Что такое UEBA (User and Entity Behavior Analytics)?

Cистемы аналитики поведения пользователей и сущностей – User and Entity Behavior Analytics — стремительно растут в функционале и сферах применения.

Ведь классические атаки, основанные на уязвимостях, остались в прошлом — социальная инженерия прочно заняла первое место среди успешных векторов атак, поэтому анализ поведения пользователей как никогда важен.

Определение и практическое применение UEBA

UEBA (ю-и-би-эй) может анализировать поведение не только пользователей, но и программных сервисов, однако в настоящее время именно пользовательское поведение представляет наибольший интерес.

На какие вопросы может ответить система анализа поведения:

• Кто-то работает не под своим логином?
• Кто-то несколько раз ошибся в пароле?
• Кто-то начал печатать в приложении, которым раньше не пользовался?
• Кто этот кто-то, на каком рабочем месте он производит действия и что печатает?

Частично на эти вопросы отвечают SIEM-системы, получая данные из журналов ОС или прикладных систем. Однако это лишь малая часть вопросов.

Принцип работы User and Entity Behavior Analytics

Сейчас, когда нейросети с легкостью подделывают голоса и даже лица, обучить простую модель «нормальному» поведению пользователя не составит труда. Любое отклонение в дальнейшем — сигнал для принимающего решение, будь то SIEM, XDR или просто человек — администратор системы.

В виде UEBA чаще всего выступают либо статические правила, которые должен настраивать инженер, внедряющий систему, либо нейросеть, которая собирает эталонные события и измеряет возможные отклонения от них.

Действительно ценными в системах анализа являются заложенные алгоритмы обучения и анализа, которые работают «из коробки». Примером такого анализа может быть клавиатурный почерк.

Анализ поведения пользователей

Не секрет, что каждый из нас печатает с разной скоростью. Мало того, у нас есть уникальная скорость нажатия каждой клавиши, комбинации переноса пальца с одной клавиши на другую или время зажатия Shift для ввода большой буквы.

Сбор таких данных проводится, как правило, агентным способом, и позволяет выполнить несколько целей:

• Просматривать напечатанное
• Анализировать поведение пользователя

Последнее — прямая задача UEBA.
Отклонение от модели (обучить ее можно, как правило, за день-два работы пользователя) позволяет установить вероятные события, такие как:

• Кто-то другой работает под логином i.ivanov
• i.ivanov находится в состоянии стресса
• i.ivanov печатает нестандартно, к примеру, после травм рук скорость печати может меняться

Еще одним поведенческим фактором являются используемые пользователем приложения. Разумеется, всегда бывает что-то новое, однако рассчитать, сколько должен вводить символов за смену, например, оператор call-центра — вполне реальная задача. И если один оператор начал вдруг много работать не в HelpDesc-системе, а в командной строке — то это алерт об инциденте.

Какими данными может оперировать UEBA (один из вариантов — ведь стандарта не существует, поэтому системы постоянно совершенствуются) и кто может ими воспользоваться (не только отдел ИБ) можно представить на схеме: