Как работает UEBA

[chushpan]

UEBA (User and Entity Behavior Analytics) — это технология анализа поведения пользователей и сущностей (например, устройств, приложений или сетевых узлов), которая используется для выявления аномалий и потенциальных угроз в информационных системах. UEBA применяется в кибербезопасности для обнаружения подозрительной активности, которая может быть связана с внутренними угрозами, компрометацией учетных данных, мошенничеством или внешними атаками.

Давайте разберем, как работает UEBA, шаг за шагом:

1. Основная идея UEBA​

UEBA фокусируется на анализе поведения пользователей и сущностей, чтобы выявить отклонения от нормы. Вместо того чтобы полагаться только на заранее определенные правила или сигнатуры угроз, UEBA использует машинное обучение (ML) и статистический анализ, чтобы понять, что является "обычным" поведением, и затем обнаруживать аномалии.

2. Как собираются данные?​

Для работы UEBA требуется большой объем данных о действиях пользователей и сущностей. Эти данные могут включать:

• Логи действий пользователей: входы в систему, время работы, запуск приложений, доступ к файлам.
• Сетевая активность: подключения к серверам, передача данных, DNS-запросы.
• Данные устройств: информация о подключенных устройствах, их конфигурациях и активности.
• Контекстные данные: местоположение пользователя, тип устройства, роль в организации.

Эти данные собираются из различных источников, таких как:

• SIEM-системы (Security Information and Event Management).
• Системы мониторинга сети.
• Логи приложений и баз данных.
• Антивирусные решения.

3. Этапы работы UEBA​

а) Создание профиля поведения​

UEBA строит уникальный профиль поведения для каждого пользователя или сущности. Это делается на основе исторических данных:

• Как часто пользователь обычно заходит в систему?
• В какое время дня происходит активность?
• Какие устройства и IP-адреса используются?
• Какие файлы или ресурсы запрашиваются?

Профиль создается автоматически с использованием алгоритмов машинного обучения. Например:

• Если пользователь всегда заходит в систему с одного IP-адреса и в рабочее время, это становится частью его "нормального" профиля.

b) Обнаружение аномалий​

После создания профиля система начинает сравнивать текущую активность с профилем. Если обнаруживаются отклонения, они помечаются как потенциальные угрозы. Примеры аномалий:

• Пользователь заходит в систему в необычное время (например, ночью).
• Запрашиваются файлы, к которым пользователь никогда раньше не обращался.
• Используется новое устройство или IP-адрес.
• Происходит массовая загрузка данных (возможно, для кражи информации).

c) Оценка рисков​

Не все аномалии являются угрозами. UEBA использует системы оценки рисков, чтобы определить, насколько подозрительной является активность. Это делается на основе:

• Частоты аномалий.
• Критичности действий (например, доступ к конфиденциальным данным).
• Контекста (например, пользователь находится в отпуске, но его аккаунт активен).

Если риск превышает определенный порог, система генерирует предупреждение.

d) Реагирование​

UEBA интегрируется с другими системами безопасности для автоматического реагирования на угрозы. Возможные действия:

• Блокировка учетной записи.
• Отправка уведомлений администраторам.
• Изоляция устройства или сети.
• Запуск дополнительных проверок (например, двухфакторная аутентификация).

4. Преимущества UEBA​

• Обнаружение внутренних угроз: UEBA помогает выявить аномальное поведение сотрудников, которые могут действовать в корыстных целях.
• Защита от утечек данных: Система может заметить попытки несанкционированного доступа к конфиденциальной информации.
• Выявление компрометации учетных данных: Если злоумышленник получил доступ к учетной записи, его действия будут отличаться от обычного поведения пользователя.
• Адаптивность: UEBA постоянно учится и адаптируется к изменениям в поведении пользователей.

5. Пример использования UEBA​

Сценарий: Выявление угрозы изнутри​

1. Обычное поведение:
   • Сотрудник обычно заходит в систему с 9:00 до 18:00 с рабочего компьютера.
   • Он редко скачивает большие объемы данных.
2. Аномалия:
   • В 23:00 сотрудник заходит в систему с нового IP-адреса.
   • Он скачивает тысячи файлов с конфиденциальной информацией.
3. Реакция:
   • UEBA обнаруживает аномалию и отправляет сигнал в систему безопасности.
   • Администратор получает уведомление и блокирует доступ.

6. Технологии, используемые в UEBA​

• Машинное обучение (ML): Для анализа данных и построения профилей.
• Статистический анализ: Для выявления отклонений от нормы.
• Big Data: Для обработки больших объемов данных.
• Интеграция с SIEM: Для получения данных из различных источников.

7. Заключение​

UEBA — это мощный инструмент для обнаружения угроз, которые традиционные методы безопасности могут не заметить. Она помогает защитить организации от внутренних и внешних угроз, предоставляя глубокий анализ поведения пользователей и сущностей. Однако важно помнить, что UEBA — это не панацея. Она должна использоваться в сочетании с другими мерами безопасности, такими как антивирусы, файрволы и обучение сотрудников.

Если у вас есть конкретный вопрос о UEBA или пример использования, напишите — я постараюсь помочь!

 

[Man]

Как работает UEBA (User and Entity Behavior Analytics)?​

UEBA — это технология анализа поведения пользователей и сущностей (устройств, сервисов) для выявления аномалий и киберугроз. В отличие от традиционных систем, UEBA не полагается на заранее заданные правила, а использует машинное обучение и базу нормальной активности, чтобы находить отклонения.

1. Основные принципы UEBA​

(1) Сбор данных​

Система собирает информацию о:

• Действиях пользователей (логины, транзакции, доступ к файлам).
• Поведении устройств (время активности, геолокация).
• Контексте (IP-адреса, используемые приложения).

Примеры источников данных:

• Логи Active Directory, SIEM-системы (Splunk, IBM QRadar).
• Данные от сетевых устройств (VPN, прокси).
• Показатели из CRM, ERP, банковских систем.

(2) Базовый профиль (Baseline)​

UEBA строит «шаблон» нормального поведения для каждого пользователя/устройства, учитывая:

• Время активности (например, бухгалтер обычно работает с 9:00 до 18:00).
• Географию (типовые локации входа).
• Частоту действий (сколько раз в день открывает определённый файл).

(3) Обнаружение аномалий​

Сравнивает текущие действия с baseline и вычисляет риск по алгоритмам:

• Статистические модели (отклонение от среднего).
• Машинное обучение (кластеризация, анализ временных рядов).
• Графовые связи (выявление подозрительных взаимодействий между сущностями).

Примеры аномалий:

• Менеджер вдруг скачивает всю базу клиентов в 3:00 ночи.
• С одного IP заходят под разными учётками с интервалом в 2 минуты.

2. Где применяется UEBA?​

(1) Финансы и банки​

• Обнаружение инсайдеров: Сотрудник внезапно копирует данные кредитных карт.
• Мошеннические транзакции: Пользователь обычно платит с iPhone в Москве, но тут — платеж с Android из Нигерии.

(2) Корпоративная безопасность​

• Утечки данных: Инженер массово открывает файлы с патентами перед увольнением.
• Компрометация учёток: Вход с нового устройства без MFA.

(3) Критическая инфраструктура​

• Атаки на SCADA-системы: Необычные команды к промышленному оборудованию.

3. Технологии внутри UEBA​

• Самообучающиеся алгоритмы:
  • LSTM-сети для анализа последовательностей действий.
  • Методы опорных векторов (SVM) для классификации угроз.
• Графовые базы данных (Neo4j): Построение связей между пользователями и объектами.
• Risk Scoring: Каждому событию присваивается балл угрозы (например, 85/100 → срочное расследование).

Пример работы UEBA в банке:

1. Пользователь обычно заходит через VPN из РФ.
2. Внезапный вход с IP Германии → система проверяет:
   • Использует ли он тот же браузер?
   • Были ли подобные логины раньше?
3. Если риск высок — требует MFA или блокирует сессию.

4. Преимущества перед традиционными системами​

Обнаружение неизвестных угроз: Не нужны заранее прописанные правила.
Снижение ложных срабатываний: Учитывает контекст (например, командировка сотрудника).
Выявление инсайдеров: Заметит подозрительное поведение «своих».

5. Ограничения UEBA​

• Требует времени на обучение (1–3 месяца для построения baseline).
• Сложная интеграция с legacy-системами.
• Ложные срабатывания при резких изменениях (например, переход на удалёнку).

Вывод​

UEBA — мощный инструмент против кардинга, инсайдеров и APT-атак. Такие системы использует JPMorgan и другие банки для защиты клиентов.

Хотите глубже разобрать кейсы или технологии? Спрашивайте!