Изображение: grok
В мире информационной безопасности мы часто сталкиваемся с парадоксом: средств защиты становится больше, а видимости того, что происходит внутри периметра, – меньше. Традиционные подходы к поведенческому анализу, которые еще вчера считались передовыми, сегодня сталкиваются с проблемой «шума» и неспособности обнаружить сложные, скрытые угрозы. Как сегодня выглядит технологический ландшафт для обнаружения угроз и куда должен двигаться поведенческий анализ будущего?
Уровень 1: Бинарная логика и известное зло
Базовый уровень поведенческого анализа, который реализован практически во всех современных средствах защиты (DLP, SIEM, антивирусы), работает по принципу «черное и белое». Алгоритмы оценивают действия пользователей, процессов или хостов через призму заранее заданных правил.
Как это работает? Вендор или оператор настраивает правила корреляции. Например, «если пользователь скачал более 1 ГБ данных на внешний носитель, то это инцидент». При правильной настройке такой подход закрывает около 80% типовых кейсов. Он отлично ловит известные паттерны атак, вирусную активность и явные попытки утечки. При этом он не закрывает всех проблем: это, скорее, реактивная защита («здесь и сейчас»), которая требует постоянной ручной настройки, интервьюирования бизнес-подразделений и поддержки актуальности правил. Кроме того, злоумышленники знают эти правила и учатся их обходить, маскируясь под легитимную деятельность. Возникают «серые зоны», где действия не нарушают правил явно, но выглядят подозрительно.
Уровень 2: Профилирование и исторический контекст
Чтобы покрыть 20% рисков и снизить нагрузку на аналитиков, необходим второй уровень — параметрический поведенческий анализ. Здесь мы уходим от оценки атомарных действий к накоплению статистики: система изучает исторические данные и формирует профиль поведения для каждого пользователя или группы (например, «бухгалтеры обычно работают с 9 до 18 и обращаются к серверу Х»). Такой подход позволяет выявлять аномалии без глубокого погружения в бизнес-процессы каждого отдела. Если сотрудник начинает вести себя нетипично для своей роли – например, обращается к ресурсам, к которым не обращаются его коллеги, – система сигнализирует об отклонении.
Решения такого рода являются мощным инструментом для поиска инсайдеров и скомпрометированных учетных записей, которые пытаются действовать скрытно, не нарушая правил первого уровня. Однако и такой подход нельзя назвать стопроцентно действенным, так как даже здесь аналитик может не найти ответы на все вопросы при расследовании найденного отклонения.
Уровень 3: Анализ состояния объекта (NextGen UEBA)
Следующим эволюционным этапом развития станет переход от оценки событий к оценке состояния объекта. Представьте, что каждый объект инфраструктуры (пользователь, хост, учетная запись) оставляет свой «цифровой след», состояние которого описывается не одним параметром, а многомерной системой координат. Это может включать объем трафика, частоту запросов, наличие уязвимостей, геолокацию, время активности и многое другое. Получив возможность работать с таким цифровым следом, аналитик вместо того, чтобы анализировать тысячи отдельных событий, видит изменение состояния объекта в целом по принципу «было – стало». Например, учетная запись бухгалтера внезапно приобрела параметры, характерные для администратора безопасности (изменился «вектор движения» в многомерном пространстве).
Система автоматически сопоставляет срезы данных за разные периоды (15 минут, час, день). Если объект резко «перетекает» из одного состояния в другое, как вода в пар, то это будет идентифицировано как критическое отклонение, даже если каждое отдельное действие не нарушало правил первого уровня и выглядели отклонениями в нескольких некритичных параметрах на втором уровне. То есть, аналитик получает контекст вместо шума.
Решения класса NextGen UEBA станут для аналитиков своеобразным «оком Саурона»: позволят видеть общую картину угроз, а не тонуть в потоке локальных инцидентов, переключить фокус с расследования отдельного алерта на расследование изменения состояния объекта.
Почему это важно для бизнеса и CISO?
Решения такого класса не потребуют месяцев настройки и интервьюирования сотрудников. Система будет сама способна обучаться на данных, определяя норму для конкретной инфраструктуры. Уровень 3 позволит комплексно выявлять подготовку к атакам на ранних стадиях, когда злоумышленник еще только прощупывает периметр, не совершая явных вредоносных действий. Это существенно сэкономит время аналитиков, т.к., вместо ручного сбора контекста по каждому инциденту, специалист получит готовую картину: «Объект изменил состояние, вот ключевые параметры, вот исторический контекст». В модель состояния можно закладывать любые параметры: от технических метрик до данных об уязвимостях (VM). Наличие критических уязвимостей на хосте может само по себе изменить его «статус риска», даже если атаки еще не было.
Роль искусственного интеллекта
В решениях, основанных на цифровом отпечатке объекта, ИИ станет не заменой специалисту, а мощным инструментом ассистирования. Классические алгоритмы машинного обучения отлично справляются с выявлением отклонений в многомерном пространстве. Генеративные модели могут использоваться для формирования человеко-читаемых выводов («Пользователь постепенно увеличивал объем скачиваемых данных, что похоже на подготовку к утечке»), но финальное решение и ответственность остаются за человеком. Особенно это важно в свете новых регуляторных требований к «суверенному ИИ» и защите данных.
Заключение
Решения первого и второго уровня могут приносить пользу для компаний, инфраструктура и бизнес-процессы которые находятся на разных стадиях развития. Однако наибольшую эффективность даст их синергия. Именно она, выраженная в оценке состояния объекта, станет следующим, логическим шагом в неизбежной эволюции рынка средств защиты информации реактивного блокирования известных угроз к проактивному управлению рисками на основе состояния инфраструктуры. Для CISO внедрение такого подхода означает не просто «еще одну кнопку в интерфейсе», а фундаментальное изменение качества безопасности: меньше шума, больше контекста и реальная возможность увидеть угрозу до того, как она станет инцидентом.
Автор: Николай Перетягин, менеджер по продукту, NGR Softlab.
Оригинал публикации на сайте CISOCLUB: "Эволюция UEBA: почему правил больше недостаточно и как поможет «цифровой след» объекта".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.