Статья

Поведенческий анализ помогает выявлять ИБ-инциденты

Безопасность Техническая защита
мобильная версия
, Текст: Наталья Рудычева

Прошел почти год, как корпорация Hewlett Packard выпустила решение User behavior analytics (UBA), которое дает возможность просто и быстро использовать инструменты поведенческого анализа, статистики и анализа больших данных для обнаружения инцидентов в сфере информационной безопасности. Ранее работа с подобными системами была уделом избранных специалистов. Новая версия содержит преднастроенные профили поведенческого анализа и обобщает «боевой» опыт использования системы.

21 апреля исполнится год, как на конференции RSA Security было объявлено о появлении нового продукта в портфеле продуктов Hewlett Packard Enterprise для обеспечения корпоративной безопасности – User behavior analytics (HPE UBA), который является дополнительным модулем к системе HPE ArcSight. Решение позволяет автоматически обнаруживать инциденты информационной безопасности (ИБ) путем профилирования нормальных поведенческих паттернов активности пользователей.

Этот год продукт не стоял на месте – вышла новая версия 1.1, появилась premium-версия продукта, которая содержит преднастроенные профили поведенческого анализа, был проанализирован и обобщен «боевой» опыт использования системы. Все это позволяет более эффективно бороться с инцидентами информационной безопасности, фигурантом которых все чаще являются сами сотрудники организации. Согласно исследованию Verizon от 2015 г. Data Breach Investigations Report, до 55% инцидентов информационной безопасности связано со злоупотреблением выданными полномочиями, а именно на выявление таких инцидентов и направлен User behavior analytics.

Спектр возможностей

HPE UBA позволяет решать задачи трех базовых типов. Во-первых, это анализ любых событий пользовательской активности – доступ к базам данных, файловым каталогам, работа со съемными носителями, операции в корпоративных информационных системах (биллинг, платежи, документооборот, работа с персональными данными) и др. Во-вторых, это использование готовых математических моделей по профилированию активности на основе полученных событий – группировка однотипных событий (peer group analysis), выявление аномалий (anomaly detection), определение штатного профиля работы (baseline profiling), определение частоты возникновения событий (event rarity). И в-третьих, это применение результатов работы математических моделей к задачам информационной безопасности – выявление инсайдеров, контроль привилегированных пользователей, необычной активности в корпоративных системах: «спящие счета», «доступ к карточкам ВИП-клиентов» и прочее.

Кроме того, User Behavior Analytics позволяет дополнять события безопасности расширенным контекстом – информацией о пользователе, его рабочем окружении, организационных и других атрибутах. Таким образом, даже если в событии содержится только IP-адрес, все равно можно будет понять ФИО пользователя, который стоял за этой активностью.

Фактически можно создать в системе универсальную карту пользователя, в которой будут автоматически поддерживаться актуальными все его атрибуты – дата принятия на работу/увольнения, должность, подразделение, регион и пр. На отдельной вкладке будет вестись журнал всех его учетных записей в информационных системах. Обладая этой информацией, можно выявлять целый ряд инцидентов безопасности. Например, система обнаружит значительные отличия в активности данного пользователя от рассчитанного профиля активности остальных сотрудников данного подразделения, данного региона, данной должности.

Также сигнал поступит, если сумма проведенных транзакций по данному продукту превышает наблюдаемые нормальные значения за рассчитанные временные промежутки (час дня, день недели, неделя, день месяца, месяц, выходные). Будет видна ранее не наблюдаемая активность на данном АРМ по работе с административными транзакциями SAP.

При этом важно понимать, что само профилирование выполняется системой автоматически, после того как будут заданы исходные параметры для анализа. Поскольку математические модели универсальны, а использование для сбора событий коннекторов HPE ArcSight позволяет привести эту информацию к единому виду, хрупкий баланс между простотой и функциональностью соблюден на 100%. Хотя часть аналитики и можно выполнить с помощью SIEM-системы, HPE User behavior analytics позволяет это сделать быстрее, проще и с использованием некоторых функций, уникальных только для этого решения.

Работа с системой

Хорошо, события получены с помощью стандартных коннекторов HPE ArcSight, настроена регулярная загрузка данных кадровой информации для формирования универсальной карты пользователя, импортированы и «связаны» учетные записи в информационных системах – что дальше?

Карта обнаруженных рисков и список пользователей по уровню агрегированной угрозы

Для увеличения кликните по изображению
Источник: НРЕ, 2016

Дальше система начнет обнаруживать инциденты по тем поведенческим профилям, которые она сформировала автоматически согласно настройкам. Для сотрудника ИБ система предлагает встроенный интерфейс анализа и визуализации данных по инцидентам, а также она автоматически выполняет агрегацию выявленных инцидентов согласно их уровню риска. Таким образом можно приоритизировать работу аналитика с инцидентами, а также строить аналитику по рискам согласно другим измерениям – пользователям, подразделениям, регионам. Это чрезвычайно важно, поскольку в условиях постоянной нехватки времени в ИБ важно сконцентрироваться над расследованием наиболее важных инцидентов. По итогам расследования и при необходимости система позволяет вводить повышающие и понижающие коэффициенты расчета риска, чтобы адаптировать автоматическую работу системы согласно приоритетам ИБ.

HPE User behavior analytics стал важным элементом портфеля продуктов HewlettPackardEnterprise для обеспечения корпоративной безопасности. Большой интерес к нему выказывают как текущие клиенты, использующие HPE ArcSight ESM, так и люди, которые только начинают знакомство с решениями HPE. UBA дает возможность использовать инструменты поведенческого анализа, статистики и анализа больших данных, которые раньше были уделом избранных специалистов. По мнению экспертов Hewlett Packard Enterprise, использование решения User behavior analytics позволит существенно повысить уровень информационной безопасности компании за счет возможности выявления инцидентов, которые раньше нельзя было обнаружить существующими методами.

Евгений Афонин, архитектор решений безопасности HPE Security