Руководство для начинающих: Аналитика поведения пользователей (UBA)
UBA, или Аналитика поведения пользователей, вызывает интерес по ряду причин.
Представьте свою систему безопасности: можете ли вы предсказать, где может возникнуть взлом?
Согласно последнему отчету компании Verizon о нарушениях данных (DBIR), 74% организаций считают себя уязвимыми перед внутренними атаками. Исследование, проведенное Институтом программной инженерии Университета Карнеги-Меллона, также показало, что 30% опрошенных отметили, что внутренние инциденты были более дорогостоящими и разрушительными по сравнению с внешними атаками.
Часто такие атаки направлены на получение личной информации организации с целью финансовой выгоды или публичной дискредитации. Поэтому сегодня требуется проактивная защита, а не реактивная.
Что это означает для вас? Вам необходимо иметь возможность с определенной степенью уверенности предсказывать, когда и где может произойти атака. Однако предвидеть будущее нелегко. Для этого необходимы релевантные данные, и здесь на помощь приходит аналитика поведения пользователей (UBA).
Стандартные системы безопасности, использующие SIEM-технологии, содержат огромные объемы данных. Однако основной вопрос всегда заключается в том, как эти данные интерпретировать и определить, что действительно важно.
Инструменты аналитики поведения пользователей предоставляют конкретные данные, необходимые для понимания типичного поведения пользователей и обнаружения аномального или подозрительного поведения. Системы аналитики поведения пользователей собирают данные о взаимодействии пользователей с устройствами, приложениями и другими цифровыми активами
Данные UBA имеют ценность для каждого отдела организации, от службы безопасности до отдела продаж. Из данных, предоставляемых системой аналитики поведения пользователей, можно извлечь ценную информацию.
Что такое аналитика поведения пользователей
UBA, или аналитика поведения пользователей и субъектов, известна также как UEBA (User and Entity Behavior Analytics). Gartner определяет ее как процесс профилирования и обнаружения аномалий с использованием различных аналитических подходов. Это включает базовую аналитику, такую как правила, сигнатуры и статистику, а также расширенную аналитику, включающую контролируемое и неконтролируемое машинное обучение.
UBA использует пакетную аналитику для оценки действий пользователей и других субъектов, таких как хосты, приложения, сетевой трафик и хранилища данных. Целью является обнаружение потенциальных инцидентов, которые отличаются от стандартных профилей и поведения пользователей и субъектов. Примерами таких инцидентов могут быть необычные доступы к системам и данным доверенными лицами или третьими лицами, а также нарушения, совершаемые внешними злоумышленниками, уклоняющимися от превентивных мер безопасности.
UBA также известна как SUBA (аналитика поведения пользователей безопасности) и NTA (аналитика сетевого трафика). В общем, аналитика поведения пользователей представляет собой процесс сбора данных о событиях, генерируемых пользователями в различных сетях и устройствах. Затем эти данные обрабатываются с использованием машинного обучения, алгоритмов, статистики и вероятности для создания логических и полезных аналитических отчетов. Такие отчеты выявляют значимую активность для организации.
UBA помогает компаниям оптимизировать процессы, обеспечивать соблюдение правил соответствия и защищать организацию от внутренних угроз. Она также играет важную роль в процессе расследования нарушений безопасности.
Краткая история аналитики поведения пользователей
User Behavior Analytics (UBA) – это концепция, произошедшая от Behavior Analytics, которая первоначально развивалась в сфере маркетинга. Продукты, такие как Google Analytics, предоставляют маркетологам организованные отчеты о действиях пользователей на сайте, что позволяет лучше понять, кто и что делает на веб-ресурсе. В настоящее время данные UBA становятся все более неотъемлемыми и широко используются в различных отделах организаций, особенно в области безопасности, кадрового учета, продаж и других сферах, связанных с процессами.
Организации используют данные, полученные из систем UBA, для оптимизации рабочих процессов, понимания уровня вовлеченности сотрудников и, конечно же, для выявления и анализа подозрительного поведения и потенциальных угроз. UBA помогает организациям лучше понять, какие активности совершают сотрудники, и принимать меры для обеспечения безопасности информации и предотвращения возможных инцидентов. Это инструмент, который обеспечивает дополнительные уровни защиты и помогает выявить необычные или вредоносные действия, которые могут угрожать безопасности и производительности организации.
