UEBA
UEBA (User and Entity Behavior Analytics — аналитика поведения пользователей и сущностей) — это класс систем и методов информационной безопасности, предназначенных для выявления аномалий в поведении пользователей, устройств, приложений и других цифровых сущностей (entity) в компьютерных сетях. В отличие от традиционных систем обнаружения вторжений (IDS/IPS), которые ищут сигнатуры известных атак, UEBA использует машинное обучение и статистические модели для построения «нормального» профиля активности и последующего обнаружения отклонений от него, что позволяет выявлять как внешние кибератаки, так и внутренние угрозы (инсайдеров).
История
Концепция поведенческой аналитики в сфере ИБ начала формироваться в начале 2010-х годов. Первоначально основное внимание уделялось анализу поведения пользователей (User Behavior Analytics, UBA) для выявления скомпрометированных учётных записей и инсайдерских угроз. В 2014—2015 годах термин расширился до UEBA, включив в область анализа не только людей, но и «сущности» — серверы, сетевые устройства, приложения, IoT-устройства, а также их взаимодействие.
Ключевым фактором развития UEBA стало распространение больших данных (Big Data) и доступность вычислительных мощностей для обработки огромных массивов логов и событий в реальном времени. Крупные вендоры в области ИБ (Splunk, Microsoft, IBM, Securonix, Exabeam) начали интегрировать UEBA-модули в свои платформы управления информацией и событиями безопасности (SIEM). К 2020-м годам UEBA стала стандартным компонентом современных систем класса SIEM и XDR (Extended Detection and Response).
Архитектура и принципы работы
Система UEBA состоит из нескольких взаимосвязанных модулей, работающих в конвейере обработки данных.
Сбор данных
UEBA собирает данные из множества источников:
- Логи аутентификации (Active Directory, LDAP, VPN, RADIUS).
- Сетевой трафик (NetFlow, IPFIX, данные с прокси-серверов и брандмауэров).
- Логи операционных систем (Windows Event Log, syslog).
- Логи приложений (базы данных, веб-серверы, почтовые серверы).
- Данные DLP (системы предотвращения утечек).
- Данные о физическом доступе (системы контроля доступа, СКУД).
Построение профиля (базовой линии)
На основе собранных данных для каждого пользователя и каждой сущности строится многомерный профиль «нормального» поведения. В профиль включаются такие параметры, как:
- Время входа в систему и выхода.
- Геолокация и IP-адреса.
- Объём передаваемых данных.
- Список используемых приложений и сервисов.
- Частота и время выполнения операций (например, скачивание файлов, изменение прав доступа).
- Типичные маршруты перемещения по сети (для сущностей).
Профиль динамически обновляется, адаптируясь к изменениям в рабочем процессе.
Обнаружение аномалий
Система непрерывно сравнивает текущую активность с построенным профилем. Для выявления отклонений используются различные методы машинного обучения:
- Статистические методы: вычисление среднего, медианы, стандартного отклонения, выявление выбросов.
- Кластеризация: группировка похожих сущностей и выявление сущностей, поведение которых отличается от их кластера.
- Обучение без учителя: алгоритмы (например, Isolation Forest, Autoencoders) для обнаружения неизвестных ранее аномалий.
- Обучение с учителем: классификация событий на «нормальные» и «аномальные» на основе размеченных данных (например, известных инцидентов).
Оценка риска и приоритизация
Каждой аномалии присваивается числовой показатель риска (score), который складывается из нескольких факторов:
- Степень отклонения от нормы.
- Критичность затронутой сущности (например, администратор домена vs. рядовой сотрудник).
- Время суток и день недели.
- Наличие других аномалий, связанных с той же сущностью (корреляция).
События с высоким показателем риска формируют инциденты, которые направляются аналитику SOC (Security Operations Center) для расследования.
Классификация и типы
По решаемым задачам UEBA-системы можно разделить на несколько категорий:
По типу анализируемых сущностей
- UBA (User Behavior Analytics) — фокус исключительно на поведении пользователей.
