Главная / Блог / Сравнительный обзор современных UEBA-систем

Сравнительный обзор современных UEBA-систем

 07.04.2021      505

UEBA-системы

Содержание:

Системы UEBA (или UBA-системы) представляют собой инновационные программные комплексы, которые сейчас активно внедряются в крупных компаниях по всему миру. Их задача – на основании поведенческих паттернов, типичных для конкретной среды, выявлять аномальное поведение пользователя и IT-сущностей (сервера, рабочие станции и тд.).

Поведенческий анализ пользователя позволяет оперативно обнаруживать угрозы безопасности и тенденции снижения продуктивности сотрудников компании. На основании такого анализа UEBA-система самостоятельно принимает решение или отправляет отчет руководителю. Ниже мы подробно рассмотрим механизмы работы таких решений.

UEBA – что это?

Аббревиатура UEBA английская по происхождению – за ней скрыто значение User and Entity Behavioral Analytics, в переводе – Пользовательская и Объектная Поведенческая Аналитика. Помимо UEBA-систем существуют и UBA-системы. Из этой аббревиатуры убрано слово «Entity», следовательно, решение разработано, чтобы оценивать конкретно поведение пользователя, оно не затрагивает работу IT-систем. Но механизмы оценки и базовые принципы в обоих случаях аналогичные.

UEBA/UBA – это системы обнаружения аномального поведения активных пользователей. Они анализируют массивы данных, свободно получаемые из внутренней сети предприятия, делают выводы на основании алгоритмов машинного обучения и статистической оценки. Если результат по конкретному пользователю/объекту отклоняется от заданного/типичного, его активность признают за аномальную.

В дальнейшем софт действует по предустановкам, например – помещает сервер на карантин, блокирует пользователю доступ в Интернет или отправляет оповещение его непосредственному руководителю.

Основные принципы работы UEBA-систем

Системы обнаружения аномального поведения используют журналы сетевых/серверных компонентов, информацию из баз данных охранных сетей, локальных БД отделов и конкретных ПК. Также в распоряжении таких систем находятся сведения по аутентификации, переписка в корпоративных мессенджерах, по электронной почте, с использованием иных коммуникативных каналов, включая социальные сети.

Базовые принципы UEBA

Таким образом, для программы просто нет элементов сетевой инфраструктуры компании, к которым она не имеет доступа. Безопасность UEBA/UBA обеспечивается специальными протоколами, непреодолимыми для хакеров и инсайдеров. Суммирующие результаты оценки безопасности доступны только руководителю и тем специалистам, кому он делегировал соответствующие полномочия. User and Entity Behavioral Analytics – это без преувеличения уникальный метод защиты от инсайдерских сливов и киберопасностей.

Какие задачи решает данный класс систем

Понимая, как работает технология UBA/UEBA, нетрудно понять, для каких целей можно использовать полученные данные. Эти технологии внедряются и функционируют на предприятиях с двумя целями:

  1. Обеспечение информационной безопасности корпоративных данных. С этой точки зрения искомые программы представляют собой более комплексный и универсальный вариант SIEM (Security information and event management) и DLP (Data Loss Prevention). SIEM создавались для исключения ситуаций с инсайдерскими сливами, они тоже отслеживают потоки данных (входящие, исходящие, внутренние) и реагируют на аномальные изменения в поведенческой аналитике.
  2. Обеспечение контроля поведения специалистов. Например, UBA/UEBA-системы сразу узнают, если конкретный работник открыл запрещенный сайт, запустил приложение, которое не нужно ему для работы, авторизовался в той части Сети, к которой не имеет доступа, или совершил иное несанкционированное действие. Система точно знает, о чем и с кем общается сотрудник в мессенджерах и социальных сетях, если речь идет о рабочем времени.

То есть, помимо обеспечения безопасности корпоративных данных, программы типа UBA можно использовать для тотального контроля персонала. Специализированные DLP или SIEM-решения не предназначены для таких задач. Для них угроза – это внезапный выход пользователя в облачный сервис или перенос данных с рабочего ПК на съемный носитель. Но сниженный KPI или регулярное общение в Telegram по внерабочим темам – не позиционируются ими как угроза, такие действия вообще не отлеживаются.

Обзор программных решений по сегменту

В данном обзоре рассмотрим популярные решения систем поведенческого анализа пользователей, позволяющие решать широкий спектр задач по информационной безопасности.

ObservIt UEBA

система observeit

Год разработки: 2016
Специализация: кибербезопасность
Особенности: легковесные клиентские агенты
Бесплатная версия: есть, с ограниченным функционалом

В отличие от большинства UBA/UEBA-систем, это израильское решение для сбора поведенческой аналитики имеет наивысшую степень интегративности. Например, если у вас уже есть ПО типа DLP или программа для анализа поведения пользователя, вы можете применять ObservIt без риска для стабильности имеющейся инфраструктуры. К плюсам решения относят высокую скорость работы и глубокую настройку. Лицензируется по числу рабочих станций, на которые установлен клиентский агент.

ObservIt в режиме реального времени анализирует данные, которые проходят через все внутренние и внешние информационные каналы предприятия. Если происходит обнаружение данных, значения которых отклоняются от признаваемых типовыми, они определяются как угроза. Согласно предустановкам система проводит аудит на соответствие деятельности штатных сотрудников требованиям регуляторов. Перманентно генерируются отчеты, в том числе предоставляющие данные скомпрометированных учетных записей.

Microsoft Advanced Threat Analytics (ATA)

система microsoft advanced threat analytics

Год разработки: 2015
Специализация: кибербезопасность
Особенности: адаптивная антихакерская защита
Бесплатная версия: есть, с ограниченным функционалом

Как и многие UBA/UEBA-системы, Microsoft Advanced Threat Analytics ориентирована на защиту от инсайдерских сливов, плюс мощная защита от внешних воздействий, которые могут быть классифицированы как хакерская угроза. По архитектуре и функциям ATA сильно отличается от ObservIt, но и первое и второе решение совершенно не подходит для контроля персонала. Они ближе к классическим технологиям предотвращения утечек корпоративных данных.

ATA отлично выявляет факты кражи учетных записей и злоупотребления полномочиями для привилегированных записей. Также эта системы обнаружения несанкционированного аномального поведения оперативно фиксирует неидентифицируемые угрозы и пресекает их горизонтальное распространение по внутренней сети компании. Подобные UBA/UEBA-системы всегда эффективны, но они не дают подробного контроля за деятельностью сотрудников в контексте их продуктивности.

Forcepoint UEBA

Система forcepoint

Год разработки: 2017
Специализация: корпоративный шпионаж
Особенностии: высокий уровень автоматизации
Бесплатная версия: есть, на индивидуальных условиях

Эта UEBA-система широко известна своей динамической защитой (Dynamic User Protection или DUP), которая не имеет аналогов с точки зрения архитектуры. Благодаря глубокому сканированию пользовательской активности во внутренней сети предприятия, программа без труда определяет паттерны поведения каждого конкретного сотрудника. Плюс мощная система отслеживания коммуникационных каналов.
Программа считается топовой с точки зрения скорости работы – обнаружение угроз, блокирование их деятельности и оповещение руководства реализуется в минимальные сроки. Контекстно-зависимый подход к мониторингу и изменяемые индикаторы поведения делают решение оптимальным в своем классе. Однако у него нет никакого функционала по контролю продуктивности, оно не предоставляет подробной статистики по действиям специалистов в конкретных приложениях.

Securonix UEBA

Система securonix

Год разработки: 2020
Специализация: пользовательская безопасность
Особенности: обнаружение сложных угроз
Бесплатная версия: есть, на индивидуальных условиях

Компания Securonix предлагает ряд цифровых продуктов, среди которых UEBA-система занимает особое место. Она основана на классических системах обнаружения опасности по сигнатурам, но дополнена контекстным анализом IT-сущностей и расширенной аналитикой с машинным обучением. За счет этого решение потенциально позволяет выявлять все типы угроз.

Софт специализируется на выявлении инсайдерских сливов, защите от кибератак и утечки корпоративных данных. Он дает глубокую аналитику по поведению каждого пользователя в Сети и мгновенно фиксирует любые факты, способные привести к компрометированию аккаунтов. Но этот продукт также не позволяет контролировать эффективность деятельности специалистов.

Splunk UEBA

система splunk

Год разработки: 2005
Специализация: пользовательская аналитика
Особенности: простота интерфейса и настроек
Бесплатная версия: есть, с ограниченным функционалом

Особенность UEBA-системы Splunk заключается в комплексной поведенческой аналитике корпоративных пользователей на основании предустановок, а также интеграций с уже имеющимися аналитическими продуктами и системами кибербезопасности. Софт легко внедряется и быстро адаптируется, формирует поведенческие модели и выявляет нетипичные действия. Однако у него есть одна особенность – проще всего интеграция проходит с продуктами Splunk, с решениями других производителей использовать систему может быть проблематично.

Помимо защиты интеллектуальной собственности компании, решение выявляет и пресекает внешние угрозы. Оно эффективно против распространения вирусов и хакерских атак. Потенциально скомпрометированные данные или аккаунты сразу изолируются, либо выбирается действие по предустановке. Из всех представленных в этом обзоре UEBA-систем Splunk обладает наиболее простой и интуитивно понятной системой настройки и управления.

Альтернативные решения для поведенческого анализа пользователей и контроля деятельности сотрудников

Система учета рабочего времени

Для обеспечения информационной безопасности корпоративных данных предприятия и оценки результативности активных пользователей можно применять не только UEBA-системы. Удобная альтернатива – система учета и контроля рабочего времени. Это не UEBA-системы в их традиционном смысле, здесь анализ пользователей и обнаружение действий, классифицируемых как угроза, реализованы иным образом.
Чтобы понять, как работают такие программы, какие механизмы поведенческого анализа пользователей здесь задействуются и в чём их кардинальное отличие от вышерассмотренных систем, изучим базовый функционал на примере Bitcop:

  • программа ведет учет отработанного времени;
  • в графиках дает структуру и хронометраж дня;
  • блокирует несанкционированные приложения и сайты;
  • детализирует действия сотрудников (отсылает отчеты руководству);
  • делает скриншоты экрана, предоставляет оперативные сводки;
  • есть функция кейлоггера и мониторинг поисковых запросов;
  • доступен трекинг задач и мониторинг терминальных серверов;
  • встроенные элементы DLP-систем, невидимый режим работы;
  • синхронизация с Active Directory, поддержка API и другие возможности.

По статистике, использование специализированных UEBA-систем для обеспечения корпоративной безопасности с поведенческим анализом штатных пользователей обосновано лишь в 20% случаев. Речь идет о крупнейших холдингах с десятками тысяч сотрудников. Для 80% предприятий с теми же целями целесообразнее применение решений типа BItcop.

Такие решения (в том числе через оценку поведения пользователей) нацелены на повышение продуктивности работы сотрудников, устранение слабых мест в бизнес-процессах, упрощение расчета заработной платы, санкционирования и премирования, отслеживания выполнения текущих задач. Они одинаково удобны для специалистов в штате и фрилансеров, дают отличную защиту от инсайдерских сливов. При этом они дешевле, проще с точки зрения внедрения и освоения.