2019/10/09 12:48:03

Как системы безопасности анализируют поведение пользователей: «подводные камни» и специфика решений UBA

Что представляют собой решения класса UBA, каковы основные направления их использования и какие продукты представлены на рынке? Отвечаем на эти вопросы в материале, подготовленном независимыми экспертами для TAdviser.

Содержание

О чём пойдёт речь?

Относительно недавно на зарубежном и совсем недавно на отечественном рынке информационных систем обеспечения безопасности появился новый класс решений. Основной упор эти решения делают на анализ поведения, что следует из их названий.

К единому наименованию решений по анализу поведения поставщики и рыночные аналитики пока не пришли. Компания Gartner использует аббревиатуру UEBA – User and Entity Behavior Analytics. Подобным образом называют свои решения вендоры Securonix, Gurucul, Fortscale, Forcepoint. Консультанты из IDC и производители программного обеспечения из DNIF, Splunk, IBM, HP ArcSight (HPE/MicroFocus) используют сокращение UBA – User Behavior Analytics.

Тенденции в сфере безопасности сводятся к тому, что внимание фокусируется на человеке и его поведении
Тенденции в сфере безопасности сводятся к тому, что внимание фокусируется на человеке и его поведении

Другие игроки рынка пытаются заострить внимание не только на объектах анализа, соответственно, на пользователях (User) или сущностях (Entity), но и на целях. Так консультанты из Forrester называют класс решений по поведенческому анализу SUBA (Security User Behavior Analytics), фокусируясь на обеспечении безопасности. Exabeam и Microsoft используют такие термины, как Advanced Analytics или Advanced Threat Analytics. Некоторые вендоры идут ещё дальше и придумывают собственные, порой, весьма образные названия для своих решений. Например, Enterprise Immune System от Darktrace или Risk Fabric от Bay Dynamics.

Отечественные производители решений класса UEBA/UBA/SUBA либо не особо мудрствуют, либо используют смешанный подход. У Zecurion это называется системой UBA в составе DLP, у InfoWatch – модулем Prediction класса UEBA, у SearchInform – центром профилирования или ProfileCenter.

В настоящее время тенденции в сфере безопасности сводятся к тому, что внимание фокусируется на человеке и его поведении, так как всё-таки именно человек является основным источником рисков, угроз, нарушений и инцидентов. Концепция Human Centric Security, то есть безопасность, в центре внимания которой находятся люди, активно применяется и имеет массу последователей. Именно поэтому логичнее было бы использовать аббревиатуру UBA (что и будет сделано в данной статье).

Однако и о слове Entity в названии решений поведенческого анализа не стоит забывать. Ведь за буквой E порой скрываются не менее опасные источники угроз, чем пользователи. Это серверы, коммутаторы, рабочие станции, приложения, системы хранения данных, хосты, сетевой трафик. За определенными странностями и отклонениями в их работе могут скрываться и атаки на ИТ-инфраструктуру, и активные действия злоумышленников.

Что же такое класс решений UBA?

В своих публикациях Gartner продвигает общепринятое понимание базовых функций UBA-решений. К ним относятся: мониторинг и анализ поведения, детектирование поведенческих отклонений и расстановка для них приоритетов, которая, в свою очередь, должна обеспечивать оперативное реагирование на наиболее серьезные и массовые поведенческие изменения. Со временем базовое понимание функциональности решений UBA было расширено.

Первое, что должно делать решение UBA, – это, накапливая в процессе работы или используя ранее накопленные данные, с помощью заложенных методов определять характерное стабильное поведение объектов. И не важно, пользователи это, программные или аппаратные средства.

Для анализа решению нужны источники разнообразных данных за значительный исторический период, чтобы на их основании можно было определить обычное для пользователя или сущности поведение и его границы, выход за которые будет считаться отклонением от нормы. В зависимости от используемых методов анализа подходы в решениях UBA могут различаться – об этом мы поговорим чуть позже.

