Диапазон вариантов использования анализа поведения пользователей и объектов (UEBA) широк, что позволяет выявлять и оценивать риски на ранней стадии.

User Entity Behavior Analytics - анализ поведения пользователей и сущностей (UEBA) выявляет скрытые риски для компании. UEBA использует передовые методы анализа данных для сканирования потоков данных из различных источников на предмет признаков атак, разведки и кражи данных.

В данном случае анализ поведения означает действия как людей, так и систем или сущностей.

Примеры этого включают ситуации, когда пользователь внезапно загружает большие объемы данных, система внезапно пытается подключиться к другой системе, с которой она обычно не взаимодействует, или происходит что-то еще необычное.

UEBA имеет множество применений в следующих основных областях:

- Информационная безопасность

- Операции сети и центра обработки данных

- Администрация

- Деловые операции

Кибербезопасность: примеры использования UEBA

UEBA ищет признаки различных типов угроз или нарушений в журналах, файлах конфигурации и других источниках данных. Это ключ к следующим вариантам использования.

Обнаружение боковых движений

Сетевые журналы могут свидетельствовать о том, что система пытается связаться с другими системами, с которыми она обычно не взаимодействует, что потенциально указывает на то, что она была скомпрометирована и используется в качестве отправной точки для боковых атак на другие системы.

Выявление скомпрометированных учетных записей

Системные и сетевые журналы могут показывать, как люди или учетные записи пытаются делать то, чего они обычно не делают и не должны делать. Это может указывать на то, что учетные данные учетной записи были скомпрометированы и третья сторона использует ее для изучения возможностей и уязвимостей или для кражи конфиденциальных данных.

Обнаружение внутренних угроз

Поведенческий анализ может обнаружить учетную запись, которая использует более высокие уровни привилегий, чем обычно, или пытается получить доступ к системам, с которыми она обычно не взаимодействует. Это возможные признаки того, что инсайдер злоупотребляет возможностями своей учетной записи.

Обнаружение создания учетной записи трояна

Анализ может обнаружить необычные всплески активности по созданию, удалению или изменению учетных записей, такие как создание большого количества учетных записей системных администраторов или потеря определенных прав доступа к существующим учетным записям. Такое поведение может указывать на то, что злоумышленник настраивает локальные учетные записи для выполнения дальнейших операций.

Отслеживание нарушения политики совместного использования учетных записей

Системы UEBA могут обнаруживать признаки того, что пользователи делятся своими учетными данными, а не просто работают со своими учетными записями, что повышает вероятность компрометации со стороны злоумышленников.

Перспективный и ретроспективный UEBA

UEBA можно использовать в целях кибербезопасности прогнозно или ретроспективно. В перспективе команды безопасности или поставщики услуг будут использовать его для обнаружения атак по мере их возникновения с целью инициировать — желательно автоматический — ответ.

После этого команды кибербезопасности, поставщики услуг и правоохранительные органы используют UEBA для проверки журналов и других данных в рамках криминалистического расследования уже произошедшей атаки.

UEBA может обнаружить предшественников атаки и отфильтровать различные направления деятельности, составляющие атаку. Эта информация может быть использована для устранения последствий атаки, а также усиления защиты, а затем может быть передана через каналы разведки об угрозах.

Системы UEBA ориентированы на варианты использования, аналитику и данные для присвоения оценок риска конкретному поведению.

Варианты использования для операционной области

Те же функции, которые делают UEBA мощным инструментом безопасности — фильтрация значимой информации из различных потоков данных об использовании и производительности — также делают программное обеспечение UEBA полезным для групп системных операций.

Ключевые случаи использования включают следующее.

Прогнозирование предстоящих аппаратных и программных сбоев

Аномальное поведение может указывать на текущие или предстоящие неисправности оборудования, операционных систем, промежуточного программного обеспечения (например, систем управления базами данных), серверов приложений и приложений.

Например, растущее число ошибок передачи данных на определенном порту сетевого коммутатора может указывать на аппаратный сбой или проблему с подключением этого порта.

Проведение анализа первопричин

Одна проблема иногда может повлиять на несколько систем и функциональных уровней. Анализ угроз необходим для понимания взаимосвязей. Например, разбросанные сбои транзакций в нескольких приложениях, ориентированных на сотрудников и клиентов, а также периодические проблемы с сервером базы данных и контейнерами приложений, работающими в определенном кластере Kubernetes, могут быть связаны с проблемой сети хранения данных, лежащей в основе всех элементов.

UEBA может удовлетворить операционные потребности предприятий и поставщиков облачных услуг, которые могут использовать его как перспективно, так и ретроспективно. Вы можете использовать инструменты UEBA, чтобы определить причину разрозненных проблем, которые не имеют явной связи в момент их возникновения.

Аналогичным образом, эти инструменты можно использовать после сбоя, чтобы увидеть, были ли индикаторы проблемы, которые могли быть обнаружены раньше, и будут ли они обнаружены в случае повторения.

Другие варианты использования поведенческого анализа

Помимо собственно ИТ, компания может использовать инструмент анализа поведения, чтобы отслеживать и понимать поведение сотрудников и клиентов для управленческих и деловых целей. Это не те же продукты, которые используются в операциях или безопасности, но они используют те же методы и подпадают под действие анализа поведения.

При анализе поведения сотрудников компании всегда должны соблюдать действующее законодательство, политику защиты данных компании и этические принципы управления сотрудниками. Несмотря на то, что эти инструменты имеют высокий потенциал для неправильного использования, они могут дать важную информацию.

Понимание производительности

Поведение может дать представление об индивидуальной и командной продуктивности и показать, почему некоторые люди или команды более продуктивны, чем другие, в данном контексте.

Понимание реальной структуры команды

Поведенческий анализ также может выявить модели общения между сотрудниками, что может дать о них полезную информацию. Например, каких сотрудников другие сотрудники считают менеджерами, помощниками или наставниками.

Обнаружение мошеннических транзакций

Банки и другие учреждения финансовых услуг, а также поставщики услуг, такие как телефонные компании, уже давно используют такие технологии для обнаружения мошенничества. Эти системы были одними из первых применений методов анализа с использованием инструментов UEBA. В этих контекстах инструменты фокусируются на аномальном поведении, таком как следующее:

- необычное использование банкоматных карт или онлайн-банкинга;

- неожиданные схемы выставления счетов по кредитным картам;

- странные закономерности в страховых выплатах;

- мошенничество с платой за проезд на междугородных перевозках;

- звонки от робота

Сосредоточив внимание на том, что делают люди и системы, инструменты UEBA обнаруживают полезную информацию в растущем разнообразии вариантов использования.

Быстрое развитие искусственного интеллекта и машинного обучения расширит и углубит спектр доступных инструментов и их способность анализировать данные, разбросанные во времени, по географическому признаку и в разных системах.

Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.