Компрометация учетной записи часто выглядит как нормальная работа. В логах есть обычный вход, доступ к почте, файловому хранилищу и внутренним сервисам. Проблема начинается в момент, когда за легитимным логином уже стоит злоумышленник.
UBA, User Behavior Analytics, ищет не вредоносный файл, а отклонение от нормального поведения пользователя. Система смотрит на часы активности, точки входа, устройства, набор сервисов, объем операций и характер доступа к данным. Если последовательность действий резко расходится с накопленным профилем, риск растет.
UBA анализирует действия пользователей. UEBA шире: кроме людей учитывает устройства, IP-адреса, приложения и другие сущности. В большинстве расследований отправной точкой все равно остается учетная запись человека, поэтому разговор про UBA никуда не исчез.
Как UBA строит норму
Система собирает телеметрию из VPN, каталогов, почты, файловых сервисов, облачных приложений, прокси и рабочих станций. На такой базе строится профиль пользователя: обычные часы активности, привычные подсети, типовые устройства, частые маршруты между сервисами, средний объем скачивания и набор данных, с которыми человек работает регулярно.
Один признак редко означает атаку. Поздний вход можно объяснить переработкой. Новое устройство может означать замену ноутбука. Подозрение возникает, когда несколько признаков складываются в цепочку.
Пример: бухгалтер обычно работает с 9:00 до 18:00, входит из корпоративной сети, использует ERP, почту и несколько отчетных папок. Ночью учетная запись входит с новой подсети, открывает SharePoint, создает правило пересылки писем и скачивает архив на несколько гигабайт. Формально действия разрешены. С точки зрения профиля пользователя такая цепочка уже выглядит как захват учетной записи.
Какие угрозы UBA замечает лучше всего
Первая группа угроз связана с кражей учетных данных. Пароль можно получить через фишинг, токен сессии через инфостилер, доступ к MFA через социальную инженерию. Для части защитных систем вход остается легитимным. UBA замечает, что после входа меняется весь контекст: время, география, устройство, маршрут по сервисам и интерес к данным.
Вторая группа связана с инсайдерскими рисками. Сотрудник с доступом к данным начинает открывать чужие разделы, выгружать больше документов, чем обычно, или обращаться к системам, которые раньше не входили в рабочий круг. DLP может заметить сам факт вывода данных. UBA полезна раньше, на этапе, когда поведение уже меняется, а явной утечки еще нет.
Третья группа связана с боковым перемещением. После первого входа злоумышленник обычно ищет соседние узлы, новые права и путь к критичным системам. Для поведенческой модели такая активность выглядит как нетипичные переходы между устройствами, ролями и сервисами.
| Инструмент | Что видит лучше всего | Главное ограничение |
|---|---|---|
| UBA | Отклонения в действиях конкретного пользователя | Сильно зависит от качества профиля и логов |
| UEBA | Связанные аномалии между пользователями, устройствами и сервисами | Требует широкой телеметрии |
| SIEM | Известные паттерны и корреляцию событий | Хуже видит легитимную, но нетипичную активность |
| DLP | Передачу и выгрузку данных | Не всегда видит раннюю фазу отклонения |
Что нужно для внедрения
На старте достаточно подключить четыре источника: логи входа, VPN, почту и файловые сервисы. Уже такой набор показывает ночные входы, новые точки доступа, правила пересылки писем и нетипичные выгрузки. Следом обычно добавляют каталог, облачные приложения и телеметрию с конечных точек.
Модель не начинает работать мгновенно. Нужна история, чтобы отделять нормальные отклонения от опасных. Минимальный полезный горизонт обычно измеряется неделями, а не днями. После изменений в инфраструктуре, например перехода на удаленную работу или миграции в другое облако, профиль приходится переобучать.
Ложные срабатывания снижают тремя способами: привязывают поведение к роли, исключают известные служебные активности и начинают с узких правил для дорогих рисков. Обычно речь идет про привилегированные учетные записи, аномальную выгрузку данных, активность подрядчиков и нетипичные переходы между сегментами.
UBA не заменяет SIEM, IAM, EDR и расследование. Задача другая: понять, похоже ли текущее поведение на действия реального владельца учетной записи. Чем чаще атаки идут под легитимным логином, тем важнее такой слой анализа.
FAQ
- Чем UBA отличается от UEBA?
UBA анализирует поведение пользователей. UEBA добавляет устройства, IP-адреса, приложения и другие сущности. - Сколько данных нужно для старта?
Минимальный набор включает логи входа, VPN, почту и файловые сервисы. Без такого фундамента профиль получится слишком грубым. - Через сколько UBA начинает приносить пользу?
Первые сигналы могут появиться быстро, но устойчивый профиль обычно формируется за несколько недель. - Можно ли использовать UBA без SIEM и EDR?
Можно, но пользы будет меньше. Поведенческий анализ раскрывается лучше в связке с журналами, событиями с конечных точек и расследованием.