Разница между SIEM и UBA
Системы SIEM, или Security Information and Event Management, являются основными технологиями в области систем безопасности и предоставляют возможность в режиме реального времени анализировать предупреждения о безопасности, генерируемые приложениями и сетевым оборудованием. SIEM системы обеспечивают мониторинг всех событий в инфраструктуре и собирают записи журналов и событий из различных систем безопасности, включая устройства пользователей, сетевые коммутаторы, брандмауэры, системы защиты от вторжений и серверы. Эти данные централизуются и анализируются для обнаружения потенциально важных событий с использованием правил корреляции, сопоставления списков разрешенных действий и статистического анализа.
Системы UBA, напротив, предоставляют детализированную информацию о событиях, используя исторические данные о пользовательской активности, веб-сайтах, приложениях и устройствах. Они позволяют получить более релевантные и контекстные уведомления, чем простые системные события. Основное отличие между ними заключается в следующем: SIEM приложения работают в реальном времени, используя заранее определенные правила и данные для анализа поведения. Однако они имеют ограничения в обнаружении аномалий, которые выходят за пределы этих правил. В свою очередь, UBA приложения применяют более долгосрочный подход, анализируя поведение в течение продолжительных временных интервалов и обнаруживая только действительно аномальное поведение. SIEM системы отслеживают все события, соответствующие заданным правилам, практически в реальном времени, тогда как UBA системы выявляют аномалии, основываясь на исторических данных об активности. Таким образом, системы SIEM предоставляют большой объем данных, в то время как UBA системы предоставляют более точечные или тактические данные.
Зачем нужна аналитика поведения пользователей?
В отчете “2017 Cost of Cyber-Crime Study” от Accenture Security подчеркивается, что кибератаки не снижаются и единственный способ опережать их – вкладывать в инновации. Согласно исследованию, компании в среднем теряют более 11,7 миллионов долларов из-за киберпреступлений, что на 62 процента больше, чем пять лет назад.
Среди новых технологий User Behavior Analytics занимает второе место по соотношению затрат и экономии средств, уступая лишь системам SIEM, стоимость которых в три раза выше средней системы User Behavior Analytics. Традиционные методы защиты уже неэффективны. Брандмауэр не обеспечивает полную надежность, пользователи передают пароли другим людям, сотрудники могут скрываться, оставаясь незамеченными, и никогда нельзя быть уверенным, когда простая фишинговая атака может подорвать безопасность аккаунта пользователя. Эта постоянно изменяющаяся ситуация требует, чтобы в современном мире безопасности использовались не только превентивные меры.
Кроме того, User Behavior Analytics может добавить необходимый контекст в системы бизнес-анализа, анализируя рабочие процессы на уровне всей компании и индивидуальных пользователей. Эти данные позволяют организациям оптимизировать процессы и повысить производительность. Современный бизнес-мир становится все сложнее и конкурентнее. Чтобы существующие компании оставались конкурентоспособными, им необходимо постоянно оценивать свои внутренние процессы. При масштабировании организаций важно следить за тем, чтобы старые процессы не стали неэффективными. Растущие компании должны контролировать свои процессы, чтобы обеспечить их правильное масштабирование.
Как аналитика поведения пользователей помогает организациям?
Выявление внутренних угроз
С каждым годом количество утечек данных продолжает расти, причем 1 из 5 случаев является результатом внутренней угрозы от сотрудника, уже имеющего доступ к конфиденциальным данным компании. Даже малозначительный предмет, например, флеш-накопитель, может стать инструментом разрушения, если у злоумышленника есть намерение нанести вред. Поэтому чрезвычайно важно обнаруживать потенциальные риски на ранних этапах и принимать меры для защиты конфиденциальных активов.
Программное обеспечение User Behavior Analytics (UBA) может помочь организациям понять, какие сотрудники ведут себя рискованно, а главное, обнаружить пользователей, обладающих доступом к конфиденциальным данным.
UBA использует методы машинного обучения, алгоритмы и статистику для создания и представления базовой модели поведения или профиля. Действия, которые отклоняются от этого профиля и кажутся необычными, фиксируются системой и уведомляют администратора о возникновении аномалии.
