Открыть сервис

UEBA

UEBA (User and Entity Behavior Analytics — аналитика поведения пользователей и сущностей) — это класс систем и методов информационной безопасности, предназначенных для выявления аномалий в поведении пользователей, устройств, приложений и других цифровых сущностей (entity) в компьютерных сетях. В отличие от традиционных систем обнаружения вторжений (IDS/IPS), которые ищут сигнатуры известных атак, UEBA использует машинное обучение и статистические модели для построения «нормального» профиля активности и последующего обнаружения отклонений от него, что позволяет выявлять как внешние кибератаки, так и внутренние угрозы (инсайдеров).

История

Концепция поведенческой аналитики в сфере ИБ начала формироваться в начале 2010-х годов. Первоначально основное внимание уделялось анализу поведения пользователей (User Behavior Analytics, UBA) для выявления скомпрометированных учётных записей и инсайдерских угроз. В 2014—2015 годах термин расширился до UEBA, включив в область анализа не только людей, но и «сущности» — серверы, сетевые устройства, приложения, IoT-устройства, а также их взаимодействие.

Ключевым фактором развития UEBA стало распространение больших данных (Big Data) и доступность вычислительных мощностей для обработки огромных массивов логов и событий в реальном времени. Крупные вендоры в области ИБ (Splunk, Microsoft, IBM, Securonix, Exabeam) начали интегрировать UEBA-модули в свои платформы управления информацией и событиями безопасности (SIEM). К 2020-м годам UEBA стала стандартным компонентом современных систем класса SIEM и XDR (Extended Detection and Response).

Архитектура и принципы работы

Система UEBA состоит из нескольких взаимосвязанных модулей, работающих в конвейере обработки данных.

Сбор данных

UEBA собирает данные из множества источников:

  • Логи аутентификации (Active Directory, LDAP, VPN, RADIUS).
  • Сетевой трафик (NetFlow, IPFIX, данные с прокси-серверов и брандмауэров).
  • Логи операционных систем (Windows Event Log, syslog).
  • Логи приложений (базы данных, веб-серверы, почтовые серверы).
  • Данные DLP (системы предотвращения утечек).
  • Данные о физическом доступе (системы контроля доступа, СКУД).

Построение профиля (базовой линии)

На основе собранных данных для каждого пользователя и каждой сущности строится многомерный профиль «нормального» поведения. В профиль включаются такие параметры, как:

  • Время входа в систему и выхода.
  • Геолокация и IP-адреса.
  • Объём передаваемых данных.
  • Список используемых приложений и сервисов.
  • Частота и время выполнения операций (например, скачивание файлов, изменение прав доступа).
  • Типичные маршруты перемещения по сети (для сущностей).

Профиль динамически обновляется, адаптируясь к изменениям в рабочем процессе.

Обнаружение аномалий

Система непрерывно сравнивает текущую активность с построенным профилем. Для выявления отклонений используются различные методы машинного обучения:

  • Статистические методы: вычисление среднего, медианы, стандартного отклонения, выявление выбросов.
  • Кластеризация: группировка похожих сущностей и выявление сущностей, поведение которых отличается от их кластера.
  • Обучение без учителя: алгоритмы (например, Isolation Forest, Autoencoders) для обнаружения неизвестных ранее аномалий.
  • Обучение с учителем: классификация событий на «нормальные» и «аномальные» на основе размеченных данных (например, известных инцидентов).

Оценка риска и приоритизация

Каждой аномалии присваивается числовой показатель риска (score), который складывается из нескольких факторов:

  • Степень отклонения от нормы.
  • Критичность затронутой сущности (например, администратор домена vs. рядовой сотрудник).
  • Время суток и день недели.
  • Наличие других аномалий, связанных с той же сущностью (корреляция).

События с высоким показателем риска формируют инциденты, которые направляются аналитику SOC (Security Operations Center) для расследования.

