Анализ поведения пользователей: модный тренд или панацея?

Автор: Яков Гродзенский, руководитель направления информационной безопасности компании «Системный софт»

Функции, связанные с поведенческим анализом, давно присутствуют в системах информационной безопасности, но отдельное направление UEBA (User and Entity Behavior Analytics) появилось всего несколько лет назад. По определению Gartner, оно подразумевает переход от анализа правомерности использования данных к выявлению аномалий в поведении пользователей и иных сущностей (entities): рабочих станций, приложений и сетевого трафика. Основанные на машинном обучении и ретроспективном анализе решения UEBA позволяют увидеть, что делал сотрудник, скажем, полгода назад и как изменилась его активность сейчас. Наряду с применением методов математической статистики это называется профилированием — с его помощью можно обнаружить такие инциденты, которые классические системы пропускают.

Как это работает?

Решения класса UEBA могут быть реализованы в виде отдельных информационных систем, а также в виде модулей к системам предотвращения утечек (DLP — от англ. Data Leak Prevention), SIEM (Security Information and Event Management) или управления корпоративным контентом (ECM — от англ. Enterprise content management). В первом случае они имеют огромное количество коннекторов к различного рода источникам структурированных и неструктурированных данных: системам управления учетными записями, бизнес-приложениям, СУБД.

Для повышения точности и снижения количества ложных срабатываний необходимо собрать как можно больше данных и сформировать профиль пользователя (его своеобразный психологический и технологический портрет), на основе которого рассчитывается скоринг и проводится оценка рисков. Такая система связывает все события с конкретными сотрудниками и выдает отчеты, определяя самых подозрительных пользователей и пользователей, с действиями которых сопряжены наибольшие риски информационной безопасности. Задачи встроенного в DLP или ECM-модуля сходны — он разбивает весь трафик информационной системы по пользователям и формирует аналогичные отчеты.

Сценарии применения

Злоумышленники внутри компании пытаются найти информацию, которая не должна их интересовать по роду деятельности или просто проявляют необычную активность и излишнюю любознательность. Если сотрудник в течение дня открыл слишком много сетевых папок или распечатал несколько сотен страниц, решение класса UEBA отследит аномалию и сообщит о ней службе безопасности.

Интеграция с системами контроля и управления доступом позволит увидеть и другие необычные действия, если сотрудник, например, попытается зайти в помещение, куда обычно не ходит. Аналогичными способами можно обнаружить и внешнюю атаку с использованием скомпрометированных учетных записей — в этом случае необычные действия выполняет не сам сотрудник, а подключившийся к корпоративным ресурсам с его правами удаленно злоумышленник.

Для обнаружения утечек данных применяются системы DLP, но контролировать все каналы они не могут — методы передачи данных становятся все сложнее и изощреннее. Решения UEBA гораздо лучше выявляют даже попытки переслать конфиденциальную информацию по электронной почте — по возросшему размеру и количеству писем, а также по другим признакам, задать которые в статичных правилах DLP будет затруднительно.

Очень часто сотрудникам разрешено подключаться к корпоративным ресурсам с удаленных площадок, но далеко не все используют эту возможность — если вдруг главный бухгалтер войдет в систему в неурочное время или из необычного места, система UEBA отреагирует на инцидент. То же самое произойдет в случаях, когда пользователь делится реквизитами для доступа к корпоративным ресурсам с другими сотрудниками или при ошибке настройки прав доступа.

Обычно эти вещи контролируются системой управления учетными данными (IDM — от англ. Identity management) или, в случае с привилегированными пользователями — системами PUM (Privileged User Management). Решение UEBA способно частично взять на себя и эту задачу в случае, если пользователю по ошибке дали слишком широкие полномочия или, скажем, системный администратор пытается выполнить подозрительные действия: копирует слишком большие объемы данных, активно подключается к рабочим станциям и т. д. Система PUM может служить источником сведений для поведенческого анализа, который выявит любую аномалию.

Еще одна проблема — процесс увольнения сотрудников. Нередко они передают конфиденциальную информацию конкурентам или просто удаляют критичные для бизнеса данные. В классических системах эффективные механизмы контроля таких работников встречаются редко, но для UEBA это типовой сценарий — грамотно настроенное решение может сопровождать весь процесс увольнения сразу после написания заявления, более строго отслеживая доступ пользователя к корпоративным ресурсам.

Отличия от классических систем

Как мы уже писали, классические системы включают элементы поведенческого анализа, но они отслеживают действия пользователя по статично заданным правилам и далеко не всегда способны отреагировать на аномалию. Важным отличием систем UEBA является способность к самообучению (пресловутый machine learning): огромную роль здесь играют количество источников информации о типовом рабочем дне конкретного сотрудника и динамическая корректировка его профиля на основе методов математической статистики для уменьшения процента ложных срабатываний. В сущности, решения UEBA предназначены не только для определения рисков, их задача состоит в минимизации отправляемых на ручную проверку офицерами безопасности проблем — работающие по жестким правилам классические системы справиться с этим в принципе не способны.

Станет ли поведенческий анализ панацеей?

К сожалению, ни один инструмент не позволит полностью решить все проблемы — это совершенно точно. Если сотрудник замыслил недоброе, он может, например, сфотографировать экран компьютера на телефон, вообще не оставляя следов в системе. Множество инцидентов связано с бумажными носителями, электромагнитным излучением и прочими угрозами, которые невозможно контролировать в корпоративной сети.

Только техническими средствами решить проблемы безопасности невозможно — это всегда применение комплекса мер, которые в совокупности позволяют снизить риски — так что «серебряной пули» из UEBA не получится. При условии грамотной настройки и профилирования решения UEBA могут дополнить существующие системы и сделать их работу более эффективной — это не очередной модный тренд, поведенческий анализ действительно позволяет предотвратить инциденты на начальной стадии их возникновения, еще до реализации угрозы.