Узнать больше

Что такое UEBA (User and Entity Behavior Analytics)?

Автор статьи:

Cистемы аналитики поведения пользователей и сущностей – User and Entity Behavior Analytics — стремительно растут в функционале и сферах применения.

Ведь классические атаки, основанные на уязвимостях, остались в прошлом — социальная инженерия прочно заняла первое место среди успешных векторов атак, поэтому анализ поведения пользователей как никогда важен.

Определение и практическое применение UEBA

UEBA (ю-и-би-эй) может анализировать поведение не только пользователей, но и программных сервисов, однако в настоящее время именно пользовательское поведение представляет наибольший интерес.

На какие вопросы может ответить система анализа поведения:

  • Кто-то работает не под своим логином?
  • Кто-то несколько раз ошибся в пароле?
  • Кто-то начал печатать в приложении, которым раньше не пользовался?
  • Кто этот кто-то, на каком рабочем месте он производит действия и что печатает?

Частично на эти вопросы отвечают SIEM-системы, получая данные из журналов ОС или прикладных систем. Однако это лишь малая часть вопросов.

Принцип работы User and Entity Behavior Analytics

Сейчас, когда нейросети с легкостью подделывают голоса и даже лица, обучить простую модель «нормальному» поведению пользователя не составит труда. Любое отклонение в дальнейшем — сигнал для принимающего решение, будь то SIEM, XDR или просто человек — администратор системы.

В виде UEBA чаще всего выступают либо статические правила, которые должен настраивать инженер, внедряющий систему, либо нейросеть, которая собирает эталонные события и измеряет возможные отклонения от них.

Действительно ценными в системах анализа являются заложенные алгоритмы обучения и анализа, которые работают «из коробки». Примером такого анализа может быть клавиатурный почерк.


ПОПРОБУЙТЕ UEBA ОТ MEDOED БЕСПЛАТНО

Анализ поведения пользователей

Не секрет, что каждый из нас печатает с разной скоростью. Мало того, у нас есть уникальная скорость нажатия каждой клавиши, комбинации переноса пальца с одной клавиши на другую или время зажатия Shift для ввода большой буквы.

Сбор таких данных проводится, как правило, агентным способом, и позволяет выполнить несколько целей:

  • Просматривать напечатанное
  • Анализировать поведение пользователя

Последнее — прямая задача UEBA.
Отклонение от модели (обучить ее можно, как правило, за день-два работы пользователя) позволяет установить вероятные события, такие как:

  • Кто-то другой работает под логином i.ivanov
  • i.ivanov находится в состоянии стресса
  • i.ivanov печатает нестандартно, к примеру, после травм рук скорость печати может меняться

Еще одним поведенческим фактором являются используемые пользователем приложения. Разумеется, всегда бывает что-то новое, однако рассчитать, сколько должен вводить символов за смену, например, оператор call-центра — вполне реальная задача. И если один оператор начал вдруг много работать не в HelpDesc-системе, а в командной строке — то это алерт об инциденте.

Какими данными может оперировать UEBA (один из вариантов — ведь стандарта не существует, поэтому системы постоянно совершенствуются) и кто может ими воспользоваться (не только отдел ИБ) можно представить на схеме:

класс решений Medoed

Подписывайтесь на канал ИТ. Право. Безопасность в Telegram

Телеграм канал ИТ Право Безопасность

Задать вопрос эксперту

    Связанные услуги