Что такое UEBA (User and Entity Behavior Analytics)?
Автор статьи:
Музалевский Федор Александрович
Ведущий эксперт компьютерно-технического направленияCистемы аналитики поведения пользователей и сущностей – User and Entity Behavior Analytics — стремительно растут в функционале и сферах применения.
Ведь классические атаки, основанные на уязвимостях, остались в прошлом — социальная инженерия прочно заняла первое место среди успешных векторов атак, поэтому анализ поведения пользователей как никогда важен.
Определение и практическое применение UEBA
UEBA (ю-и-би-эй) может анализировать поведение не только пользователей, но и программных сервисов, однако в настоящее время именно пользовательское поведение представляет наибольший интерес.
На какие вопросы может ответить система анализа поведения:
- Кто-то работает не под своим логином?
- Кто-то несколько раз ошибся в пароле?
- Кто-то начал печатать в приложении, которым раньше не пользовался?
- Кто этот кто-то, на каком рабочем месте он производит действия и что печатает?
Частично на эти вопросы отвечают SIEM-системы, получая данные из журналов ОС или прикладных систем. Однако это лишь малая часть вопросов.
Принцип работы User and Entity Behavior Analytics
Сейчас, когда нейросети с легкостью подделывают голоса и даже лица, обучить простую модель «нормальному» поведению пользователя не составит труда. Любое отклонение в дальнейшем — сигнал для принимающего решение, будь то SIEM, XDR или просто человек — администратор системы.
В виде UEBA чаще всего выступают либо статические правила, которые должен настраивать инженер, внедряющий систему, либо нейросеть, которая собирает эталонные события и измеряет возможные отклонения от них.
Действительно ценными в системах анализа являются заложенные алгоритмы обучения и анализа, которые работают «из коробки». Примером такого анализа может быть клавиатурный почерк.
Анализ поведения пользователей
Не секрет, что каждый из нас печатает с разной скоростью. Мало того, у нас есть уникальная скорость нажатия каждой клавиши, комбинации переноса пальца с одной клавиши на другую или время зажатия Shift для ввода большой буквы.
Сбор таких данных проводится, как правило, агентным способом, и позволяет выполнить несколько целей:
- Просматривать напечатанное
- Анализировать поведение пользователя
Последнее — прямая задача UEBA.
Отклонение от модели (обучить ее можно, как правило, за день-два работы пользователя) позволяет установить вероятные события, такие как:
- Кто-то другой работает под логином i.ivanov
- i.ivanov находится в состоянии стресса
- i.ivanov печатает нестандартно, к примеру, после травм рук скорость печати может меняться
Еще одним поведенческим фактором являются используемые пользователем приложения. Разумеется, всегда бывает что-то новое, однако рассчитать, сколько должен вводить символов за смену, например, оператор call-центра — вполне реальная задача. И если один оператор начал вдруг много работать не в HelpDesc-системе, а в командной строке — то это алерт об инциденте.
Какими данными может оперировать UEBA (один из вариантов — ведь стандарта не существует, поэтому системы постоянно совершенствуются) и кто может ими воспользоваться (не только отдел ИБ) можно представить на схеме:
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram