Системы поведенческой аналитики пользователей и сущностей (UEBA)

Системы и платформы для анализа поведения пользователей и сущностей - User and Entity Behavior Analytics

Вопрос
Задать вопрос

Описание и назначение

Cистемы анализа поведения пользователей и сущностей (User and Entity Behavior Analytics - UEBA) — решения, направленные на поиск и выявление аномалий в поведении пользователей и различных систем.

Класс решений поведенческого анализа появился в связи с тем, что для обеспечения информационной безопасности в компаниях внедряют множество различных систем сбора данных. При этом сотрудники не всегда способны просматривать все полученные сведения и вовремя реагировать на потенциальные инциденты. Составляя профили, системы UEBA повышают эффективность и обеспечивают своевременное реагирование на возможные утечки данных.

Системы UEBA крайне близки к решениям поведенческого анализа пользователей (UBA) и, по сути, являются их продолжением. Отличием этих систем друг от друга служит наличие в UEBA профилирования и анализа сущностей, под которыми понимаются приложения, системы хранения данных, сетевой трафик, устройства, серверы и данные. Помимо этого, системы UEBA позволяют решать проблемы не только внутренних утечек конфиденциальных данных, но и внешних целенаправленных на систему атак. В виду расширения объектов анализа, в системе создаются профили не только пользователей, но и различных сущностей, что позволяет своевременно реагировать на скомпрометированные активы и объекты инфраструктуры. Кроме того, системы UBA обычно реализованы в виде отдельных решений под определенные задачи. Они могут самостоятельно функционировать без интеграции с другими решениями, в то время как UEBA поставляются в рамках платформы и могут использовать данные других систем.

Наличие анализа поведения сущностей расширяет возможности системы и отражает тот факт, что сетевые устройства могут в равной мере использоваться в сетевой атаке, и составление модели их поведения может быть полезным при обнаружении активности атаки.

Задачи, которые решают системы анализа поведения пользователей и сущностей:

  • Анализ больших массивов данных (может быть статистическая, расширенная, в режиме реального времени, либо запускаемая с определенной периодичностью).
  • Идентификация и выявление целенаправленных атак, которые не могут быть найдены другими средствами, существующими на рынке информационной безопасности в настоящее время.
  • Приоритизация событий, полученных из различных источников.
  • Своевременная реакция на события и предоставление подробных сведений о пользователях и объектах, которые участвовали в аномальной активности.

 Основными технологиями, используемыми для решения задач поведенческого анализа, служат:

  • Статистика;
  • Соответствие паттернам поведения;
  • Машинное обучение.

Все системы поведенческого анализа могут быть:

  • По способам размещения — локальные, внедряемые внутри инфраструктуры предприятия, или построенные по принципу SaaS (Software-As-A-Service).
  • По методам, которыми система получает исходные данные.
  • По способам анализа, которые используются в работе систем UEBA (предиктивные математические модели, ретроспективный анализ полученных данных, использование систем хранения данных).
  • По предназначению — разработанные для анализа поведения локальных инфраструктур или для работы в облаке и мониторинга виртуальных платформ и сервисов.

В последнее время наблюдается тенденция к интеграции систем поведенческого анализа с такими решениями, как SIEM, DLP, EDR с целью обеспечить администраторов безопасности не только точными данными о пользователях и инфраструктуре, но и предоставить анализ активности сотрудников и различных устройств.

Список средств защиты

ГК «Солар»
5
1 отзыв
Solar Dozor — высокопроизводительная DLP-система со встроенным UBA-модулем для контроля коммуникаций сотрудников и защиты от утечек конфиденциальной информации.
Forcepoint
0
0 отзывов
Главной угрозой информационной безопасности остается человеческий фактор. Forcepoint Insider Threat призвана защищать данные от широкого спектра угроз. 
Fortscale
0
0 отзывов
Fortscale Presidio позволяет провайдерам безопасности быстро и легко интегрировать расширенные модели поведенческой аналитики в свои собственные платформы безопасности.
Gurucul
0
0 отзывов
Традиционные решения по обеспечению информационной безопасности в современных условиях не эффективны. Решение Gurucul Threat Analytics анализирует поведение пользователей и позволяет оперативно принимать решение на основе полученных данных.
Haystax
0
0 отзывов
Инсайдерские угрозы представляют серьезную проблему для компаний. Haystax Insider Threat собирает информацию о поведении пользователей и анализирует их. На основе данных ИБ сотрудники принимают решение о степени угрозы.
HPE
0
0 отзывов
Niara автоматически выявляет атаки и подозрительное поведение в организации, позволяя специалистам по безопасности тратить меньше времени и ресурсов на изучение инцидентов и реагирование на них.
Interset
0
0 отзывов
Interset используется для сбора данных о работе пользователей, анализе этих данных и возможности принимать решения сотрудниками отдела информационной безопасности.
Splunk
0
0 отзывов
Splunk User Behavior Analytics помогает компаниям обнаруживать инсайдерские угрозы, для этого используется машинное обучение. Достоинством решения является его автономность, от администраторов требуется минимальное участие.
Palo Alto Networks
0
0 отзывов
PA LightCyber Magna - платформа обнаружения атак на базе поведенческого анализа, таргетированные атаки могут обойти старые средства предотвращения вторжений, а затем использовать неконтролируемый доступ к сетевым ресурсам.
Microsoft
0
0 отзывов
Microsoft Advanced Threat Analytics позволяет оценить ситуацию в реальном времени в наглядном представлении временной шкалы атак, а встроенные функции для обучения выявлять подозрительное поведение пользователей и устройств.