- EBA (Entity Behavior Analytics) — фокус на поведении не-человеческих сущностей (серверы, приложения, устройства).
- UEBA — объединённый подход, анализирующий и пользователей, и сущности.
По способу развёртывания
- Локальное (on-premise) — система устанавливается в инфраструктуре организации.
- Облачное (SaaS) — система предоставляется как сервис, данные передаются в облако вендора.
- Гибридное — часть компонентов локально, часть в облаке.
По интеграции
- Автономные UEBA — самостоятельные продукты, не требующие SIEM.
- Встроенные UEBA — модули внутри платформ SIEM или XDR (например, Splunk User Behavior Analytics, Microsoft Defender for Identity).
Применение
UEBA находит применение в различных областях кибербезопасности и управления рисками.
Выявление внутренних угроз (Insider Threats)
Система обнаруживает действия сотрудников, которые могут нанести ущерб организации: кража данных (например, массовое скачивание файлов перед увольнением), шпионаж, саботаж, нарушение политик безопасности (например, доступ к конфиденциальным данным в нерабочее время).
Обнаружение скомпрометированных учётных записей
Если злоумышленник получает доступ к учётной записи легитимного пользователя, его поведение (например, вход с необычного IP-адреса, в необычное время, выполнение нехарактерных действий) будет отличаться от профиля, что вызовет срабатывание UEBA.
Выявление атак на цепочку поставок
Анализ активности сторонних подрядчиков и партнёров, имеющих доступ к сети организации, позволяет выявить аномалии, связанные с компрометацией их учётных записей.
Расследование инцидентов
UEBA предоставляет аналитикам SOC контекстную информацию о поведении сущностей до, во время и после инцидента, что ускоряет расследование и помогает понять масштаб атаки.
Соответствие требованиям регуляторов
UEBA может использоваться для демонстрации контроля за доступом к конфиденциальным данным (например, в рамках PCI DSS, GDPR, 152-ФЗ «О персональных данных»).
Ограничения и критика
Несмотря на эффективность, UEBA имеет ряд ограничений:
- Ложные срабатывания: Построение точного профиля требует большого количества данных и времени. В начале работы системы возможны частые ложные срабатывания, которые перегружают аналитиков.
- Сложность настройки: Для корректной работы необходимо правильно определить, какие данные собирать, какие алгоритмы использовать и как интерпретировать результаты.
- Зависимость от качества данных: UEBA бессильна, если данные, поступающие на вход, неполны, зашумлены или искажены.
- Неспособность выявить все типы атак: Некоторые атаки, особенно те, которые маскируются под нормальное поведение (например, медленная кража данных), могут остаться незамеченными.
- Приватность и этика: Сбор и анализ поведения пользователей поднимает вопросы конфиденциальности и может противоречить законодательству о защите персональных данных, если не настроен должным образом.
Примеры коммерческих и открытых решений
На рынке представлено множество решений UEBA. Среди наиболее известных:
- Splunk User Behavior Analytics (UBA) — модуль для платформы Splunk.
- Microsoft Defender for Identity — облачный UEBA-продукт, интегрированный с Azure Active Directory.
- IBM QRadar User Behavior Analytics — модуль для SIEM QRadar.
- Securonix — автономная платформа UEBA.
- Exabeam — платформа, объединяющая UEBA и SIEM.
- Varonis — решение, фокусирующееся на анализе поведения пользователей в файловых системах.
- Wazuh — открытая платформа SIEM и XDR, включающая модули поведенческой аналитики.
Источники
- Gartner, «Market Guide for User and Entity Behavior Analytics», 2020.
- NIST Special Publication 800-53, «Security and Privacy Controls for Information Systems and Organizations».
- MITRE ATT&CK Framework, тактика «Initial Access» и «Persistence».
- Книга: «The Practice of Network Security Monitoring: Understanding Incident Detection and Response» by Richard Bejtlich.
- Документация Splunk UBA, Microsoft Defender for Identity, Exabeam.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →