Спасение от рядового пользователя: как поведенческий анализ защищает компанию
Фраза «пользователь – самое слабое звено информационной системы» за много лет так и не потеряла актуальность. Действительно, что делать с человеком, который случайно или с умыслом все равно обойдет защиту, и от его активности компанию могут не спасти никакие средства защиты? Ищем ответ в технологии, которая имеет все шансы стать трендом в ИБ на ближайшие годы – UEBA (User and Entity Behavior Analytics).
Долгие годы отрасль информационной безопасности озабочена пресечением атак в момент их совершения и минимизацией последствий. Но со временем все более очевидной становилась необходимость полной автоматизации процессов детектирования инцидентов безопасности и реагирования на них, особенно в последние года, когда стало размываться само понятие защищаемого периметра. Это способствовало развитию не только технологий IDS, IPS, SIEM и проч., но и таких, которые позволяли бы анализировать поведение пользователей, сетевого трафика и всех сущностей, имеющих отношение к сети. Первые разработки в области поведенческого анализа в отрасли ИБ относятся к началу 2000-х годов. Они применялись в системах предотвращения вторжений и WAF-решениях, но в связи с появлением новых типов систем и технологий сегодня эти же решения вновь стали актуальными благодаря существенному продвижению в области технологий анализа данных. Речь идет о технологии UEBA.
В последнее время не только специалисты по информационной безопасности, но и бизнесмены, и айтишники серьезно озабочены участившимися успешными кибератаками и вирусными эпидемиями (пусть и не такими широкомасштабными, как знаменитые Melissa или Chernobyl, которые, впрочем, распространялись еще до эпохи развитых антивирусов). Это во многом объясняется удешевлением средств нападения – они становятся более доступными низкоквалифицированным злоумышленникам и при этом достаточно эффективными. Не меньшую проблему стали представлять и таргетированные атаки, в которых преступники применяют целый комплекс мероприятий для получения доступа к информационным активам компании-жертвы: подброшенные флешки с вирусами, фишинговые письма с поддельными адресами коллег в поле «от кого», классический со времен Кевина Митника «развод» жертвы по телефону, подкуп инсайдеров, атака через взломанную сеть компании-партнера и т.д.
Это вынудило бизнес менять подходы к построению инфраструктуры безопасности, дополняя имеющиеся технологии новыми и распространяя защиту не только на периметр и конечные устройства. Стали активнее внедряться средства защиты отдельных сегментов сети внутри периметра, больше внимания уделяется патч-менеджменту и управлению правами доступа, появились системы и сервисы расследования инцидентов. При этом контроль поведения человека для многих заказчиков остался нерешенной проблемой, о способах решения которой многие даже не знают. «Можно защитить периметр самыми современными средствами, но остается проблема пользователей, причем не только рядовых, но и тех, кто обладает полным доступом ко всем данным компании, – директор департамента защиты информационных систем RedSys Андрей Тархов. – Если во время вирусной эпидемии генеральный директор приносит из дома зараженный ноутбук, с которого зловреды распространяются на всю сеть, его подчиненные могут только постараться ликвидировать последствия, а не запретить ему пользоваться зараженным устройством. К сожалению, высокопоставленные менеджеры менее всего склонны следовать правилам».
Точно так же не будут следовать правилам инсайдеры или просто неорганизованные сотрудники, действующие «на авось». Поэтому единственным реальным способом защиты от их активности стали специализированные технологии и средства безопасности.
UEBA решает четыре основные задачи. Во-первых, она позволяет оптимизировать и ускорить расследование уже произошедших инцидентов за счет того, что хранит контекстную информацию обо всех событиях, которые к ним привели. Во-вторых, она может быстро выявить инцидент и, в ряде случаев, остановить его развитие. И, в-третьих, UEBA дает возможность приоритизировать оповещения о событиях от систем безопасности для лучшего управления ИБ. И, в-четвертых, UEBA устанавливает связи между людьми и сущностями, выявляет аномалии в связах и событиях, а также – самое главное – прогнозирует и предупреждает инциденты.
По статистике Cisco, которую приводит бизнес-консультант по ИБ корпорации в России Алексей Лукацкий, до 70% инцидентов безопасности в компаниях начинаются с пользователей. Поэтому уже давно возникла идея поставить их деятельность под контроль.
Большинство ранее существовавших решений по защите опирается на жестко прописанные правила, не описывающие все многообразие вариантов. В отличие от них, UEBA отслеживает аномалии, зачастую опираясь на возможности современной аналитики, а не на правила. Эта технология родилась в эпоху больших данных, и она предназначена для работы с ними, когда разнообразие источников и типов данных, связей между ними, трафика и т.д. не может быть быстро и правильно оценено человеком даже на уровне создания правил для всех возможных вариантов. Иногда таким образом удается вскрывать ситуации, когда злоумышленники действовали против интересов компании, прикрываясь легальными учетными записями.
На рынке UEBA пока работает не очень много вендоров, предлагающих соответствующие системы. Причем, по мнению Алексея Лукацкого, этот рынок через несколько лет не разовьется, а, вероятно, сойдет на нет: «Он и появился только потому, что такие решения, как SIEM, DLP, аналитика сетевого трафика, контроль привилегированных пользователей не справлялись с задачей на том уровне, который требовался индустрии. Поэтому появились отдельные продукты». В чем же проблема, почему только что родившемуся рынку предсказывают скорый конец?
Дело в том, что в мире существуют два подхода к решению задач поведенческого анализа. Первый – внедрение специализированных систем, когда заказчик готов платить очень большие деньги за продукты, реализующие функционал UEBA. При этом, к сожалению, заранее нельзя сказать, насколько выбранные продукты реально отвечают требованиям конкретной компании, особенно если говорить про российских заказчиков, у большинства из которых не решены даже базовые задачи защиты и мониторинга внутренней сети, конечных устройств – все эти функции обычно возлагаются на классическую пару из антивируса и межсетевого экрана. Таким заказчикам сложно говорить о еще одном классе продуктов производства, например, ExoBeam, Securonix или других лидеров рынка – они не готовы к таким решениям, несмотря на то, что потребность мониторинга пользователей у них существует.
Поэтому в мире все большую популярность набирает второе направление – интеграция функциональных возможностей UEBA в существующие решения ИБ. Список задач UEBA (анализ, обнаружение, приоритезация и расследование) показывает, с какими существующими системами такая интеграция будет актуальной – это Security Information and Event Monitoring (SIEM), Data Loss Prevention (DLP), Identity and Access Management (IAM), Employee Monitoring (EM), Endpoint Detection and Response (EDR), Network traffic analysis (NTA), Anti-Fraud Solutions и другие. Так, оснащение SIEM модулями UEBA предлагают Splunk, IBM QRadar. Дополнением технологией UEBA решений для мониторинга сетевого трафика занимаются StealthWatch и другие.
«Сегодня многие предпочитают интегрировать функциональность UEBA в другие системы, – говорит Алексей Лукацкий. – Такой подход проще, дешевле, понятнее и, с учетом того, что большинство компаний до сих пор не выстроило полноценную инфраструктуру безопасности, он позволяет установить одно решение для нескольких еще не решенных задач. Впрочем, есть некоторые продвинутые заказчики, требующие отдельную UEBA-систему, но основной их мотив заключается в том, что все основные ИБ-системы они уже внедрили».
Возникает вопрос, что делать, когда система безопасности обнаружит подозрительную активность. Правильный подход с ее стороны – автоматически предпринять меры, не дожидаясь, пока администратор среагирует на оповещение. Здесь помогает то, что в ИБ-решениях все большую роль играет предиктивная аналитика, определяющая, что именно происходит, почему, к каким последствиям может привести, и что нужно предпринять. Это несомненный шаг вперед по сравнению с периодом, когда ИБ-решения использовали несложную аналитику наподобие технологий эвристического анализа кода в антивирусах. С этой точки зрения интеграция решений класса UEBA в качестве модуля к «большим» системам однозначно выгодна благодаря отсутствию необходимости проводить интеграцию.
UEBA-решения, анализируя поведение пользователей, попутно обрабатывают информацию, позволяющую и идентифицировать их, и привязать к их профилям данные обо всех их действиях. С одной стороны, это вызывает дискомфорт у пользователей. По словам Алексея Лукацкого, в Западной Европе вендоры стремятся всячески избегать слова UEBA в названиях и описаниях своих продуктов, поскольку население этого региона весьма чувствительно относится к защите собственной privacy. С другой, такую чувствительную для пользователя информацию можно отнести к персональным данным, и это требует законодательного урегулирования вопросов сбора, хранения и обработки больших пользовательских данных, как это произошло в Европе.