Анализ пользовательского поведения — новая эра в ИТ-безопасности?

Самый страшный кошмар многих компаний заключается в проникновении опытного киберпреступника в систему. Сегодня хакеры умны и хорошо обеспечены, а их атаки становятся более сложными и целенаправленными. Недавние резонансные случаи взломов — например, компаний Sony, Target и Ashley Madison — были тщательно спланированы и долгое время оставались незамеченными, позволяя злоумышленникам свободно действовать внутри ИТ-инфраструктуры их жертв. Злоумышленники-инсайдеры имеют преимущество перед основными инструментами защиты компании, так как эти инструменты разработаны для защиты от внешних угроз, а не от доверенных сотрудников. Таргетированные атаки, осуществляемые людьми — это сочетание уязвимостей ИТ-систем, социальной инженерии и обычных преступных действий, ставящее своей целью получить незаконный доступ к системе.

Четыре основных преимущества UBA-аналитики

1. Уменьшает вероятность и влияние нарушений безопасности

2. Помогает распознать подозрительные действия и обнаружить неизвестные угрозы, исходящие как изнутри организации, так и извне

3. Увеличивает эффективность работы специалистов по безопасности

4. Усиливает адаптивность и гибкость бизнеса на фоне улучшения защиты

Это означает, что новый периметр защиты, на котором компаниям необходимо сосредоточить свое внимание — это пользователи. Именно люди являются новым фокусом всех мер безопасности вместо инфраструктуры. Анализ пользовательского поведения — воплощение этого подхода к ИТ-безопасности, центром которой являются пользователи. Это средство концентрируется на том, какие действия внутренние и внешние пользователи совершают в системе. Обнаруживая отклонения от обычных действий, решения по анализу поведения пользователей (UBA-решения) помогают компаниям сосредоточить ресурсы безопасности на важных событиях, а также позволяют им заменить некоторые средства управления и тем самым достичь большей эффективности бизнеса.

Так называемая APT-атака («целенаправленная устойчивая угроза») многим кажется расхожим словосочетанием из арсенала технических специалистов, однако на практике то, что мы используем это понятие, говорит о том, что хакеры всегда впереди нас. Вопрос даже не в том, когда преступники проникнут в нашу сеть — если наши данные представляют для них достаточную ценность, они будут пытаться взломать нашу систему, пока не получат эти данные или не зайдут внутрь. Вопрос в том, сможем ли мы обнаружить их до того, как они причинят реальный ущерб.

Является ли UBA-анализ полноценной заменой традиционных решений по безопасности?

В традиционных продуктах и технологиях ИТ-безопасности уже используются элементы обнаружения и предотвращения атак, основанные на анализе моделей поведения. В профилактических решениях для безопасности обычно имеются встроенные сведения о возможных направлениях атак и дополняющие их простые эвристические средства вроде антивирусов или блокираторов APT. Средства наблюдения типа систем обнаружения вторжений (IDS) и систем управления информацией о безопасности и событиями безопасности (SIEM) также используют модели поведения, заданные поставщиком либо создаваемые пользователем. Однако во всех случаях эти продукты могут обнаруживать только те события и атаки, к которым они готовы. Эвристика может расширить функциональность этих инструментов безопасности для обнаружения полиморфных вирусов или ранее неизвестных атак за счёт обнаружения похожих моделей и схем. Тем не менее, эти продукты не будут способны справляться с неизвестными им техниками нападения, так как создание эвристических моделей или «универсальных» схем для них будет нерациональным или даже невозможным.

«Системы управления информацией о безопасности и событиями безопасности (SIEM) поддерживают мониторинг действий в пользовательском контексте, тогда как UBA-технологии усиливают SIEM за счет более эффективного мониторинга исключений». Источник: Коммерческий справочник Gartner по анализу пользовательского поведения.

UBA-решения помогают обеспечить отличную защиту от APT-атак с использованием регистрационных данных сотрудника компании. Но это вовсе не значит, что они являются панацеей для отрасли ИТ-безопасности. UBA-решения не замещают, но дополняют традиционные SIEM-решения, закрывая их «слепые пятна». В настоящее время существует сильный дисбаланс между инструментами безопасности, которые контролируют ИТ-инфраструктуру и осуществляют мониторинг за ней. Начальники отделов информационной безопасностью уделяют максимум внимания предотвращению атак, изучают механизмы работы известных угроз, определяют степени доверия и тем самым создают все больше и больше уровней контроля над доступами и защитных «стен», а затем используют определённые ими схемы и правила для обнаружения таких угроз. Но даже большее количество слоёв защиты и инструментов управления не приносит желаемого результата — доказательством этому могут послужить недавние случаи кражи данных.

