Средства поведенческой аналитики (UEBA)
Хакеры часто выдают себя за легальных пользователей: либо перехватывают учетные данные, либо заставляют программы легальных пользователей выполнять опасные команды от их имени. Для системы пассивного контроля такие действия являются вполне легальными, поскольку они не всегда могут оценить опасность действий пользователей. Именно поэтому появился целый набор специализированных систем, которые решают прикладные задачи по изучению подозрительной активности пользователей, выявлению инсайдерских действий, обнаружению скомпрометированных учетных записей, некорректно работающих сервисов и проведения расследований.
В частности, решения UEBA могут решать следующие задачи:
Собирая данные как из SIEM, так и непосредственно с источников событий, UEBA строит модели поведения как по пользователям, так и по группам, членами которых являются пользователи. Кроме этого, система строит модель поведения узла сети – это могут быть как рабочие станции пользователей, так и, например, серверы. Очевидно, что чем больше подать на вход информации об активности пользователей и узлов, тем детальнее будет картина – например, кроме событий входа и выхода, имеет смысл собирать следующие типы событий: события веб-доступа, отправки почтовых сообщений, доступа к периферийным портам ввода-вывода, создания процессов на узлах, управления учетными записями, файлового доступа, событий с антивируса и т. д.
В результате работы такой системы можно получить хронологию деятельности пользователя или узла, на котором выделяются наиболее подозрительные моменты его деятельности. Построенная хронология является удобным инструментом для изучения активности пользователей и узлов и расследования инцидентов с возможностью обнаружения взаимосвязей с другими пользователями и узлами на предприятии. При помощи подобных графиков служба безопасности может составить максимально подробное представление о процессах, происходящих в информационных системах компании.
Анализ поведения пользователей и сервисов UEBA может стать важным элементом системы корпоративной информационной защиты предприятия, который необходимо правильно использовать для выявления хакерской и инсайдерской активности, скомпрометированных и посторонних учетных записей, контроля соблюдения политик безопасности, принятых на предприятии, для расследования инцидентов и совершенствования всей системы информационной безопасности в целом.
В частности, решения UEBA могут решать следующие задачи:
- Изучение подозрительной активности сервисных, редко используемых и вовремя незаблокированных аккаунтов. К этому же классу задач можно отнести и выявление учетных записей, созданных самими хакерами для закрепления в системе, или же совместно используемых учетных записей. Выявление аномалий в активности подобных аккаунтов является поводом для дальнейшего расследования, поскольку опасные действия от их имени очень часто являются результатами взломов.
- Выявление инсайдеров и скомпрометированных аккаунтов. Если учетная запись используется часто, но иногда ее владелец совершает опасные аномальные действия, то для этого может быть две причины: он является инсайдером и в определенные моменты осознанно выполняет вредоносные действия, или же его учетные данные были украдены хакерами. UEBA позволяет разделить эти ситуации и принять адекватные меры защиты – локализовать инсайдера или просто заменить данные скомпрометированного аккаунта.
- Захват привилегированных пользователей. К этому классу можно отнести наиболее сложный для расследования случай заражения вредоносной программой привилегированного компьютера, например, рабочего места системного администратора. Компрометация таких аккаунтов чрезвычайно опасна.
- Расследование инцидентов. Этот класс задач связан с той неприятной ситуацией, когда обнаружен взлом или утечка данных. В этом случае необходимо быстро определить учетные записи, которые получали доступ к скомпрометированным ресурсам, и провести изучение возможных путей проникновения злоумышленников в систему и вывода из нее ценной информации.
Собирая данные как из SIEM, так и непосредственно с источников событий, UEBA строит модели поведения как по пользователям, так и по группам, членами которых являются пользователи. Кроме этого, система строит модель поведения узла сети – это могут быть как рабочие станции пользователей, так и, например, серверы. Очевидно, что чем больше подать на вход информации об активности пользователей и узлов, тем детальнее будет картина – например, кроме событий входа и выхода, имеет смысл собирать следующие типы событий: события веб-доступа, отправки почтовых сообщений, доступа к периферийным портам ввода-вывода, создания процессов на узлах, управления учетными записями, файлового доступа, событий с антивируса и т. д.
В результате работы такой системы можно получить хронологию деятельности пользователя или узла, на котором выделяются наиболее подозрительные моменты его деятельности. Построенная хронология является удобным инструментом для изучения активности пользователей и узлов и расследования инцидентов с возможностью обнаружения взаимосвязей с другими пользователями и узлами на предприятии. При помощи подобных графиков служба безопасности может составить максимально подробное представление о процессах, происходящих в информационных системах компании.
Анализ поведения пользователей и сервисов UEBA может стать важным элементом системы корпоративной информационной защиты предприятия, который необходимо правильно использовать для выявления хакерской и инсайдерской активности, скомпрометированных и посторонних учетных записей, контроля соблюдения политик безопасности, принятых на предприятии, для расследования инцидентов и совершенствования всей системы информационной безопасности в целом.