Обнаружение и расследование нарушений безопасности
Иногда нарушение безопасности невозможно полностью предотвратить, независимо от его источника. Однако наличие аналитики поведения пользователей существенно увеличивает вероятность точного определения уязвимых мест.
Если нарушение произошло изнутри организации, аналитика поведения пользователей позволяет выявить моменты, когда пользователь подключал USB-накопитель, посещал веб-сайты или открывал документы, содержащие вредоносное ПО. В случае внешней атаки на вашу организацию, вы сможете отследить и понять перемещения несанкционированного пользователя по сети, файлам и устройствам вашей организации.
Оптимизация и масштабирование бизнес-процессов
Аналитика поведения пользователей придает вашей организации большую прозрачность, поскольку каждое действие теперь документируется. Путем совмещения этих данных с имеющейся информацией о бизнес-аналитике вы сможете получить понимание о том, какие процессы эффективны и какие требуют больших затрат как в долларах, так и в рабочих часах.
Программное обеспечение для анализа поведения пользователей позволяет организациям проводить практику, известную как Business Process Mining. Этот процесс включает аудит того, как каждая работа выполняется внутри организации, изучение результатов и последующее тестирование новых методов, основанных на данных, с анализом полученных результатов. Программное обеспечение для анализа поведения пользователей (User Behavior Analytics Software) играет важную роль в этом процессе.
Дополнительная видимость соблюдения политики
Аномальное поведение, скорее всего, нарушает политику вашей компании. В то время как мониторинг сотрудников обычно относится к области использования систем UBA, тактические уведомления о необычном поведении привлекают внимание к тем, кто нарушает политику компании. Это позволяет быстро обнаруживать и реагировать на нарушения, обеспечивая соблюдение установленных правил и процедур.
Является ли анализ поведения пользователей только для специалистов по безопасности?
Некоторые из самых опытных специалистов по исследованию данных считают, что данные о поведении пользователей особенно ценны для обнаружения скрытых доходов в организации, не зависимо от того, как они изначально применяются и видятся другими людьми.
Исследование, проведенное Harvard Business Review, показало, что многие организации сталкиваются с ростом, но лишь немногие из них готовы к нему. Бизнес-процессы и принимаемые на их основе решения становятся настолько сложными, что затрудняют рост компаний в условиях цифровой экономики, подтвердили 86% руководителей, опрошенных в рамках этого исследования.
При росте компании старые процессы становятся неэффективными в масштабе, что приводит к увеличению потерь временной ценности. Эта потеря растет в геометрической прогрессии по мере найма новых сотрудников, которые продолжают работать в рамках неэффективных процессов. Чтобы сократить потерю временной ценности, организации регулярно проводят процесс, известный как Business Process Mining.
Business Process Mining – это аудит данных, позволяющий изучить, как выполняется работа, выявить узкие места и внести изменения в процесс на основе данных, а затем измерить полученные результаты. Анализ бизнес-процессов является ценным инструментом при масштабировании бизнеса, поскольку он гарантирует эффективное использование затрат на зарплату сотрудников, инструменты и надзор.
Данные о поведении пользователей идеально подходят для анализа бизнес-процессов, так как они регистрируют все действия пользователей на компьютере. Эта информация может быть бесценной при проведении аудита процессов, поскольку она позволяет узнать, что происходило, соблюдались ли процессы, а также определить моменты и места отклонения в процессе и его влияние на результат.
Как собирать данные о событиях поведения пользователей?
В анализе поведения пользователей существует множество программных технологий, которые помогают организациям собирать и анализировать поведение пользователей внутри компании. Очень важно выбрать подходящую систему, так как это имеет решающее значение для достижения успеха. Продукты User Behavior Analytics (аналитика поведения пользователей) значительно различаются по предоставляемой информации и способу представления данных. Эти факторы могут существенно влиять на понимание, полученное из поведения пользователей и, в конечном счете, на успешность внедрения такой системы.
Плюсы User Behavior Analytics (UBA):
- Обнаружение скрытых угроз: UBA позволяет обнаруживать бреши в системе безопасности, которые могут быть упущены другими системами. Он анализирует поведение пользователей и систематически выявляет аномалии, указывая на потенциальные угрозы, включая внутренние атаки.
- Релевантные данные: UBA предоставляет более полные и релевантные данные по сравнению с системами Security Information and Event Management (SIEM), так как он анализирует не только системные события, но и поведение пользователей. Это позволяет предсказывать атаки изнутри вашей сети и выявлять подозрительные действия пользователей.
- Повышение эффективности организации: UBA позволяет анализировать рабочие процессы в организации и понимать их влияние на эффективность. Вы сможете определить, как новые процессы влияют на объем работы и производительность сотрудников. Благодаря UBA вы сможете проводить A/B-тесты рабочих процессов, чтобы определить их воздействие на общую эффективность компании и улучшить рабочие процессы.
Использование User Behavior Analytics помогает улучшить безопасность, предсказывать и предотвращать угрозы, а также оптимизировать рабочие процессы для достижения большей эффективности организации.
Минусы User Behavior Analytics (UBA):
- События “Черного лебедя”: Некоторые события, которые ранее не наблюдались у пользователя, могут быть отмечены UBA как подозрительные. Например, когда пользователь получает новую роль или получает доступ к новому ресурсу. Это может привести к возникновению “усталости от оповещений”, когда получается слишком много оповещений, и становится сложно определить, какие из них являются действительно важными.
- Стабилизация машинного обучения: Машинное обучение, используемое в UBA, все еще находится в процессе стабилизации. Это может вызывать некоторое недоверие у людей и приводить к колебаниям в отношении достоверности аналитических данных, что может затруднить внедрение системы анализа поведения пользователей.
Приступая к работе с инструментами анализа поведения пользователей, рекомендуется следующее:
- Определите цели и причины инвестиций в аналитику поведения пользователей. Уточните, какие угрозы вас беспокоят, нужно ли вам обнаружение внутренних угроз, повышение эффективности отделов или масштабируемость процессов.
- Задайте себе ряд важных вопросов, связанных с инструментами UBA, такие как соответствие их функциональности вашим потребностям, возможность интеграции с существующими системами, время внедрения, уровень сложности для пользователей, бюджетные соображения и другие.
- Получите ответы на эти вопросы на ранних этапах расследования. Если некоторые вопросы останутся без ответа, это может стать препятствием для успешного внедрения системы UBA.
Учитывая эти факторы и проведя подробное исследование, вы сможете принять информированное решение о внедрении инструментов анализа поведения пользователей в вашей организации.
Резюмируя
Да, User Behavior Analytics (UBA) является будущим безопасности бизнеса и представляет собой более конкретный и адаптированный подход к обеспечению безопасности организации. В сравнении с SIEM-системами, UBA предлагает более релевантные данные, анализируя и учитывая поведение пользователей, а не только системные события. Это позволяет выявлять внутренние угрозы и прогнозировать атаки изнутри сети.
Программное обеспечение для анализа поведения пользователей использует передовые методы обработки данных, включая машинное обучение, алгоритмы и статистику, для создания базовых профилей пользователей и выделения потенциальных рисков. Это позволяет командам безопасности быть впереди конкурентов и более фокусироваться на наиболее критических аспектах безопасности организации.
IBM Security QRadar SIEM является одним из универсальных и зрелых решений, которое включает в себя как SIEM, так и UBA. Оно предоставляет широкий спектр функций и инструментов для обеспечения безопасности, а также включает в себя Network Traffic Analysis (NTA) для дополнительного уровня обнаружения и анализа. Это может быть полезным решением для офицеров и аналитиков информационной безопасности.
В целом, инвестиции в аналитику поведения пользователей, такую как UBA, и выбор подходящего программного обеспечения, могут значительно улучшить безопасность вашей организации и помочь вам опережать потенциальные угрозы.
Источник:
https://icore.kz/upravlenie-inczidentami/ibm-security-qradar-siem/
https://securityintelligence.com/posts/detecting-insider-threats-leverage-user-behavior-analytics/
https://www.ibm.com/products/qradar-siem/user-behavior-analytics
https://www.ibm.com/docs/en/qradar-common?topic=app-qradar-user-behavior-analytics
https://blogs.gartner.com/anton-chuvakin/2016/12/12/ueba-clearly-defined-again/
Автор:
Лебедев А.В.