Долгие годы отрасль информационной безопасности озабоченапресечением атак в момент их совершения и минимизацией последствий. Но современем все более очевидной становилась необходимость полной автоматизациипроцессов детектирования инцидентов безопасности и реагирования на них, особеннов последние года, когда стало размываться само понятие защищаемого периметра.Это способствовало развитию не только технологий IDS, IPS, SIEMи проч., но и таких, которые позволяли бы анализировать поведениепользователей, сетевого трафика и всех сущностей, имеющих отношение к сети. Первыеразработки в области поведенческого анализа в отрасли ИБ относятся к началу2000-х годов. Они применялись в системах предотвращения вторжений и WAF-решениях, но в связи споявлением новых типов систем и технологий сегодня эти же решения вновь сталиактуальными благодаря существенному продвижению в области технологий анализаданных. Речь идет о технологии UEBA.

В последнее время не только специалисты по информационнойбезопасности, но и бизнесмены, и айтишники серьезно озабочены участившимисяуспешными кибератаками и вирусными эпидемиями (пусть и не такимиширокомасштабными, как знаменитые Melissa или Chernobyl, которые, впрочем,распространялись еще до эпохи развитых антивирусов). Это во многом объясняетсяудешевлением средств нападения – они становятся более доступныминизкоквалифицированным злоумышленникам и при этом достаточно эффективными. Неменьшую проблему стали представлять и таргетированные атаки, в которыхпреступники применяют целый комплекс мероприятий для получения доступа кинформационным активам компании-жертвы: подброшенные флешки с вирусами,фишинговые письма с поддельными адресами коллег в поле «от кого», классическийсо времен Кевина Митника «развод» жертвы по телефону, подкуп инсайдеров, атакачерез взломанную сеть компании-партнера и т.д.

Это вынудило бизнес менять подходы к построениюинфраструктуры безопасности, дополняя имеющиеся технологии новыми и распространяязащиту не только на периметр и конечные устройства. Стали активнее внедрятьсясредства защиты отдельных сегментов сети внутри периметра, больше вниманияуделяется патч-менеджменту и управлению правами доступа, появились системы исервисы расследования инцидентов. При этом контроль поведения человека длямногих заказчиков остался нерешенной проблемой, о способах решения котороймногие даже не знают. «Можно защитить периметр самыми современными средствами,но остается проблема пользователей, причем не только рядовых, но и тех, ктообладает полным доступом ко всем данным компании, – директордепартамента защиты информационных систем RedSys Андрей Тархов. – Если во время вирусной эпидемии генеральныйдиректор приносит из дома зараженный ноутбук, с которого зловредыраспространяются на всю сеть, его подчиненные могут только постаратьсяликвидировать последствия, а не запретить ему пользоваться зараженным устройством.К сожалению, высокопоставленные менеджеры менее всего склонны следоватьправилам».

Точно так же не будут следовать правилам инсайдеры или простонеорганизованные сотрудники, действующие «на авось». Поэтому единственнымреальным способом защиты от их активности стали специализированные технологии исредства безопасности.

UEBA решает четыре основные задачи. Во-первых, она позволяетоптимизировать и ускорить расследование уже произошедших инцидентов за счеттого, что хранит контекстную информацию обо всех событиях, которые к нимпривели. Во-вторых, она может быстро выявить инцидент и, в ряде случаев, остановитьего развитие. И, в-третьих, UEBA дает возможностьприоритизировать оповещения о событиях от систем безопасности для лучшегоуправления ИБ. И, в-четвертых, UEBA устанавливает связи между людьми исущностями, выявляет аномалии в связах и событиях, а также – самое главное – прогнозируети предупреждает инциденты.

По статистике Cisco, которую приводит бизнес-консультант по ИБ корпорации вРоссии Алексей Лукацкий, до 70% инцидентовбезопасности в компаниях начинаются с пользователей. Поэтому уже давно возниклаидея поставить их деятельность под контроль.

Большинство ранее существовавших решений по защите опираетсяна жестко прописанные правила, не описывающие все многообразие вариантов. Вотличие от них, UEBA отслеживает аномалии, зачастую опираясь на возможности современной аналитики, ане на правила. Эта технология родилась в эпоху больших данных, и онапредназначена для работы с ними, когда разнообразие источников и типов данных,связей между ними, трафика и т.д. не может быть быстро и правильно оцененочеловеком даже на уровне создания правил для всех возможных вариантов. Иногдатаким образом удается вскрывать ситуации, когда злоумышленники действовалипротив интересов компании, прикрываясь легальными учетными записями.

