CC BY
14
УДК 004.056.53
ПОВЕДЕНЧЕСКИЙ АНАЛИЗ ПОЛЬЗОВАТЕЛЕЙ ИНФОРМАЦИОННОЙ
СИСТЕМЫ
М. А. Попов Научный руководитель - В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: mishapopov3@gmail.com
В работе рассмотрена актуальность применения систем поведенческого анализа, а также принцип их работы и необходимая инфраструктура.
Ключевые слова: информационная безопасность, инсайдер, UBA/UEBA.
BEHAVIORAL ANALYSIS OF INFORMATION SYSTEM USERS
M.A. Popov Scientific supervisor - V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation E-mail: mishapopov3@gmail.com
The paper considers the relevance of using behavioral analysis systems, as well as the principle of their operation and the necessary infrastructure.
Key words: information security, insider, UBA/UEBA.
Согласно аналитическому отчету Ponemon Institute, в котором авторы раскрывают ряд интересных статистических данных об инсайдерских угрозах, за последние два года количество инцидентов с участием инсайдеров выросло на 44%. Более того, 65% организаций страдают минимум от 30 инцидентов каждый год. К тому же, авторы выяснили, что стоимость ущерба от инсайдерских атак в разы больше, чем от других типов атак [1].
Одной из основных трудностей для защиты от такого типа атак, является то, что злоумышленнику не нужно проникать в сеть организации, так как он уже находится в ней и является легитимным пользователем. Таким образом, использование средств защиты направленных на отражение внешней угрозы, становится бесполезным - для данной задачи необходим другой подход.
Еще одной задачей является защита от скомпрометированных учетных записей. Данная проблема особенно актуальна для организаций, использующих технологии удаленного доступа или облачные сервисы, то есть там, где ограничены возможности физического контроля. Согласно отчету за 2019 год по инцидентам информационной безопасности от компании Verizon, вторым по популярности методом злоумышленников стало использование украденных (скомпрометированных) учетных записей [2].
Одним из решений позволяющих противостоять инсайдерам является User and Entity Behavior Analytics (UEBA).
UBA/UEBA (User Behaviour Analytics) — это технология анализа поведения пользователей, на которой основаны как самостоятельные программные решения, так и
Актуальные проблемы авиации и космонавтики - 2022. Том 2
модули в составе IT-продуктов [3]. Под поведением понимают действия и коммуникации пользователей рабочих станций (персонала).
Системы UEBA могут решать широкий спектр задач. Однако основной сценарий их применения включает обнаружение различных категорий угроз за счет анализа типичных моделей поведения пользователей и других сущностей, с последующим выявлением «белых ворон». Таким образом, определяются:
• неавторизованный доступ и перемещение данных;
• подозрительное поведение привилегированных пользователей;
• вредоносная или неавторизованная активность сотрудников;
• нестандартный доступ и использование облачных ресурсов и многое другое.
Рассмотрим процесс работы системы UEBA/UBA. Поведенческий анализ субъекта
организуется с помощью процесса профилирования. Профилирование - это процесс, позволяющий составить портреты сотрудников и выяснить их базовые ценности и амбиции, уровень конфликтности и лояльности [4]. Благодаря подобному профилю ИБ-специалист понимает стратегию поведения: как человек будет вести себя в той или иной ситуации.
Построение профилей поведения невозможно без большого количества анализируемых данных. Поэтому можно выделить два критерия:
- должны использоваться данные из разнородных источников (логи, события, сетевые потоки и пакеты, другие СЗИ.);
- данные должны также нести контекстную информацию, например, путем получения справочной информации из каталогов Active Directory или базы данных отдела кадров. В противном случае решение будет сопровождаться проблемой ложных срабатываний [5].
Рассмотрим основные данные необходимые для построения профиля.
