В условиях стремительного роста киберугроз и увеличения числа инцидентов информационной безопасности, традиционные методы защиты уже не всегда справляются с задачей обнаружения сложных атак. Именно здесь на помощь приходят технологии аналитики поведения пользователей и сущностей — UEBA. В этой статье мы рассмотрим, что такое UEBA, как она работает, чем отличается от UBA, и какие российские продукты в этой сфере заслуживают внимания.
Оглавление
Что такое UEBA и зачем это нужно?
UEBA (User and Entity Behavior Analytics) — это система, которая анализирует поведение пользователей и сущностей (устройств, аккаунтов, процессов) для выявления аномалий и угроз, невидимых для традиционных систем защиты, таких как антивирусы и SIEM. Она помогает обнаруживать инциденты, которые не поддаются выявлению классическими методами, включая сложные атаки на сеть или внутренние угрозы, связанные с компрометированием учетных данных или изменением поведения сотрудников.
Исторически развитие UBA (User Behavior Analytics) началось как расширение возможностей SIEM, где использовались стандартные корреляционные правила для мониторинга событий. Однако с появлением машинного обучения и более сложных аналитических методов, UBA переросла в UEBA, добавив возможность анализа сущностей (entity) — серверов, систем, приложений, и других объектов инфраструктуры.
Сегодня UEBA — это неотъемлемая часть кибербезопасности. Система помогает организациям отслеживать изменения в поведении пользователей, устройств, учетных записей и обнаруживать такие угрозы, как утечки данных, мошенничество, атаки на внутренние ресурсы, компрометация учетных записей и др. Современные решения UEBA используют данные из множества источников, таких как SIEM, NGFW, сетевые устройства и прокси-серверы, чтобы создавать многомерные модели поведения.
Как работают UEBA решения?
Основная цель UEBA систем — выявление отклонений от нормального поведения пользователей и сущностей в сети. Система собирает данные из различных источников: сетевых устройств, баз данных, SIEM систем, NGFW, прокси-серверов, и даже рабочих станций. Далее с помощью статистического анализа и машинного обучения она создает «нормальную» модель поведения и сравнивает с ней все последующие действия.
Важным компонентом современных UEBA решений является применение машинного обучения. Это позволяет системам не только обнаруживать отклонения на основе заранее установленных правил, но и адаптироваться под специфическую среду конкретной организации, обучаясь на ее данных. Такой подход позволяет снизить количество ложных срабатываний и увеличивает точность обнаружения реальных угроз.
UEBA решения обычно интегрируются с другими системами безопасности, такими как SOAR, SIEM или NGFW, для автоматического реагирования на инциденты. После выявления аномалии система может передать информацию о ней в SOAR для дальнейшего расследования или автоматического принятия мер по блокировке угрозы.
Чем отличается UBA от UEBA?
UBA (User Behavior Analytics) и UEBA (User and Entity Behavior Analytics) — это схожие, но не идентичные технологии для обеспечения информационной безопасности. Основное отличие заключается в том, что UBA фокусируется исключительно на поведении пользователей, тогда как UEBA включает в себя аналитику не только пользователей, но и сущностей (entity), таких как устройства, приложения, учетные записи и другие компоненты инфраструктуры.
UBA анализирует действия сотрудников, пытаясь выявить подозрительное или аномальное поведение, например, попытки доступа к конфиденциальным данным или необычные операции с учетной записью. Системы UBA были созданы для борьбы с инсайдерскими угрозами и предотвращения утечек данных.
UEBA, в свою очередь, добавляет к поведенческому анализу мониторинг других элементов инфраструктуры, таких как сервера, сети, рабочие станции и другие устройства. Это позволяет не только обнаруживать подозрительные действия пользователей, но и отслеживать атаки на уровне устройств или учетных записей, которые могут быть скомпрометированы. Таким образом, UEBA предлагает более широкий охват безопасности.
Главные преимущества UEBA перед UBA:
Мониторинг не только действий пользователей, но и поведения устройств, учетных записей, сетей и приложений.
Более глубокая интеграция с системами кибербезопасности (SIEM, NGFW, DLP).
Повышенная точность обнаружения угроз благодаря анализу большего числа переменных и контекстных факторов.
Security Vision UEBA
Security Vision UEBA представляет собой высокотехнологичное решение для анализа поведения пользователей и сущностей, которое интегрируется с широким спектром информационных источников, включая NGFW, SIEM, прокси-сервера и рабочие станции. Решение поддерживает несколько десятков корреляционных правил и методов анализа статистики для выявления аномалий.
Особенности Security Vision UEBA включают в себя:
Интеграция с популярными SIEM системами (ArcSight, QRadar, Splunk и др.) и поддержка форматов CEF и LEEF для получения событий.
Поддержка машинного обучения и использования открытых датасетов для тренировки системы.
Наличие графического конструктора для создания собственных правил анализа и корреляции без написания кода (no-code).
Автоматическое обогащение инцидентов информацией из AD, Whois и других источников.
R-Vision UEBA
R-Vision UEBA использует поведенческую аналитику для выявления отклонений в действиях пользователей и сущностей. Система нацелена на минимизацию внутренних рисков, таких как инсайдерские угрозы, неправомерные действия сотрудников или утечки данных. Она интегрируется с SIEM системами и позволяет автоматизировать процесс реагирования на выявленные инциденты.
Ключевые возможности R-Vision UEBA:
Интеграция с различными источниками данных, включая SIEM и DLP системы.
Анализ аномалий с применением методов машинного обучения.
Гибкая настройка правил для выявления отклонений в поведении пользователей и устройств.
Встроенные механизмы реагирования на инциденты, в том числе автоматическая блокировка угроз.
