UEBA: Поведенческий анализ или чистая магия?

Автор: Виктор Ивановский, менеджер по развитию бизнеса компании Solar Security

1 марта компания Palo Alto объявила о покупке за $105 млн американского вендора LightCyber. Бизнес LightCyber никак не связан с фантастическими энергетическими мечами из знаменитой космической саги, но окутан не меньшим количеством слухов и ожиданий. В «Звездных войнах» на рыцарей-джедаев, владеющих световыми мечами, возлагались огромные надежды по наведению порядка в Галактике. На вендоров User Entity and Behavior Analytics, к которым относится и LightCyber, в современной индустрии кибербезопасности нередко смотрят как на производителей чудо-оружия по борьбе с киберугрозами. Но в чем же «волшебство» этой технологии?

В одной старой притче к слепым мудрецам привели слона и попросили определить наощупь, что перед ними. Первый потрогал бивень и сказал, что ему дали копье. Второй прикоснулся к ноге и сказал, что это дерево. Третий ощупал бок слона и стал всех уверять, что перед ними высокая стена. Разнообразные решения для обеспечения кибербезопасности выступают в роли мудрецов, каждый из которых снимает определенную характеристику активности пользователя и проверяет ее на принадлежность к «черному списку» критериев. Логичным развитием этого подхода стало активное включение SIEM и Threat Intelligence в процесс принятия решений – с их объединением появилась возможность собирать в одной точке не только данные с сенсоров, но и «черные списки» от различных производителей. Теперь мнения старцев о слоне не только коллекционировались (вижу стену, копье, дерево), но и распознавались по их комбинации – «Если это похоже на стену, копье и дерево, то это, скорее всего, слон». На деле, за счет активного использования SIEM получается увеличить процент детектируемых угроз (так называемый detection rate) и приблизить его к неким мифическим 100%. Ловушка в том, что эти 100% мало связаны с реальным количеством угроз, атак и рисков, с которыми сталкивается любая компания.

Методы детектирования угроз в своем большинстве основаны на сопоставлении событий с известными шаблонами вредоносной активности. Об этом знают не только специалисты в области кибербезопасности, но и злоумышленники. Для того чтобы остаться невидимым в потоке событий внутри инфраструктуры, они маскируются под реальных пользователей. Хуже всего, когда злоумышленник – это и есть реальный пользователь или просто человек, получивший в распоряжение учетную запись пользователя. И когда это происходит, системы ИБ могут серьезно спасовать. Чтобы не дать преступнику успешно совершить атаку по новому сценарию, нужно вывернуть и сам метод выявления наизнанку.
Прежде всего, надо смириться с мыслью, что нужно искать пользователя. Не хэш, не IP-адрес, не запись в реестре – а конкретного пользователя, чья учетная запись может сейчас использоваться по назначению, а несколько раз в год спонтанно совершать вредные для бизнеса действия. И шаблон его вредоносных действий нам будет скорее всего неизвестен или замаскирован под регулярную активность. Возвращаясь к аналогиям животного мира, мы начинаем искать не ту учетную запись, что «крякает как утка и выглядит как утка», ориентируясь на четкие критерии «плохого поведения», а ту, что не крякает как утка в общей птичьей стае. Основная трудность в том, чтобы понять, что из себя представляет стая и как ведут себя ее члены. Представьте себе, что вы рыбачите с лодки и с помощью эхолокатора «видите» на глубине 30 метров многотысячный косяк рыб. Ваша задача состоит в том, чтобы, используя все доступные вам методы, определить, какая именно рыба в этом косяке – тунец. Если вы думаете, что это не так сложно, представьте себе, что эту задачу надо решать непрерывно в течение целого года.

Миссия подхода UEBA состоит в том, чтобы собрать максимум данных из системы, сформировать из них логические структуры, объединенные вокруг пользователей, и понять по совокупности всей имеющейся информации, кто из пользователей ведет себя «не так». В ход идет и построение предиктивных математических моделей, и ретроспективный анализ данных, и активное использование высоконагруженных распределенных систем хранения данных. Звучит как «набор хипстера», в котором не хватает только смузи и коворкинга. Тем не менее, в качестве слова защиты хочется привести пример с многомиллиардной индустрией онлайн-рекламы на базе технологии Real Time Bidding, активно использующей все вышеназванные технологии. Их использование в сфере кибербезопасности было лишь вопросом времени, и стартапы последних нескольких лет, да и сделка, с упоминания которой началась эта заметка, говорят о том, что это время пришло.

Оговорюсь, что я не считаю UEBA «серебряной пулей» или Wunderwaffe в мире кибербезопасности. С моей точки зрения, это еще один патрон в обойме современного борца с киберпреступностью, который предназначен для поражения вполне определенных целей. Я бы выделял несколько отличительных критериев, относится ли решение или его функционал к семейству UEBA:

• Система должна уметь собирать и обрабатывать информацию из большого числа (более 80% эксплуатируемых в компании) систем кибербезопасности.
• Чтобы справиться с нагрузкой на системы хранения и удержать время принятия решения на «near real time» планке, система активно использует распределенные высоконагруженные платформы хранения данных (HADOOP).
• Для получения максимального контекста по событиям система должна уметь работать c данными – распознавать, агрегировать для дальнейшей обработки, индексировать – внутри пользовательской сессии.
• По собранным данным с помощью математического моделирования и машинного обучения формируются признаки «хорошего поведения» пользователя. Детектирование производится на основании отклонения от этих правил/признаков.
• Итоговая задача сводится к поиску конкретной учетной записи/личности, которая используется в зловредных целях инсайдером или внешним злоумышленником (в том числе без ведома пользователя).

Среди вендоров, работающих в этом направлении, аналитики Gartner выделяют:

• Balabit
• Bay Dinamics
• CA Technologies
• Datiphy
• Dtex Systems
• E8 Security
• e-Safe Systems
• Exabeam / теперь IBM
• Forcepoint
• Fortscale
• Gurucul
• Haystax Technology
• IBM
• Interset
• Leidos
• LightCyber / теперь Palo Alto
• LogRhythm
• Microsoft
• Niara / теперь HPE
• ObserveIT
• Preempt
• Rapid7
• RedOwl
• SecuPi
• Securonix
• Splunk
• Varonis
• Veriato

На данный момент решения UEBA можно расценивать как специализированные инструменты для работы по решению частных кейсов трех следующих общих задач:

• выявление инцидентов, связанных с захватом учетных записей пользователей злоумышленником;
• выявление инсайдеров среди сотрудников компании;
• формирование единой базы знаний о сотрудниках и построение системы оценки риска не только на основании данных из учетных систем, но и на базе их поведения.

Как видите, никакого волшебства или джедайских фокусов тут никаких нет. Магия только в том, что такая компания как Splunk еще в середине 2015 года узнает, что приходит время покупать UEBA решение Caspida, а Palo Alto делает подобный шаг только полтора года спустя. Хотя, с должным уровнем развития поведенческого и предиктивного анализа предсказать можно и появление UEBA в отчете аналитических агентств и за год до его выхода. Вжух!