User and Entity Behavior Analytics (UEBA, «поведенческий анализ пользователей и сущностей») — технология выявления киберугроз, основанная на анализе поведения пользователей, а также устройств, приложений и иных объектов в информационной системе.
Основная задача UEBA — своевременно обнаруживать целевые атаки и инсайдерские угрозы. Решения UEBA обрабатывают большой объем данных из различных источников, определяют нормальные модели поведения для каждого пользователя и объекта и уведомляют ИБ-специалистов, если замечают отклонения от этих моделей.
История технологии UEBA
UEBA представляет собой дальнейшее развитие технологии UBA (User Behavior Analysis, «поведенческий анализ пользователей»). Термин UBA в 2014 году ввели в обиход аналитики, обозначив так новую категорию ИБ-технологий, которую начали рассматривать при составлении рейтингов вендоров, выпускающих ПО для обеспечения информационной безопасности. Решения UBA направлены на анализ активности пользователей и эффективны для выявления инсайдерских угроз и финансового мошенничества (подозрительных транзакций).
В 2015 году аналитики расширили соответствующую категорию защитных технологий, включив в нее анализ поведения «сущностей», то есть устройств, приложений и так далее. Так появился термин UEBA. Основное различие UEBA и UBA понятно из названия – если системы UBA анализируют только поведение пользователей, то системы UEBA также учитывают поведение «сущностей».
Принцип работы UEBA-систем
Решения UEBA собирают и анализируют данные из различных источников. К таким данным могут относиться:
- логи серверов, рабочих станций, маршрутизаторов и других устройств;
- реестры систем контроля доступа и аутентификации;
- данные других ИБ-решений — брандмауэров, антивирусов, SIEM-продуктов и DLP-систем;
- переписка пользователей в социальных сетях, мессенджерах, по электронной почте;
- кадровые регистры компании и другая информация.
На основе собранных сведений UEBA-системы с помощью машинного обучения и статистического анализа генерируют шаблоны нормального поведения пользователей и сущностей. Впоследствии данные об активности пользователей и сущностей сопоставляются с этими шаблонами. Если то или иное действие значительно отличается от шаблона, например сотрудник отправляет письмо топ-менеджеру, с которым обычно не взаимодействует по работе, или на какой-то внешний сервер передается большой объем данных, система уведомляет специалистов по безопасности.
Применение UEBA-решений
Системы поведенческого анализа позволяют выявлять атаки, которые трудно обнаружить при помощи других ИБ-продуктов. В первую очередь это инсайдерские угрозы, сложные таргетированные атаки и компрометация корпоративных пользователей.
Как и активный поиск угроз, UEBA-решения выявляют криминальную активность в режиме реального времени, что дает ИБ-специалистам возможность оперативно среагировать и минимизировать последствия атаки.