Kaspersky Fraud Prevention
Kaspersky Fraud Prevention фокусируется на предотвращении мошеннических действий, особенно в финансовых институтах. Система использует поведенческую аналитику для выявления подозрительной активности пользователей и блокировки несанкционированных операций. Продукт активно используется в онлайн-банкинге и электронной коммерции.
Анализ транзакций в режиме реального времени.
Выявление аномалий на основе поведенческих моделей и машинного обучения.
Интеграция с существующими системами безопасности банков.
InfoWatch Prediction
InfoWatch Prediction — это решение, которое помогает компаниям предсказать действия сотрудников, которые могут привести к утечкам данных или другим инцидентам безопасности. Система использует машинное обучение и аналитику поведения для прогнозирования потенциальных угроз и автоматического принятия мер по их предотвращению.
Прогнозирование риска на основе анализа поведения сотрудников.
Анализ аномалий в активности аккаунтов и рабочих станций.
Автоматическая блокировка действий, представляющих угрозу.
Контур информационной безопасности (КИБ) SearchInform
КИБ SearchInform фокусируется на контроле за действиями сотрудников с целью предотвращения утечек данных и других внутренних угроз. Система активно использует поведенческую аналитику для анализа действий сотрудников, обнаружения аномалий и предотвращения потенциальных инцидентов.
Мониторинг активности пользователей в реальном времени.
Выявление отклонений от нормального поведения с использованием машинного обучения.
Гибкие настройки для создания собственных правил анализа.
StaffCop Enterprise
StaffCop Enterprise — это мощная платформа для контроля и мониторинга действий сотрудников, которая предлагает интегрированные функции поведенческого анализа (UEBA). Она предназначена для предотвращения внутренних угроз, таких как утечки данных, неправомерные действия сотрудников, а также несанкционированное использование корпоративных ресурсов.
Платформа собирает информацию о действиях пользователей с различных устройств и программ, таких как рабочие станции, веб-браузеры, мессенджеры, приложения и файлы. StaffCop анализирует эту активность в реальном времени, выявляет аномальные действия и создает инциденты для дальнейшего расследования. Ключевое отличие продукта заключается в его широкой функциональности для мониторинга сотрудников и глубокой аналитике данных.
Мощные инструменты мониторинга активности сотрудников: контроль переписки, анализ действий с файлами, веб-серфинг, использование приложений.
Анализ аномалий с использованием предустановленных и настраиваемых правил поведения.
Интеграция с DLP системами и системами управления инцидентами для автоматического реагирования.
Функциональность по выявлению внутренних угроз и утечек данных через мониторинг активности в корпоративной сети.
StaffCop также включает возможности для контроля рабочего времени, что делает его полезным не только для кибербезопасности, но и для HR департаментов, позволяя отслеживать производительность сотрудников.
Сравнительная таблица российских решений UEBA
Продукт
Особенности
Интеграция
Основное назначение
Security Vision UEBA
Интеграция с SIEM, NGFW, прокси-серверами, поддержка машинного обучения и корреляционных правил, расширяемые правила анализа, автоматизация реагирования.
ArcSight, QRadar, Splunk, SIEM системы, NGFW, Windows/Linux устройства
Выявление и предотвращение киберугроз, обнаружение аномалий в поведении пользователей и устройств
R-Vision UEBA
Интеграция с SIEM и DLP, гибкая настройка правил анализа, автоматическое реагирование на инциденты.
SIEM, DLP системы, другие источники безопасности
Обнаружение и предотвращение внутренних угроз, аномалий в действиях сотрудников
Kaspersky Fraud Prevention
Применение для предотвращения мошенничества, анализ транзакций в реальном времени, выявление аномалий на основе поведенческих моделей.
Финансовые системы, онлайн-банкинг
Предотвращение мошенничества и финансовых угроз
InfoWatch Prediction
Прогнозирование рисков на основе поведенческой аналитики, анализ активности аккаунтов и устройств, блокировка действий.
Системы контроля учетных данных, информационные системы компаний
Прогнозирование и предотвращение угроз, связанных с действиями сотрудников
КИБ SearchInform
Мониторинг активности сотрудников, выявление аномалий, контроль за действиями и использование корпоративных ресурсов.
Сетевые устройства, корпоративные системы, DLP
Мониторинг сотрудников и предотвращение утечек данных
StaffCop Enterprise
Мониторинг рабочих станций, контроль переписки и действий с файлами, глубокая аналитика действий пользователей, предотвращение внутренних угроз.
Рабочие станции, веб-браузеры, мессенджеры, корпоративные системы
Контроль действий сотрудников и предотвращение утечек данных
Часто задаваемые вопросы (FAQ)
Что такое UEBA?
UEBA (User and Entity Behavior Analytics) — это система аналитики поведения пользователей и сущностей, которая помогает обнаруживать аномалии в поведении и предупреждать инциденты кибербезопасности.
Чем UEBA отличается от SIEM?
SIEM фокусируется на сборе и корреляции событий безопасности, тогда как UEBA анализирует поведение пользователей и устройств, выявляя отклонения от нормы, что позволяет обнаруживать скрытые угрозы.
Какие данные анализирует UEBA?
UEBA анализирует данные из различных источников, включая сетевые устройства, SIEM системы, прокси-серверы, базы данных и рабочие станции, что позволяет выявлять аномалии в поведении.
Какие угрозы может обнаружить UEBA?
UEBA помогает обнаружить такие угрозы, как компрометация учетных данных, инсайдерские атаки, мошенничество, а также сложные кибератаки, которые традиционные средства защиты могут не заметить.
Как UEBA использует машинное обучение?
Машинное обучение помогает UEBA адаптироваться к изменениям в поведении пользователей и устройств, создавая динамические модели поведения и снижая количество ложных срабатываний.
Сообщения блогов группы «Личные блоги» (www.securitylab.ru)