысячи срабатыва- ний в день. Большая часть из них – ложные, или, по крайней мере, несущественные. Ана- литики тратят много ресурсов на их разбор, и со временем тревоги начинают восприни- маться просто как фон. UEBA способна пере- хватить этот поток и сделать его осмыслен- ным. На основе анализа поведенческих моделей она может отсечь до трех чет- вертей алертов, оставив только те, что действительно выбиваются из нормы. Типовые проблемы с UEBA и как их избежать UEBA, несмотря на свою интеллекту- альность, не волшебная кнопка. Ее точ- ность и чувствительность зависят не столь- ко от алгоритмов, сколько от среды, в которую она встроена. И если не учиты- вать особенности этой среды, система может либо долго молчать, либо, напро- тив, начать видеть угрозы там, где их нет. Впрочем, почти все сложности, с которыми сталкиваются команды при внедрении поведенческого анализа, решаемы. На первом месте – ожидание мгно- венного результата. UEBA не работает "из коробки" в привычном смысле: ей требуется время, чтобы сформировать поведенческие профили, на которых основаны все ее выводы. Этот процесс занимает в среднем от двух до четырех недель, в течение которых система наблюдает, анализирует и накапливает статистику. Проблема в том, что не все- гда есть возможность ждать. Но решение есть – использовать ретроспективные логи: подгрузив исторические данные, можно ускорить обучение моделей. Вторая проблема куда более тонкая – загрязненные данные. Если в период обучения в логах уже содержатся ано- мальные действия, UEBA вполне может воспринять их как часть нормы. Осо- бенно опасно, если система настраива- ется в момент нестабильности: смена сотрудников, всплеск активности, инци- денты. Чтобы избежать формирования ложной нормы, необходимо очищать данные до начала обучения либо вруч- ную, либо при помощи вспомогательных меток в логах, отмечая эпизоды, которые нельзя считать репрезентативными. Третий риск – недоста- ток данных. UEBA по своей природе требует широты взгляда: она должна видеть не только действия поль- зователя, но и среду, в которой эти дей- ствия совершаются. Если поведенческий анализ ограничен лишь логами из одного источника – например, только из DLP или только из Active Directory – система получает усеченную картину, в которой легко пропустить важные связи и зако- номерности. Чтобы UEBA действительно начала видеть, ей нужен приток инфор- мации из SIEM, IDM, AD, прокси, VPN и любых других точек, где фиксируется пользовательская активность. В заключение Интерес к UEBA – не модный тренд, а закономерный ответ на изменившуюся природу угроз. Поведение стало новым источником риска, и будет ошибкой – смотреть только на формальные нару- шения. Именно поэтому появляется тех- нология, способная видеть глубже – и компания "Газинформсервис" с про- дуктом Ankey ASAP 1 предлагает не про- сто модуль UEBA, а полноценный инстру- мент для работы с поведением. Ankey ASAP построен на методах машин- ного обучения, которые позволяют не про- сто фиксировать команды, а выявлять скрытые, деструктивные паттерны на уров- не терминального взаимодействия. В усло- виях, когда аналитик SOC завален потоком инцидентов, такой подход критичен: систе- ма помогает не только обнаружить, но и объяснить – быстро, наглядно, в пове- денческом контексте. Инструменты для расследования уже встроены в интерфейс: матрицы MITRE ATT&CK, БДУ ФСТЭК, цепочки Kill Chain, таймлайн событий – все это позволяет не просто увидеть инцидент, но разложить его по слоям до уровня мотива и метода. А дашборды и готовые виджеты дают команде управ- ления не абстрактную аналитику, а удоб- ный инструмент работы с текущей ситуа- цией. Сертификация Ankey ASAP в ФСТЭК России по УД 4 и соответствие требова- ниям ключевых приказов (№ 17, № 21, № 239, № 31) делают его пригодным для использования в сегментах, где цена ошибки особенно высока – от КИИ до корпоративной среды. И совет напоследок: не ждите быстрых побед. UEBA – это не реактив- ный инструмент, а стратегия наблюде- ния, накопления и понимания. Она рас- крывается со временем, когда система начинает различать нюансы и видеть поведение как процесс, а не как набор событий. Это не покупка функции, а инвестиция в зрелость. И чем раньше вы начнете ее внедрять, тем раньше инфраструктура научится видеть то, что раньше проходило мимо. l • 27 DLP + DCAP www.itsec.ru Рис. Интеграция UEBA в ИБ-ландшафт АДРЕСА И ТЕЛЕФОНЫ ГАЗИНФОРМСЕРВИС см. стр. 76 NM Реклама 1 https://www.gaz-is.ru/produkty/upravlenie-ib/ankey-asap