Основным источником данных о пользователях для систем UBA/UEBA является отдел кадров, чем более подробно описаны задачи, привилегии и особенности работы каждого из пользователей, тем точнее будет работа системы в общем. Например, важно организовать иерархическую систему кадров, для определения роли и привилегий каждого из пользователей. Таким образом, в отделе кадров должны быть реализованы механизмы создания учетных карточек сотрудников, подразделений, департаментов, офисов.
Эти данные необходимы для определения не типичных действий, например, некоторый сотрудник начинает получать множество сообщений по корпоративной почте, что не соответствует его должности. Это может быть связано, как с его повышением, а следовательно и с изменением обязанностей, так и с тем, что сотрудник может производить сбор информации.
Другие данные могут быть собраны в результате мониторинга коммуникаций и действий персонала, к таким данным можно отнести поисковые запросы, посещенные сайты, переписки в месседжерах и почтовой службе, обращения и доступ к файлам, а также их редактирование. Профилирование происходит за счет отнесения пользователей (в том числе и подозрительных сотрудников) к различным паттернам поведения. Однако система UEBA не занимается сбором данных, а производит их анализ, таким образом, для нормального функционирования системы необходимо внедрение средств мониторинга событий безопасности, таких как SIEM или DLP.
Анализ действий и коммуникаций персонала начинается с того, что один из компонентов ПО (модуля UBA) агрегирует исходные данные и создает количественные показатели. На их основе другой компонент моделирует поведение пользователей и выявляет аномалии.
Аномалии — это любые резкие отклонения показателей от нормального значения. В зависимости от уровня развития программного обеспечения, количество типов аномалий может превышать несколько десятков.
В качестве примера, можно рассмотреть ситуацию, когда работнику меняют обязанности, например, он берет на себя функции работника, уходящего в отпуск. В таком случае система
будет считать действия этого пользователя потенциально опасными. Отсюда возникает проблема ложных срабатываний из-за отсутствия данных о смене обязанностей работника в информационной системе. В результате чего администратор безопасности будет тратить время на то, что бы вручную разбираться и менять данные о каждом пользователе, что может привести к ошибке и реализации угрозы инсайдерской атаки.
Таким образом, можно сделать вывод, что для функционирования системы UEBA/UBA, недостаточно просто внедрить средство в сеть организации. Для нормального функционирования в сети, средство должно функционировать совместно с другими средствами защиты информации, такими как SIEM и DLP. Кроме этого, необходимо организовать информационную систему внутри предприятия, где будут представлены данные, о каждом работнике, его рабочих обязанностях, контексте его работы. Помимо этого, внедрение такого продукта потребует отладки и временных ресурсов администраторов сети и безопасности. Исходя из этого, можно сделать вывод, что внедрение средства UEBA/UBA будет актуально только для организаций с достаточным уровнем зрелости.
Библиографические ссылки
1. 2022 Ponemon Cost of Insider Threats Global Report [Электронный ресурс]. - URL: https://www.proofpoint.com/us/resources/threat-reports/cost-of-insider-threats (дата обращения 22.03.2022)
2. Data Breach Investigations Report. Verizon. 2019. P. 78 [Электронный ресурс]. - URL: https://enterprise.verizon.com/resources/reports/2019-data-breachinvestigations-report.pdf (дата обращения 22.03.2022)
3. User Behavior Analytics: технология для профилактики нарушений информационной безопасности [Электронный ресурс]. URL: https://rt-solar.ru/events/blog/2050/ (дата обращения 22.03.2022)
4. Профайлинг в психологии [Электронный ресурс]. URL: https://searchinform.ru/kontrol-sotrudnikov/profajling/napravlenie-profajlinga/profajling-v-psihologii/ (дата обращения 22.03.2022)
5. А. Данкевич. Большие ожидания: почему технологиям UEBA не стать серебряной пулей//Аналитическая статья [Электронный ресурс]. - URL: https://www.anti-malware.ru/analytics/Technology_Analysis/why_technology_UEB (дата обращения 21.03.2022)
© Попов М. А., 2022
