UEBA: Смешать, но не взбалтывать

UEBA: Смешать, но не взбалтывать
Как мы знаем, многие термины по ИБ и ИТ к нам приходят "с запада". Это и старенькие "DLP" и "IdM", актуальные "SIEM" и "SOC", сверхмодные "CASB" и "UEBA"... Именно про последний и хочется написать в этой заметке. 

Я все чаще встречаю русскоязычные презентации и статьи по этой теме у российских интеграторов (например, у ДиалогНаука, Angara, VolgaBlob, INLINE Technologies), западных вендоров в России (например, HPE, Splunk, IBM, Varonis) и российских вендоров (вот  хорошая вводная презентация от Андрея Данкевича  и  статья на Хабре про анализ поведения пользователей  от Solar Security). И, по моим ощущениям, UEBA может стать трендом в России уже в следующем году (в этом еще не успеет). 

Обратите внимание, что западные маркетологи придумали уже не менее 3х аббревиатур:

  • Forrester: Security User Behavior Analytics (SUBA)
  • Gartner: User and Entity Behavior Analytics (UEBA)
  • IDC: User Behavioral Analytics (UBA)
Лично я предпочитаю использовать именно "UEBA", он смешнее звучит на русском языке у Gartner очень много материалов и аналитики по теме (например, отчеты " Cool Vendors in UEBA, Fraud Detection and User Authentication, 2016 " (02 May 2016) и " Market Guide for User and Entity Behavior Analytics " (08 December 2016)).


Именно с Gartner все и начинается. В своих материалах эта организация рекомендует руководителям, ответственным за ИБ, начать использовать анализ поведения для выявления актуальных угроз, и предлагает соответствующее решение: 
"Security and risk management leaders should leverage user and entity behavior analytics to improve their organization's threat detection capabilities across a variety of use cases."
"User and entity behavior analytics offers profiling and anomaly detection based on a range of analytics approaches, usually using a combination of basic analytics methods (e.g., rules that leverage signatures, pattern matching and simple statistics) and advanced analytics (e.g., supervised and unsupervised machine learning). Vendors use packaged analytics to evaluate the activity of users and other entities (hosts, applications, network traffic and data repositories) to discover potential incidents commonly presented as activity that is anomalous to the standard profiles and behaviors of users and entities. Example of these activities include unusual access to systems and data by trusted insiders or third parties, and breaches by external attackers evading preventative security controls"
При этом выделяют следующие 4 задачи для решений такого класса:
"What Is UEBA Used For? UEBA is primarily used for one or more of the following objectives:
Analyze: Apply analytics, both basic and advanced, across a variety of data sources in near real time and on a frequent basis (e.g., hourly, daily).
Detect: Provide rapid identification and alerting of attacks and other infractions, many of which would likely go undetected by traditional preventative security controls.
Prioritize: Prioritize alert security operations and risk management teams need to act on, and/or improve alert management by correlating and consolidating alerts from existing systems.
Respond: Streamline alert and incident investigations by reducing the time and number of staff required to investigate those alerts, especially by providing contextual information from the various data sources to the responder or investigator (since the underlying data for the correlated alerts is typically readily available, and investigators can easily look across organizational assets and entities linked to suspect behavior)"
По сути, аналитики предлагают CISO выбрать кейсы (сценарии реализации угроз), которые необходимо мониторить и, при необходимости, реагировать на них.

И даже рисуют вот такую красивую картинку:



Вот тут у меня появилось ощущение дежавю, ведь что-то подобное я уже видел... В SIEM? В DLP? Да-да-да, что-то близкое...

Рассматривая глобальный рынок решений, Gartner выделяет "stand-alone UEBA vendors" и "products with UEBA features", при этом НЕ включают в него производителей, которые:
  • Do not profile users and do not detect anomalies in user behavior.
  • Only support security use cases through data mining, user-driven data exploration and visualization.
  • Only support fraud detection use cases.
И вот получается забавная ситуация: многие отдельные решения по ИБ по большей части "закрывают" задачи UEBA, а если еще и интегрируются друг с другом, то решают их полностью. 

Я выбрал 12 типовых решений по ИБ, которые позволяют анализировать события ИБ кейсами, которые аналитики хотят видеть в UEBA. Получилась такая таблица (типы решений субъективно расставлены по уменьшению актуальности для решения задач UEBA):


Тип решения
Что подходит для UEBA (создание профилей)?
1.
Security Information and Event Monitoring (SIEM)
Коррелированные события из различных источников, но обычно сетевая активность и события доступа. 
Ряд SIEM имеют отдельный модуль UEBA или предполагают удобную интеграцию/
2.
Data Loss Prevention (DLP)
События по передаче и/или хранению информации с учетом контента и контекста.
Многие DLP решения обладают функционалом EM (см.далее).
3.
Identity and Access Management (IAM)
События по доступу к информационным системам, БД и файлам с учетом контекста.
4.
Employee Monitoring (EM) Tools 
События по работе пользователей (запуск программ, использование файлов и БД, передача информации на внешние устройства и пр.) с учетом контекста.
5.
Endpoint Detection and Response (EDR) 
События на конечных устройствах (запуск программ, изменение реестра, подключение к сетям передачи данных, подключение внешних устройств и пр.) с учетом контекста.
6.
Network traffic analysis (NTA)
Сетевая активность пользователей и приложений с учетом контекста.
Большинство решений поддерживают технологию Deep packet inspection (DPI).
7.
Data-Centric Audit and Protection (DCAP)
События по использованию и хранению структурированных и неструктурированных данных с учетом контекста и контента.
8.
Cloud Access Security Broker (CASB)
События по обмену данными с облачным хранилищем и доступу к ним с учетом контекста.
9.
Privileged Access Management (PAM) 
События доступа привилегированных пользователей к информационным системам, БД и файлам с учетом контекста.
10.
Network Traffic Analysis (NTA)
Сетевая активность пользователей и приложений с учетом контекста.
11.
Anti-Fraud Solutions
Коррелированные события в отдельных ИС (обычно финансовых).
12.
Application security testing (AST), а точнее Mobile AST 
События по использованию отдельными приложениями расширенных прав доступа к ПО и АО мобильных устройств.

Получается, что можно, смешав несколько ингредиентов, получить отличный UEBA - коктейль :))) Рекомендую!


P.S. Кстати, если интересно, то прогнозы Gartner про UEBA я опубликовал в одной из своих прошлых заметок ( ссылка ).
 

Alt text

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться

Andrey Prozorov

Информационная безопасность в России и мире