Считается, что чем больше источников поставляют данные в UBA, тем лучше. Это неоднозначное заключение, поскольку подключение большого количества источников приводит к расширению работ по интеграции и к сложностям интерпретации разрозненной информации для единой цели поведенческого анализа. Тут скорее следует говорить о достаточности данных для обработки. Ведь избыточность информации не только увеличивает объемы и продолжительность вычислений, но и может повлечь за собой такое нагромождение результатов, с которыми у сотрудника безопасности просто не будет времени и возможности разобраться.

Допускается, что решения UBA могут выдавать результаты анализа с определенной периодичностью, но чем более оперативно они это делают, тем выгоднее смотрятся.

Второе, что ожидается от решений UBA, – это как раз способность детектировать нетипичное или, как его ещё называют, аномальное поведение. В открытых источниках часто высказывается мнение, что за результатами детектирования UBA могут скрываться серьёзные нарушения, которые плохо выявляются традиционными средствами систем безопасности.

Третье, что аналитики включают в must have функционала решений UBA, – приоритизация полученных результатов. Многие системы обеспечения безопасности очень чутко реагируют на всевозможные изменения, что, как следствие, приводит к генерации большого количества предупреждений. Таких предупреждений бывает настолько много, что у сотрудников безопасности просто не находится времени на их разбор и тщательное расследование. Решения UBA способны консолидировать предупреждения, оценивать их риски, расставлять приоритеты и обращать внимание пользователя только на самые серьезные отклонения. В результате возрастает эффективность работы служб безопасности за счет снижения количества ложных срабатываний.

И, конечно, всякое технологическое решение должно выдавать конечный результат. В случае с UBA – предоставлять специалисту по безопасности весь контекст выявленных аномалий. Контекст будет варьироваться в зависимости от возможностей конкретного решения и конкретной инсталляции.

Как минимум, ожидания сводятся к тому, чтобы UBA-решения предоставляли для расследования информацию обо всех пользователях и сущностях, связанных с детектированным поведенческим отклонением. Сведения о действиях персоналий и о результатах этих действий значительно обогащают контекст. Считается, что развитые решения UBA должны информировать специалистов безопасности обо всем «окружении» выявленной аномалии, включающем все лежащие рядом во времени и связанные по определенным признакам группы и цепочки поведенческих отклонений.

Помимо прочего Gartner указывает на то, что решения UBA не должны быть узкими в применении и должны иметь несколько направлений использования[1].

Рисунок 1. Основные функции решений класса User Behavior Analytics
Рисунок 1. Основные функции решений класса User Behavior Analytics

В сравнительных обзорах и таблицах на специализированных сайтах (обзоры на habr.com [2], Anti-Malware.ru[3], сравнительная таблица решений UBA на сайте проекта ROI4CIO[4]) также можно найти упоминания следующих функций, наличие которых в современных UBA-решениях приветствуется:

  • Использование встроенных моделей поведения.
  • Оповещение/уведомление пользователя об обнаружении поведенческих отклонений.
  • Наличие гибкого поиска для проведения расследований.
  • Формирование отчетности по результатам анализа.
  • Использование временной шкалы (timeline) для анализа полученных результатов во времени.
  • Ретроспективный анализ ранее накопленных данных для обнаружения поведенческих отклонений в прошлом.


Гибкость решений UBA, выражающаяся в адаптивности к постепенному изменению объектов анализа и в наличии возможности расширения и уточнения моделей поведения, является дополнительным преимуществом.

В дополнение к вышеперечисленному ведущие аналитики ИТ-рынка (Gartner, проект ROI4CIO) подчеркивают, что от UBA-решений ожидается поддержка облачных сервисов. Имеется ввиду наличие функционала CASB – систем обеспечения безопасного доступа к облакам, выделяемых в отдельный класс решений.

Кроме того, вендор Exabeam [5] продвигает концепцию использования UBA-решений для активно развивающегося интернета вещей (IoT). Это, безусловно, востребованное направление по отслеживанию поведения различных устройств, но оно очень слабо перекликается с концепцией HumanCentric Security. Это уже, скорее Entity Behavior Analytics или EBA.

На чем основаны методы аналитики UBA?

Традиционные методы аналитики сводятся к определению специалистами по безопасности наборов правил, на основании которых системы определяют, является ли то или иное событие нарушением безопасности. Данный подход не является адаптивным к новым типам угроз или изменению поведения.

Отличительной чертой решений UBA является расширенная аналитика, предназначенная главным образом для предотвращения утечек конфиденциальной информации. Признаком хорошего аналитического аппарата UBA считается не только способность выявить аномалии в поведении, но и умение рассчитать вероятность того, насколько аномалия свидетельствует о действительной угрозе безопасности. В настоящее время в основу расширенной аналитики UBA-решений закладываются технологии машинного обучения и статистические модели[6][7][8][9][10] Среди них:

Unsupervised algorithms. Алгоритмы, не требующие наличия заранее промаркированных примеров для последующей классификации пользователей и детектирования аномалий поведения. Это позволяет использовать решения UBA без предварительной адаптации и настройки, что несомненно является большим плюсом. Но также имеет и негативный эффект – множество малозначимых с точки зрения безопасности результатов классификации пользователей и большую долю ложных срабатываний.

Supervised algorithms. Алгоритмы, обладающие более высоким качеством оценки поведения и классификации пользователей. На практике стабильность такого высокого качества нуждается в регулярном переобучении и подкреплении примерами. Это каждый раз требует привлечения специалистов по анализу данных и тесных коммуникаций между ними и сотрудниками безопасности.

Смешанные модели. Сочетают в себе как «автономные» алгоритмы, так и supervised-алгоритмы.

Во множестве алгоритмов можно выделить модели с «жадными» алгоритмами. Такие алгоритмы постоянно подстраивают модель, принимающую решение, под каждую новую активность пользователя. Это позволяет мгновенно уточнять модель и корректировать ее качество. Однако эти алгоритмы более требовательны к ресурсам и не лишены своих проблем. Например, проблемы смещения, с которой борются специалисты Yandex в своей знаменитой статье[11].

Согласно исследованиям Gartner, в ближайшем будущем решения UBA будут пополняться инструментарием глубокого обучения и нейронных сетей.

Основные направления использования решений UBA

В рамках сложившегося понимания применения решений UBA выделяют следующие направления использования этой относительно новой технологии:

  • Сбор и предоставление информации о поведении. Исследование особенностей поведения как пользователей, так и других сущностей само по себе представляет интерес для специалистов по безопасности. Обычно характер поведения соответствует выполняемым бизнес-функциям сущности. Резкое расхождение ожидаемого и фактического поведения может быть признаком угрозы.
  • Мониторинг поведения. Контроль типичного и нетипичного поведения как пользователей, так и других сущностей в динамике позволяет отслеживать тенденции различного рода, в том числе негативные и опасные.
  • Выявление злонамеренных инсайдеров. В общем виде за этим скрывается выявление разнообразных нарушений безопасности, источником которых является персонал компании. ГОСТ Р ИСО/МЭК 27005-2010 называет инсайдерами «плохо обученных, недовольных, злонамеренных, беспечных, нечестных или уволенных служащих».
  • Предотвращение утечек данных. Серьезные отклонения в поведении пользователей, связанные с использованием, хранением и передачей информации, могут сигнализировать о попытках или фактах нелегитимного перемещения значимой для компании информации.
  • Выявление скомпрометированных учётных записей пользователей. Выявление резких изменений в поведении может свидетельствовать о том, что учётная запись сотрудника используется неизвестным лицом в злонамеренных целях.
  • Выявление несанкционированного доступа к данным. В этом случае фокус внимания сосредотачивается на аномальном поведении персон в отношении информационных систем и значимых для компании данных.
  • Выявление целевых кибератак и угроз, против которых ещё не разработаны защитные механизмы. Анализ поведения не только самих пользователей в компании, но и всех пользовательских контактов внутри и вне компании может давать ценные результаты. Причинами существенных аномалий в поведении контактирующих объектов могут быть разворачивающиеся атаки на ИТ-инфраструктуру компании или умышленные действия внешних лиц. Наиболее неожиданные и странные аномалии в поведении самых различных анализируемых объектов могут вскрывать ранее неизвестные угрозы.

Помимо всего вышеперечисленного решения UBA обладают высоким потенциалом в сфере выявления рисковых областей в компании, групп риска из числа персонала, сотрудников, наиболее уязвимых с точки зрения безопасности. То есть в общем виде – для оценки рисков и управления ими.

Особенности решений класса UBA

UBA-системы становятся все популярнее среди крупного бизнеса. По прогнозам Gartner, объем продаж решений данного класса с 2015 по 2020 год вырастет в 7 раз.

Кто заинтересован в приобретении UBA?

Различные исследования рынка свидетельствуют о том, что в приобретении решений данного класса в компаниях заинтересованы представители служб безопасности, которым инструменты UBA помогают решать широкий спектр задач. К их числу относятся задачи информационной и экономической безопасности (сюда же аналитики включают и риск-менеджмент). Стоит отметить, что решения UBA позволяют проводить сложные расследования, направленные на раскрытие мошеннических схем и противодействие коррупции. Конечным эффектом от их использования является предотвращение и снижение ущерба для предприятий.

Gartner даже указывает отрасли, наиболее активно интересующиеся UBA. В настоящее время за рубежом финансы и здравоохранение испытывают потребность в мониторинге поведения сотрудников, подрядчиков и третьих лиц с целью выявления нелегитимных или несанкционированных действий.

«Подводные камни» и специфика UBA

Решения данного класса обладают специфическими особенностями и ограничениями, о которых полезно знать их пользователям.

Во-первых, если специалисты по безопасности хотят с высокой точностью осуществлять мониторинг и проводить анализ поведения сотрудников компании, они должны предоставить используемому решению UBA достаточный объем данных. Необходимо иметь данные за довольно длительный период времени и, как минимум, из нескольких источников.

Продолжительность периода анализа поведения напрямую влияет на качество определения стабильного характера поведения. Вендоры указывают на то, что минимальная продолжительность данного периода должна быть 90 дней, а достаточная – 180 дней. Но вообще – чем дольше, тем лучше.

Ускорить процесс помогает использование исторических данных, которые могут быть предоставлены решению UBA для обработки. Этот вариант возможен, если компания хранит ретроспективные данные об активности своих сотрудников, достаточные для анализа UBA.

Безусловно, важен и спектр обрабатываемой информации. Самыми лёгкими для подключения к UBA каналами–поставщиками данных в открытых источниках названы: данные сетевого доступа (например, из web-proxy), данные каталогов AD (либо данные о сотрудниках из HR-системы), данные журналов доступа и регистрации событий.

Более сложными для использования, но не менее значимыми считаются данные с модулей контроля рабочих станций, сведения о почтовой переписке и её содержании, а также информация о характере общения и контенте в мессенджерах и социальных сетях.

С одной стороны, чем больше источников, тем, казалось бы, более точную информацию о людях мы сможем получить. С другой стороны, сразу же возникают вопросы о сложностях получения, консолидации и совокупной интерпретации всех этих данных.

При выборе оптимального подхода нужно понимать, что на одной чаше весов лежат время и затраты на масштабное встраивание в ИТ-инфраструктуру (разворачивание смежного ПО, интеграция, консолидация данных), а на другой – скорейшее получение эффективных результатов работы решения UBA. Поэтому сбалансированный подход видится в том, чтобы ограничиться минимальным набором источников информации для UBA, данные из которых будут в достаточной степени описывать поведение сотрудников. Например, это могут быть сведения об активности в интернете, о почтовой переписке и о работе за компьютером.

Во-вторых, у решений UBA есть некоторые специфические особенности, связанные с самим заложенным в них подходом. Поведение некоторых пользователей носит нестабильный характер в некоторые периоды и по ряду показателей. Это характерно для сотрудников на высоких руководящих должностях. Для таких пользователей определение стабильного характера поведения средствами UBA является затруднительным. В данном случае специалисту по безопасности для точного детектирования нарушений нужно использовать дополнительные средства анализа контента той информации, с которой работает сотрудник.

Если в компании в период накопления данных UBA ведётся бизнес-реорганизация, связанная с серьезными кадровыми изменениями, то определение стабильного характера поведения сотрудников может быть затруднено, а для каких-то пользователей – и вовсе невозможно. В данном случае придётся дождаться, пока внутренние процессы компании придут в равновесие, и уже после этого прибегать к использованию UBA.

В довершение ко всему поведение определённых пользователей-нарушителей может быть аномальным с самого начала применения UBA. Если какой-то неблагонадёжный сотрудник регулярно совершает нарушения, то такое негативное поведение с самого начала анализа будет воспринято UBA как «нормальное». В данном случае, как и в случае с нестабильным поведением сотрудников, выявить нарушения поможет изучение конкретных деталей.

В-третьих, стоит отметить, что не все решения UBA наделены возможностью динамически подстраиваться под изменяющееся поведение пользователей. Но люди меняются. Самые очевидные причины изменения поведения сотрудников – реорганизация бизнес-процессов, смена должностных обязанностей или занимаемой позиции в организации, личные проблемы.

Решения UBA должны адаптироваться к таким изменениям. Таким образом системы, у которых адаптивность не является встроенной, требуют периодического сопровождения. Обновление данных о стандартном характере поведения сотрудников в таком случае становится обязательной периодической процедурой, требующей привлечения аналитиков.

Кроме того, следует отметить, что при внедрении решений UBA важную роль играет определённая зрелость специалистов по безопасности и их готовность регулярно использовать UBA в работе. UBA может попросту не прижиться, если безопасник не готов самостоятельно анализировать представляемые системой результаты, искать нарушителей, оценивать эффективность предлагаемых моделей.

Автономные и встроенные решения UBA

Решения UBA, представленные на рынке, делятся на два типа: автономные и встроенные. Встроенные поставляются в составе решений других классов, ориентированных на смежные задачи. В настоящее время рынок решений UBA разделен примерно пополам между автономными и встроенными решениями.

Особенности использования автономных решений

Две наиболее критичных сложности при использовании автономных решений – это их интеграция в ИТ-инфраструктуру и наполнение достаточными данными. Полноценное развертывание подобного решения в крупной или даже средней компании может вырасти в серьёзный и дорогостоящий проект. При этом, как показывает практика, результаты такого проекта в итоге могут не окупиться.

Автономные решения применимы, когда в компании уже есть единое хранилище, в котором накоплены данные для анализа. Эти данные можно использовать в качестве источника информации для UBA.

Особенности использования встроенных решений

Особенностью встроенных решений UBA является необходимость покупки и развертывания «родительской» системы. Базовая платформа при этом может быть довольно дорогостоящей.

С другой стороны, если UBA дополняет функционал полноценной системы обеспечения безопасности (как правило, это решения класса SIEM, DLP или IAM/PAM), вопрос наполнения данными снимается. При этом «родительские» платформы одного из указанных классов входят в стандартный набор используемых службами безопасности систем, и их расширение инструментарием UBA позволяет активно использовать уже собираемую информацию.

Помимо SIEM, DLP и IAM/PAM решения UBA могут совместно использоваться с системами других классов: системы аудита и защиты данных (DCAP), системы анализа сетевого трафика (NTA), системы защиты конечных точек (EDR), системы обнаружения вторжений (IDPS), системы мониторинга персонала (Employee Monitoring, EM).

Отечественные решения по поведенческому анализу Zecurion, InfoWatch и SearchInform являются компонентами DLP-систем либо ориентированы на использование данных из «родительских» DLP-систем.

Рисунок 2. Особенности конфигурации решений класса User Behavior Analytics
Рисунок 2. Особенности конфигурации решений класса User Behavior Analytics

Прогнозы

По данным Gartner в 2017 – 2018 годах наблюдалось сокращение числа поставщиков автономных решений UBA, главным образом из-за поглощения компаний. Так Niara была приобретена Aruba Hewlett Packard Enterprise, Balabit – One Identity, E8 Security – VMware, Fortscale – RSA. Прогнозируется, что к 2021 году рынок автономных решений UBA перестанет существовать.

Также ожидается, что к 2022 году 80% решений, нацеленных на обнаружение и предотвращение угроз, будут использовать методы и технологии UBA. Кроме того, наблюдается и обратный процесс сближения UBA и SIEM: передовые решения UBA обрастают функциями развитых систем безопасности. Так IBM и LogRhythm развивают функционал UBA, а UBA-решения Exabeam и Securonix развили функционал SIEM.

Сравнительный обзор решений UBA

Зарубежные решения

В общем виде сравнение автономных решений UBA представлено в обзоре рынка от Gartner «Market Guide for User and Entity Behavior Analytics» (2018)[12].

Сравнение различных решений класса UBA по 26 ключевым параметрам[13] приведено в таблице на сайте проекта ROI4CIO.

Кроме того, многие зарубежные вендоры на своих сайтах размещают довольно подробные описания собственных решений класса UBA.

Отечественные решения

Zecurion

В версии 8.0 DLP-системы от Zecurion, выпущенной в 2018 году, появился модуль поведенческого анализа (UBA).

Zecurion довольно скупо описывает возможности своего нового модуля и не раскрывает подробностей его внутреннего устройства. Упоминается лишь, что задействован «специально разработанный алгоритм», с помощью которого выполняется анализ действий пользователей. В пресс-релизе также отмечается, что решение UBA от Zecurion отслеживает возникновение нарушений и инцидентов безопасности и изменения характера использования сотрудниками каналов связи.

Таким образом, получается, что для анализа поведения пользователей UBA-решением Zecurion используется, с одной стороны, информация о нарушениях политики безопасности, собираемая «родительской» DLP-системой. А, с другой стороны, – сведения о нестандартных активностях сотрудников при использовании каналов коммуникаций, такие как интенсивная пересылка данных за пределы локальной сети компании.

InfoWatch

В 2018 году компания InfoWatch представила на BIS Summit свой прототип решения класса UEBA под названием InfoWatch Prediction.

Производитель решения заявляет, что InfoWatch Prediction построен на «строгой математической модели» с применением методов машинного обучения. В качестве источника данных для решения называется почтовый сервер или DLP-система. Получается, что InfoWatch Prediction всё-таки является не автономным решением, а модулем, требующим развертывания «родительской» DLP-системы InfoWatch.

Решение InfoWatch Prediction предназначено для прогнозирования рисков ИБ, связанных с кадрами и финансовой политикой, выявлением инсайдеров, компрометацией учётных записей. При этом в маркетинговом продвижении акцент явно смещен в сторону использования решения для целей управления персоналом, а также управленческого, финансового и кадрового учёта. Так, первым представленным сценарием стало заблаговременное определение сотрудников, которые собираются уволиться. При этом в InfoWatch подчеркнули, что модель InfoWatch Prediction, обученная на основании ретроспективной выборки данных, спрогнозировала вероятность увольнения сотрудников с точностью 80% за 25 дней до ухода[14].

Вендор предлагает заказчикам самостоятельно проверить способность решения InfoWatch решать задачи по поиску сотрудников, которые собираются уволиться. Но тут всё опять упирается в данные. Предлагается предоставить решению для анализа данные за год и убедиться, что оно выдаёт хорошие результаты. Но с какими сложностями по загрузке и обработке данных могут столкнуться заказчики, даже если необходимые данные о сотрудниках у них имеются, не уточняется.

Также не до конца понятно, о ретроспективных данных сотрудников за какой период идёт речь. В различных местах в презентационных материалах вендора говорится по-разному. С одной стороны, представители InfoWatch заявляют, что могут продемонстрировать клиенту работоспобность системы почти мгновенно[15]. С другой стороны, упоминается, что промышленные испытания InfoWatch Prediction (те самые, которые дали точность прогнозирования в 80%) использовали массив данных о поведении сотрудников за три месяца работы. Получается, что опять возникает то самое ограничение в минимум 90 дней, необходимых любому решению по поведенческому анализу для демонстрации своей эффективности или её отсутствия. В любом случае до первых публичных откликов об эксплуатации решения заказчиками сложно судить о том, решает ли InfoWatch Prediction заявленные задачи.

SearchInform

Также в 2018 году компания SearchInform представила рынку свое решение по поведенческому анализу. SearchInform ProfileCenter был заявлен как «система диагностики поведения и склонностей человека в разных жизненных ситуациях».

По словам вендора, для построения достоверного портрета сотрудника нужно ретроспективно анализировать или накапливать данные в среднем 1 – 2 месяца.

Используя максимально возможное количество источников данных «родительской» DLP-системы, решение ProfileCenter формирует психологический портрет пользователя, выявляет слабые и сильные стороны личности, черты характера, базовые ценности, потребности, склонности и т.д., и т.п. При этом алгоритмы разделяют пользователей по группам риска, например: «Демотивированные», «Болтуны», «Лентяи», «Скандалисты», «Критики», «Манипуляторы», «Лидеры», «Эгоисты».

В данном случае возникает вопрос о прозрачности вердиктов, выносимых на основании такого машинного анализа. В США для анализа и подтверждения результатов, представляемых искусственным интеллектом, привлекаются высокопрофессиональные психологи[16]. Как показывает практика, отечественные специалисты сферы безопасности также не спешат полагаться на закрытые от них алгоритмы. Даже весьма сложные, но подробно описанные методы математического анализа или машинного обучения предпочтительнее результатов, сформированных в недрах решения на основании более чем 70 критериев[17].

Для целей построения профиля, то есть выявления стабильного поведения сотрудников, используются не деловые, а естественные «живые» тексты из личной переписки. Минимальный объем информации для профилирования – 30 тысяч базовых единиц текста. Сразу же возникает вопрос: если сотрудник отправляет технический проект на 60 000 слов и добавляет к нему несколько слов (пусть даже естественной) личной переписки, как решение интерпретирует подобный текст?

«На выходе» ProfileCenter предоставляет результаты анализа для того, чтобы самостоятельно можно было сделать выводы о персонале компании и оценить риски. Впрочем, пока в публичном поле отсутствуют описания реальных примеров работы решения у заказчиков. Анна Попова, руководитель блока DLP ГК Инфосекьюрити, поставщика услуг в сфере ИБ, подчеркивает, что решение ещё «надо тестировать[18]».

В целом, ProfileCenter по своим характеристикам стоит в стороне от решений класса UBA, как их определяют международные аналитические агентства. Применяемые в системе алгоритмы нацелены на классификацию сотрудников по тем или иным психотипам. В результате логичнее отнести это решение к классу систем Employment Testing (Screening) Software, используемых для задач сферы управления персоналом. Таким образом, целевой аудиторией ProfileCenter является скорее продвинутый HR, а не безопасность.

Заключение

В последние годы на глобальном рынке систем обеспечения безопасности появились и становятся все более востребованными решения, предназначенные для анализа пользовательского поведения. UBA-системы активно осваиваются отраслями, нацеленными на мониторинг персонала, анализ поведения, выявление значимых отклонений в стабильном поведении сотрудников в целях обнаружения и предотвращения инцидентов безопасности, выявления угроз бизнесу, профилактики нарушений и управления рисками. То есть теми сферами, для которых критично влияние человеческого фактора. Ведь именно человек, в соответствии с современным подходом в безопасности, является основным источником нарушений, угроз, и рисков. Системы поведенческого анализа полезны и для таких направлений деятельности, как управление персоналом, финансы, стратегический менеджмент и принятие управленческих решений.

Эти системы хороши тем, что, используя наиболее передовые методы анализа, они развиваются опытным путем, отбрасывают устаревающие методики и подтягивают в свой арсенал наиболее эффективные.

Спектр применения UBA в сфере обеспечения безопасности довольно широк: это и выявление злонамеренных инсайдеров, и предотвращение утечек ценной информации, и выявление скомпрометированных учётных записей, и противодействие несанкционированному доступу к данным, и предотвращение кибератак, и локализация zero-day угроз.

Зарубежный рынок может похвастаться большим разнообразием UBA-продуктов – как автономных, так и встроенных в смежные системы по обеспечению безопасности (как правило, это системы классов SIEM, DLP, IAM и другие). Тенденция такова, что автономные решения постепенно уступают место встроенным, поскольку развитые «родительские» системы сразу способны предоставить необходимые данные для анализа.

Отечественные разработки в сфере поведенческого анализа являются встроенными, идут в комплекте с развитыми DLP-системами. Российский рынок этих решений пока ещё молод и невелик. На рынке присутствуют несколько заметных игроков, в частности Zecurion, InfoWatch, SearchInform, и прочие. Каждое из решений этих вендоров обладает своими перспективами, особенностями и ограничениями. По сути эти системы пока лишь выходят на рынок. Соответственно, все они ещё должны пройти обкатку в боевых условиях на заказчиках.

Наибольшие перспективы видятся у тех решений, которые не только обеспечат выполнение базовых задач систем класса UBA, но и будут способствовать освоению новых возможностей. К таким вспомогательным вещам относятся: объяснение принципов работы, наличие методик применения, положительный опыт «обкатки», готовые сценарии использования, понятность шагов при освоении инструментария. Безусловными преимуществами также остаются наименьший период полноценного включения в работу при новом развёртывании и способность использовать для анализа ретроспективные данные при развёртывании на функционирующих площадках заказчиков.

Примечания

  1. Обзор рынка Gartner «Market Guide for User and Entity Behavior Analytics» (2018)
  2. Статья «Как UEBA помогает повышать уровень кибербезопасности» на www.habr.com
  3. Обзор рынка систем поведенческого анализа — User and Entity Behavioral Analytics (UBA/UEBA) на www.anti-malware.ru
  4. Сравнение различных решений класса UBA по 26 ключевым параметрам проекта ROI4CIO на сайте www.roi4cio.com
  5. Описание решения UEBA от Exabeam на сайте вендора www.exabeam.com/siem-guide/ueba/
  6. Application of anomaly detection algorithms for detecting SYN flooding attacks. Vasilios A. Siris, Fotini Papagalou. Computer Communications 29 (2006)
  7. Machine Learning Approaches to Network Anomaly Detection. Tarem Ahmed, Boris Oreshkin and Mark Coates. Second Workshop on Tackling Computer Systems Problems with Machine Learning Techniques. 2007, Cambridge
  8. `Andromaly`: a behavioral malware detection framework for android devices. Asaf Shabtai, Uri Kanonov, Yuval Elovici, Chanan Glezer, Yael Weiss. Journal of Intelligent Information Systems 2010
  9. Survey of Fraud Detection Techniques. Yufeng Kou, Chang-Tien Lu, Sirirat Sinvongwattana, Yo-Ping Huang. International Conference on Networking, 2004
  10. Intrusion detection in wireless ad hoc networks. Amitabh Mishra, Ketan Nadkarni, and Animesh Patcha. IEEE Wireless Communications, 2004.
  11. CatBoost: unbiased boosting with categorical features. Liudmila Prokhorenkova, Gleb Gusev, Aleksandr Vorobev, Anna Veronika Dorogush, Andrey Gulin. Yandex, Moscow, 2019.
  12. Market Guide for User and Entity Behavior Analytics
  13. UEBA - User and Entity Behavior Analytics
  14. На BIS Summit 2018 представлены результаты тестирования прототипа решения InfoWatch в классе UEBA для прогнозирования рисков ИБ
  15. InfoWatch объявила о планах выпуска продукта класса UEBA с возможностью предотвращения рисков увольнения персонала в организациях
  16. Article «Psychological and Personality Testing in Employment Screening» www.cippguide.org
  17. Нетехнические методы защиты информации: профайлинг на службе ИБ
  18. И еще раз про КИБ SearchInform: разбираемся с новинками