На рынке UEBAпока работает не очень много вендоров, предлагающих соответствующие системы. Причем,по мнению Алексея Лукацкого, этот рынок через несколько лет не разовьется, а,вероятно, сойдет на нет: «Он и появился только потому, что такие решения, как SIEM, DLP, аналитика сетевого трафика,контроль привилегированных пользователей не справлялись с задачей на томуровне, который требовался индустрии. Поэтому появились отдельные продукты». Вчем же проблема, почему только что родившемуся рынку предсказывают скорыйконец?

Дело в том, что в мире существуют два подхода к решениюзадач поведенческого анализа. Первый – внедрение специализированных систем,когда заказчик готов платить очень большие деньги за продукты, реализующиефункционал UEBA. Приэтом, к сожалению, заранее нельзя сказать, насколько выбранные продукты реальноотвечают требованиям конкретной компании, особенно если говорить про российскихзаказчиков, у большинства из которых не решены даже базовые задачи защиты имониторинга внутренней сети, конечных устройств – все эти функции обычно возлагаютсяна классическую пару из антивируса и межсетевого экрана. Таким заказчикамсложно говорить о еще одном классе продуктов производства, например, ExoBeam, Securonix или других лидеров рынка – онине готовы к таким решениям, несмотря на то, что потребность мониторингапользователей у них существует.

Поэтому в мире все большую популярность набирает второенаправление – интеграция функциональных возможностей UEBA в существующие решения ИБ. Списокзадач UEBA (анализ,обнаружение, приоритезация и расследование) показывает, с какими существующимисистемами такая интеграция будет актуальной – это Security Information andEvent Monitoring (SIEM), Data Loss Prevention (DLP), Identity and AccessManagement (IAM), Employee Monitoring (EM), Endpoint Detection and Response(EDR), Network traffic analysis (NTA), Anti-Fraud Solutions и другие. Так,оснащение SIEM модулями UEBA предлагают Splunk, IBM QRadar. Дополнением технологией UEBA решенийдля мониторинга сетевого трафика занимаются StealthWatch и другие.

«Сегодня многие предпочитают интегрировать функциональность UEBA вдругие системы, – говорит АлексейЛукацкий. – Такой подход проще, дешевле, понятнее и, с учетом того, чтобольшинство компаний до сих пор не выстроило полноценную инфраструктурубезопасности, он позволяет установить одно решение для нескольких еще нерешенных задач. Впрочем, есть некоторые продвинутые заказчики, требующиеотдельную UEBA-систему,но основной их мотив заключается в том, что все основные ИБ-системы они ужевнедрили».

Возникает вопрос, что делать, когда система безопасности обнаружитподозрительную активность. Правильный подход с ее стороны – автоматическипредпринять меры, не дожидаясь, пока администратор среагирует на оповещение. Здесьпомогает то, что в ИБ-решениях все большую роль играет предиктивная аналитика,определяющая, что именно происходит, почему, к каким последствиям может привести,и что нужно предпринять. Это несомненный шаг вперед по сравнению с периодом,когда ИБ-решения использовали несложную аналитику наподобие технологий эвристическогоанализа кода в антивирусах. С этой точки зрения интеграция решений класса UEBA вкачестве модуля к «большим» системам однозначно выгодна благодаря отсутствиюнеобходимости проводить интеграцию.

UEBA-решения, анализируя поведение пользователей, попутнообрабатывают информацию, позволяющую и идентифицировать их, и привязать к ихпрофилям данные обо всех их действиях. С одной стороны, это вызывает дискомфорту пользователей. По словам Алексея Лукацкого, в Западной Европе вендорыстремятся всячески избегать слова UEBA в названиях и описаниях своих продуктов,поскольку население этого региона весьма чувствительно относится к защитесобственной privacy. С другой, такую чувствительную для пользователя информациюможно отнести к персональным данным, и это требует законодательного урегулированиявопросов сбора, хранения и обработки больших пользовательских данных, как этопроизошло в Европе.