Классификация и типы

По решаемым задачам UEBA-системы можно разделить на несколько категорий:

По типу анализируемых сущностей

  • UBA (User Behavior Analytics) — фокус исключительно на поведении пользователей.
  • EBA (Entity Behavior Analytics) — фокус на поведении не-человеческих сущностей (серверы, приложения, устройства).
  • UEBA — объединённый подход, анализирующий и пользователей, и сущности.

По способу развёртывания

  • Локальное (on-premise) — система устанавливается в инфраструктуре организации.
  • Облачное (SaaS) — система предоставляется как сервис, данные передаются в облако вендора.
  • Гибридное — часть компонентов локально, часть в облаке.

По интеграции

  • Автономные UEBA — самостоятельные продукты, не требующие SIEM.
  • Встроенные UEBA — модули внутри платформ SIEM или XDR (например, Splunk User Behavior Analytics, Microsoft Defender for Identity).

Применение

UEBA находит применение в различных областях кибербезопасности и управления рисками.

Выявление внутренних угроз (Insider Threats)

Система обнаруживает действия сотрудников, которые могут нанести ущерб организации: кража данных (например, массовое скачивание файлов перед увольнением), шпионаж, саботаж, нарушение политик безопасности (например, доступ к конфиденциальным данным в нерабочее время).

Обнаружение скомпрометированных учётных записей

Если злоумышленник получает доступ к учётной записи легитимного пользователя, его поведение (например, вход с необычного IP-адреса, в необычное время, выполнение нехарактерных действий) будет отличаться от профиля, что вызовет срабатывание UEBA.

Выявление атак на цепочку поставок

Анализ активности сторонних подрядчиков и партнёров, имеющих доступ к сети организации, позволяет выявить аномалии, связанные с компрометацией их учётных записей.

Расследование инцидентов

UEBA предоставляет аналитикам SOC контекстную информацию о поведении сущностей до, во время и после инцидента, что ускоряет расследование и помогает понять масштаб атаки.

Соответствие требованиям регуляторов

UEBA может использоваться для демонстрации контроля за доступом к конфиденциальным данным (например, в рамках PCI DSS, GDPR, 152-ФЗ «О персональных данных»).

Ограничения и критика

Несмотря на эффективность, UEBA имеет ряд ограничений:

  • Ложные срабатывания: Построение точного профиля требует большого количества данных и времени. В начале работы системы возможны частые ложные срабатывания, которые перегружают аналитиков.
  • Сложность настройки: Для корректной работы необходимо правильно определить, какие данные собирать, какие алгоритмы использовать и как интерпретировать результаты.
  • Зависимость от качества данных: UEBA бессильна, если данные, поступающие на вход, неполны, зашумлены или искажены.
  • Неспособность выявить все типы атак: Некоторые атаки, особенно те, которые маскируются под нормальное поведение (например, медленная кража данных), могут остаться незамеченными.
  • Приватность и этика: Сбор и анализ поведения пользователей поднимает вопросы конфиденциальности и может противоречить законодательству о защите персональных данных, если не настроен должным образом.

Примеры коммерческих и открытых решений

На рынке представлено множество решений UEBA. Среди наиболее известных:

  • Splunk User Behavior Analytics (UBA) — модуль для платформы Splunk.
  • Microsoft Defender for Identity — облачный UEBA-продукт, интегрированный с Azure Active Directory.
  • IBM QRadar User Behavior Analytics — модуль для SIEM QRadar.
  • Securonix — автономная платформа UEBA.
  • Exabeam — платформа, объединяющая UEBA и SIEM.
  • Varonis — решение, фокусирующееся на анализе поведения пользователей в файловых системах.
  • Wazuh — открытая платформа SIEM и XDR, включающая модули поведенческой аналитики.

Источники

  • Gartner, «Market Guide for User and Entity Behavior Analytics», 2020.
  • NIST Special Publication 800-53, «Security and Privacy Controls for Information Systems and Organizations».
  • MITRE ATT&CK Framework, тактика «Initial Access» и «Persistence».
  • Книга: «The Practice of Network Security Monitoring: Understanding Incident Detection and Response» by Richard Bejtlich.
  • Документация Splunk UBA, Microsoft Defender for Identity, Exabeam.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →