В конце 2000-х годов в ИТ появился термин «big data», означающий серию подходов, инструментов и методов обработки структурированных и неструктурированных данных больших объемов для получения воспринимаемых человеческим глазом результатов.
Разумеется, использование этих подходов не могло не распространиться на решения по обеспечению информационной безопасности. Примерно с 2012 года в сфере ИБ стало очень популярным словосочетание «big data security analytics». Всё больше и больше игроков на рынке ИБ стали использовать в своих продуктах технологии аналитической работы с большими объемами данных. Параллельно с этим началось активное применение алгоритмов машинного обучения.
Результатом такой интеграции стало значительное увеличение функциональных возможностей продуктов. А производители SIEM вообще заявили о рождении нового поколения своих решений. С этим трудно поспорить – действительно, аналитика в части обнаружения угроз и оценки рисков вышла на совершенно иной уровень.
Что такое UBA
В данной статье мы рассмотрим уже довольно известный на Западе, но пока еще малоиспользуемый в России класс решений User Behavior Analytics, UBA. Анализ поведения пользователей можно считать неплохим примером использования «big data security analytics».
Решения этого класса занимаются разбором всех действий, связанных с конкретными пользователями, включая анализ обрабатываемых пользователями данных, контроль используемых ими устройств, мониторинг происходящих процессов и работающих приложений, учет сетевого взаимодействия пользователей и т.д. UBA выстраивает модель, в которой все файлы с журналами, запросы аутентификации, доступ к данным, активность рабочих станций и сетевая активность связываются с конкретными пользователями.
Хорошим примером наполнения модели может быть интеграция UBA с сервером DHCP. Некоторые системы, например, прокси-серверы без авторизации, могут идентифицировать пользователя только по IP-адресу. Понимая, какой IP-адрес какому устройству пользователя был выдан в конкретное время, можно более детально реконструировать шаги, выполненные пользователем при доступе к тому или иному ресурсу.
Результат работы UBA-решений заключается в том, что каждый пользователь информационной системы получает некий «уровень надежности». Для наглядности задействуется либо цветовая шкала, либо процентный показатель. Администратор ИБ, отслеживая изменение уровней надежности, может своевременно реагировать на обнаруженные с помощью UBA аномалии и оперативно принимать меры для защиты информационных активов.
Потенциальный заказчик, вероятно, скажет: «Зачем нам UBA? Мы ведь уже отслеживаем поведение пользователей с помощью SIEM. Вот, даже с IdM-системой выполнили интеграцию».
Здесь важно понимать, что классический алгоритм «собрать журналы — написать правило корреляции – настроить дашборд» для мониторинга поведения пользователей уже плохо работает. Да, можно использовать самописные правила корреляции, но нужно, во-первых, разработать и затем поддерживать их работу, а во-вторых, нужно, собственно, понимать – куда смотреть и что именно искать. UBA позволяет шагнуть немного дальше и обнаруживать подозрительное поведение пользователей, которое выпадает из поля зрения SIEM-решений. Грубо говоря, UBA помогает найти «то, сам пока не знаю что».
Сценарии использования UBA
Чтобы понять, для чего нужен UBA и как он работает, лучше всего рассмотреть сценарии его использования. Сценарии будут простыми, но от этого и более понятными.
Скомпрометированные учетные записи
Своевременное обнаружение скомпрометированных учеток – одна из самых важных задач информационной безопасности. До тех пор, пока с ресурсами корпоративной системы работает авторизованный пользователь, стандартными средствами практически невозможно выяснить — тот ли это пользователь, за которого он себя выдает. Технологии машинного обучения и расширенной аналитики позволяют UBA создать профиль для каждой учетной записи, сопоставить этому профилю базовую линию поведения и затем обнаруживать аномалии в действиях пользователя. Идея заключается в том, что злоумышленник вероятнее всего не будет поступать точь-в-точь как пользователь, у которого была украдена учетная запись. Отличие от «типового» поведения выступает индикатором для UBA.
При настройке любой информационной системы задействуются так называемые служебные учетные записи. К примеру, настройка процедуры резервного копирования или механизма обновления компонентов системы через Интернет. Довольно часто эти учетные записи имеют слишком широкие, избыточные права, настроенные на этапе внедрения и благополучно потом забытые. И практически всегда отсутствует мониторинг активности таких записей. В связи с этим, компрометация служебного аккаунта может привести к серьезным проблемам. UBA позволяет помечать такие учетные записи отдельным флагом, а затем применять расширенные механизмы мониторинга и выявления подозрительной активности этих учетных записей.
Злоупотребление правами
Выявление злоупотреблений привилегированными учетными записями тоже является задачей UBA. В некоторой части его функционал пересекается с функционалом решений другого класса – Privileged User Monitoring (PUM). Но если PUM занимается трэкингом всех сессий и выступает инструментом для последующего анализа действий пользователей с повышенными правами, то UBA призван заблаговременно обнаружить и предупредить об отклонениях в поведении таких пользователей. Непростая задача с учетом того, что администраторам обычно разрешено всё, но и ее нужно как-то решать. К примеру, подозрительным может выступать тот факт, когда вместо ежедневных задач по управлению объектами Active Directory администратор домена начинает массово подключаться к компьютерам сотрудников и скачивать с них какие-либо файлы. UBA с помощью расширенной аналитики выявит такую аномалию.
Излишняя любознательность
В любой организации рано или поздно появляются инсайдеры, занимающиеся поиском конфиденциальной или другой ценной информации в корпоративной системе. Это может быть и хакер, незаконно получивший авторизованный доступ в сеть и занимающийся сканированием ресурсов в надежде найти и получить доступ к информации, которую можно затем продать или как-то иначе использовать для своей собственной выгоды. Аналитические возможности UBA позволяют задать базовую линию нормального поведения для каждого пользователя. Если в какой-то момент сотрудник начинает слишком активно перебирать содержимое сетевых дисков – это как минимум повод обратить внимание. В случае, когда UBA интегрирован о СКУД-системой, подозрительным может стать даже факт посещения сотрудником тех помещений, в которых ему никогда до этого не требовалось находиться.
Обнаружение утечек
Еще одной задачей, которой занимается UBA — выявление попыток утечки данных. Строго говоря, для этого на рынке ИБ существуют решения отдельного класса. Но, как известно, чем сложнее и изощрённее становятся методы передачи данных, тем сложнее DLP-решениям контролировать все потенциальные каналы утечек. Кое-как эту проблему можно решить путем контроля используемой полосы пропускания для каждого пользователя, но этого мало. И снова задействуется базовая линия использования данных, и снова выявляются аномалии в поведении пользователя… Критерием может быть, к примеру, резко возросшее количество писем с большими вложениями, отправляемых на внешние почтовые адреса.
Не в то время, не в том месте
Довольно частый пример работы UBA – обнаружение подозрительного времени подключения и геолокации пользователя. Допустим, в организации всем пользователям круглосуточно разрешены удаленные подключения к головному офису с удаленных площадок, из дома, из отеля, с территории заказчика. Всем разрешено, но далеко не всем это нужно. И когда главный бухгалтер в ночное время вдруг подключается к рабочему компьютеру (неважно зачем), это сразу же может быть выявлено UBA как вероятная компрометация учетной записи.
Одна учетка на троих
Еще одной важной задачей, с которой призван справиться UBA – это обнаружение так называемых «расшаренных» привилегий. Простой пример такой ситуации: сотрудник делится со своими коллегами логином и паролем для доступа к информационной системе. Риск нарушения безопасности многократно возрастает, если этот сотрудник обладает привилегированной учетной записью. Самая очевидная проблема в такой ситуации – потеря подотчетности, то есть невозможность однозначно определить, кто именно использовал учетную запись. UBA, применяя данные из SIEM-системы, а также системы аутентификации и контроля доступа, позволяет выявить факт одновременного использования учетных данных более чем одним сотрудником.
Ошибки при настройке доступа
Как известно, никакая система на застрахована от воздействия человеческого фактора. К примеру, при настройке правил доступа сотруднику HR-службы по ошибке предоставляется возможность просмотра или даже редактирования конфиденциальных исходников программного кода. UBA при обращении пользователей к ресурсам позволяет выявить подобные аномалии («такого доступа не может быть, потому что не может быть никогда»).
Увольняющиеся сотрудники
Для многих организаций настоящей головной болью становятся увольняющиеся сотрудники. Довольно редко в организации имеется механизм, позволяющий поставить сотрудника «на контроль» сразу после написания им заявления об уходе. UBA имеет возможность «отмечать» таких сотрудников и затем более строго отслеживать использование ими корпоративных ресурсов, обнаруживать аномалии в поведении, которые могут сигнализировать об утечке данных, саботаже и других неприятностях.
Эволюция UBA
В последнее время на рынке ИБ стала мелькать еще одна аббревиатура: UEBA, User and Entity Behavior Analytics. По большому счету, это новое название UBA.
Появление нового слова — «Entity» — окончательно закрепило осознание того факта, что для полноценного анализа поведения пользователя недостаточно отслеживать только его активность. Много крайне полезной информации приносят знания об компании в целом, ее организационной структуре, о настроенных группах доступа и т.д. Кроме того, замена названия класса решений UBA на UEBA одновременно исключила из своего состава продукты, предназначенные для обнаружения финансового мошенничества.
Сравнительно свежий документ «Market Guide for User and Entity Behavior Analytics», выпущенный компанией Gartner в сентябре 2015 года, содержит информацию о двух десятках компаний, которые с разным успехом пытаются занять рынок UEBA-решений. Названия этих компаний (за исключением трех-четырех) практически не известны на российском рынке. Более активное проникновение UEBA на наш рынок — это, скорее всего, дело времени. Технология перспективная, заказчики на нее найдутся.