Системы поведенческой аналитики пользователей и сущностей (UEBA)

Cистемы анализа поведения пользователей и сущностей (User and Entity Behavior Analytics - UEBA) — решения, направленные на поиск и выявление аномалий в поведении пользователей и различных систем.

Класс решений поведенческого анализа появился в связи с тем, что для обеспечения информационной безопасности в компаниях внедряют множество различных систем сбора данных. При этом сотрудники не всегда способны просматривать все полученные сведения и вовремя реагировать на потенциальные инциденты. Составляя профили, системы UEBA повышают эффективность и обеспечивают своевременное реагирование на возможные утечки данных.

Системы UEBA крайне близки к решениям поведенческого анализа пользователей (UBA) и, по сути, являются их продолжением. Отличием этих систем друг от друга служит наличие в UEBA профилирования и анализа сущностей, под которыми понимаются приложения, системы хранения данных, сетевой трафик, устройства, серверы и данные. Помимо этого, системы UEBA позволяют решать проблемы не только внутренних утечек конфиденциальных данных, но и внешних целенаправленных на систему атак. В виду расширения объектов анализа, в системе создаются профили не только пользователей, но и различных сущностей, что позволяет своевременно реагировать на скомпрометированные активы и объекты инфраструктуры. Кроме того, системы UBA обычно реализованы в виде отдельных решений под определенные задачи. Они могут самостоятельно функционировать без интеграции с другими решениями, в то время как UEBA поставляются в рамках платформы и могут использовать данные других систем.

Наличие анализа поведения сущностей расширяет возможности системы и отражает тот факт, что сетевые устройства могут в равной мере использоваться в сетевой атаке, и составление модели их поведения может быть полезным при обнаружении активности атаки.

Задачи, которые решают системы анализа поведения пользователей и сущностей:

• Анализ больших массивов данных (может быть статистическая, расширенная, в режиме реального времени, либо запускаемая с определенной периодичностью).
• Идентификация и выявление целенаправленных атак, которые не могут быть найдены другими средствами, существующими на рынке информационной безопасности в настоящее время.
• Приоритизация событий, полученных из различных источников.
• Своевременная реакция на события и предоставление подробных сведений о пользователях и объектах, которые участвовали в аномальной активности.

 Основными технологиями, используемыми для решения задач поведенческого анализа, служат:

• Статистика;
• Соответствие паттернам поведения;
• Машинное обучение.

Все системы поведенческого анализа могут быть:

• По способам размещения — локальные, внедряемые внутри инфраструктуры предприятия, или построенные по принципу SaaS (Software-As-A-Service).
• По методам, которыми система получает исходные данные.
• По способам анализа, которые используются в работе систем UEBA (предиктивные математические модели, ретроспективный анализ полученных данных, использование систем хранения данных).
• По предназначению — разработанные для анализа поведения локальных инфраструктур или для работы в облаке и мониторинга виртуальных платформ и сервисов.

В последнее время наблюдается тенденция к интеграции систем поведенческого анализа с такими решениями, как SIEM, DLP, EDR с целью обеспечить администраторов безопасности не только точными данными о пользователях и инфраструктуре, но и предоставить анализ активности сотрудников и различных устройств.