Крупный бизнес готов к UEBA

На прошедшем 20-21 июня 2109 года в Москве II Международном конгрессе по кибербезопасности (ICC-2019) не раз поднималась тема невозможности обеспечить 100%-ную защиту от проникновения извне. В качестве ответных мер предлагались две. Во-первых, если банк заблаговременно озаботился созданием и заполнением ретроспективной базы событий ИБ, то не составит особого труда вычислить нарушителя внутри корпоративного контура по отличному от ретроспективного поведению.

А, во-вторых, и об этом заявил не кто иной, как Сергей Лебедь, руководитель службы кибербезопасности Сбербанка, «Сбер» уже давно функционирует в условиях доминирования риск-ориентированного подхода в обеспечении безопасности. На вопрос из зала о том, какие именно технологии защиты, вероятнее всего, будут внедряться в Банке в будущем, по словам эксперта, это будет что-то из арсенала элементов искусственного интеллекта, что может помочь SIEM-системе в океане событий вылавливать иголку из стога сена. Одну из таких систем он назвал четко — UEBA.

Наверняка многие специалисты в зале вздрогнули при этом. UEBA/UBA-системы, такие как SIEM/SOC, появились давно, но при этом их не раз хоронили, перелицовывали и шутили над их нелегкой судьбой. Но, как отметил Сергей Лебедь, когда SIEM стала получать на вход 6,5 млрд событий в сутки, стало не до шуток. А рост угроз целевых атак (Advanced Persistent Threa, APT) и вовсе не оставил иных вариантов. В итоге у Сбербанка (и не у него одного) появился крупнейший в Европе SOC, который немедленно показал результаты и уже прошел несколько стадий зрелости в своем развитии.

Одной из лучших практик развития SIEM/SOC стала «обвязка» его другими комплексными системами ИБ с использованием элементов искусственного интеллекта, например DLP. И вот очередь дошла до UEBA/UBA. Собственно говоря, это неудивительно на фоне мощной информационной волны по фактам повсеместного построения цифровых личностей (аватаров) как собственных сотрудников, так и населения целых стран. Одна из подобных инициатив исходит от Банка России: «цифровой профиль гражданина». Реализуется она с учетом опыта работы Единой биометрической системы.

Таким образом, в одной точке сошлось много векторов, дающих UEBA/UBA шанс на «взлет». Одна из главных причин: данных в свое время было слишком мало, а тут вдруг их стало очень много, причем они становятся все более полными. Потирают руки не только «безопасники», но специалисты из ретейла, и маркетологи, и много кто еще. Системы поведенческой аналитики стали нужны сразу многим, что однозначно облегчит их окупаемость.

Оперативно и непрерывно

В кулуарах ICC-2019 аналитики «Б.О» попросили экспертов рынка, напомнить об основных чертах этих систем.

Андрей Арефьев, руководитель отдела развития продуктов компании InfoWatch, рассказал:

«User [and Entity] Behavioral Analytics (UEBA/UBA)-системы — это следующий шаг в технологии определения неизвестных типов угроз, целенаправленных атак и внутренних нарушителей. Главное, что о них стоит сказать:

1. Основная задача решений класса UEBA — выявление аномалий в действиях сотрудников (пользователей различных корпоративных систем) и акцент на таких сотрудников для “безопасников”. Например, выявление скомпрометированной учетной записи — типовой сценарий. Он может свидетельствовать как о действиях хакеров, так и о махинациях сотрудников.

2. Современные технологии Big Data и машинного обучения привносят новые возможности для адаптации решения к особенностям конкретной компании и выявления различных аномальных факторов. То есть эти технологии позволяют оперативно вписать решение в конкретную компанию. Используя искусственный интеллект и Big Data, можно сделать процесс адаптации систем к изменениям бизнеса непрерывным.

3. На данный момент эти решения довольно дорогие, и их могут позволить только крупные компании. Но постепенно, по мере развития технологий и роста рынка, можно ожидать, что эти решения станут доступнее для более широкого круга компаний».

Денис Фокин, руководитель отдела технического консалтинга и инженерной поддержки направления ИБ компании Axoft, добавил: «Современные системы генерируют огромный поток информации. Чтобы избежать компрометации защищаемых систем, вся эта информация должна быть собрана и проанализирована. Но даже при наличии SOC — это невыполнимая задача. Решения класса UEBA появились как попытка придать контекст, общий смысл собираемой информации. Ведь цель ее сбора — понять, что именно происходит в инфраструктуре и получить готовый ответ, не анализируя при этом терабайты событий. Именно по этой причине UEBA-решения в большинстве своем имеются в портфеле SIEM-вендоров. Вторая причина появления (и вместе с тем уникальная особенность) UEBA — выявление внутренних нарушителей, что является весьма нетривиальной задачей».

Если для противодействия разного рода внешним угрозам существует огромное число решений, способных обеспечить защиту на различных уровнях, то для отслеживания работы пользователей можно выделить разве что DLP-системы (и их разработчики также смотрят в сторону UEBA).

«Третья причина и особенность решений этого класса — применение различных математических моделей, что в случае выявления аномалий в поведении пользователей является наиболее эффективным подходом. При этом применение UEBA-решений не ограничено каким-либо одним сектором: везде, где есть пользователи, всегда будет внутренний нарушитель», — продолжил представитель Axoft.

Дальнейшее развитие систем подобного класса — работа не с внутренними пользователями, а с клиентами: ведь одни и те же наработки — контекст, математические решения, да и те же нейросети — вполне можно использовать для выявления фрода, что особенно актуально для банковской сферы.

«UEBA в большинстве своем для аналитики использует математические модели (например, HMM). При этом лично я считаю, что период, когда разработки в области нейросетей будут находить все большее прикладное применение, не за горами. Соответственно в первую очередь они доберутся до тех областей, где это наиболее востребовано, например до сферы выявления аномалий в поведении пользователей/клиентов», — уточнил Денис Фокин.

Технологию — в жизнь

Как отмечали эксперты выше, чем шире спектр применения у новой технологии, тем экономически эффективнее решения на ее основе. ИБ — это, конечно, целая галактика, но далеко не вся IT-вселенная, границы которой резко расширились благодаря элементам искусственного интеллекта и IoT.

Где несколько модифицированные поведенческие технологии могут найти применение, кроме уже набившего оскомину повышения клиентского опыта? Если ограничиться финансовой отраслью, то практически везде. Примеров довольно много. Например, компания «Инфосистемы Джет» разработала для лизингового сервиса «Контрол лизинг» решение на базе ML, которое в режиме реального времени регистрирует отклонения в поведении водителей. В автоматическом режиме отслеживаются случаи опасного вождения, потенциальные угоны и нарушения условий договора лизинга. Система с высокой точностью различает типовые и нетиповые действия, умеет отличать временные изменения в поведении от характерного стиля вождения.

Тем не менее любой эксперт скажет, что технология, основанная на элементах искусственного интеллекта, в том числе UEBA, дает на выходе приближенные значения, точность которых зависит от качества модели. Поэтому, вероятнее всего, ренессанс UEBA/UBA будет зависеть от того, как быстро возьмут представители риск-менеджмента на вооружение этот инструмент. А у них разве есть иной выход?