«Анализ пользовательского поведения (UBA) коренным образом меняет обычные практики управления безопасностью и защитой от мошенников, так как дает предприятиям возможность легко и детально видеть модели поведения пользователя и с их помощью обнаруживать нарушителей и шпионов». Источник: Коммерческий справочник Gartner по анализу пользовательского поведения.

Более того, стратегия, основанная только на контроле над доступом, управлении инцидентами и идентификационными данными пользователя, попросту нерациональна. В новых условиях перехода на аутсорсинг, облачные вычисления и политику BYOD обеспечение безопасности на необходимом уровне потребует огромных ресурсов и введения неприемлемых ограничений на повседневную работу пользователей. Слишком строгое управление не может одновременно обеспечить хорошую безопасность и комфортную работу сотрудников — для того, чтобы люди трудились, им необходимо доверие. UBA-инструменты дают пользователям именно такую свободу, при этом оставляя возможность немедленного вмешательства и реагирования, если кто-то из них превратится в угрозу для компании.

Как работает UBA-аналитика

При пользовании корпоративной инфраструктурой люди оставляют в системе «отпечатки пальцев». Их действия фиксируются в протоколах (логах), контрольных журналах, журналах изменений бизнес-приложений и многих других местах — например, в системах управления информацией о безопасности и событиями безопасности (SIEM) и системах анализа и моделирования планов (PAM). Это огромное количество ценных данных, которые уже доступны. Решения UBA не требуют предопределённых правил корреляции, установки дополнительных искателей или агентских программ — они будут просто работать с уже существующими данными. Первый шаг — сбор таких данных. UBA-решения не добавляют новые слои мониторинга — они всего лишь собирают и анализируют ту информацию, которая уже есть в системе. Большинство инструментов UBA регистрируют, к каким именно данным обращался аналитик, поэтому сотрудники могут быть уверены, что их файлы использовались только из соображений безопасности. Кроме того, некоторые UBA-решения умеют применять анонимизацию данных.

С помощью собранных данных можно сконструировать «эталон», «линию отсчёта», то есть определить нормативное для данных пользователей поведение: в какое время они обычно активны, какими сервисами пользуются, как именно они применяют эти сервисы и т. д. UBA-решения используют различные алгоритмы машинного самообучения для создания пользовательских профилей.

Что такое машинное самообучение?

Машинное самообучение (ML) даёт компьютерам возможность обучаться без явного программирования. ML-решения могут обнаруживать тенденции и закономерности в данных с хорошей степенью точности. При сортировке и кластеризации данных эти алгоритмы также смогут составлять прогнозы на будущее. Самый простой пример — это системы рекомендации продуктов интернет-магазинов. Они предлагают новые товары пользователю на основе его покупательских привычек или покупательских привычек других пользователей.

После определения «линии отсчёта» UBA-инструменты могут сравнивать текущие действия пользователя с его обычными действиями и определять аномалии в его поведении в режиме реального времени. Хакер, использующий взломанную учётную запись, или внутренний злоумышленник будут взаимодействовать с системой не так, как это делает обычный пользователь. Например, они будут обращаться к другим серверам, заходить под своей учётной записью из нетипичных мест в нетипичное время, загружать больше данных другого типа. Сравнивая эти действия с эталонными, администраторы могут регистрировать необычные отклонения в момент их совершения.

Регистрация подозрительных действий в режиме реального времени даёт возможность немедленно на них реагировать. Автоматические отклики могут значительно сократить время, которым злоумышленник будет располагать до принятия контрмер. В большинстве случаев атак событию, имеющему серьезные последствия, будет предшествовать этап разведки, зондирование. Обнаружение и реакция на событие на этом этапе критически важны для предотвращения тех самых серьёзных последствий. Реакции могут варьироваться от простых уведомлений до приостановления действия подозрительной учётной записи. Они могут применяться автоматически или вручную, после более детальной проверки ситуации специалистами.

Где может пригодиться UBA-аналитика

UBA-аналитика — это не панацея, но комплексный инструмент, позволяющий решать некоторые из самых сложных задач ИТ-безопасности, возникшие в первом десятилетии нового века. Это средство помогает обнаружить злоумышленников, проникающих в систему извне с помощью взломанных учётных записей или изнутри, через обычные регистрационные данные, тем самым значительно улучшая эффективность работы специалистов по безопасности.

Автор статьи — CEO BalaBit IT Security.