Примерно год назад в рамках «Международного конгресса по кибербезопасности» (ICC 2019) Герман Греф, президент, председатель правления Сбербанка, произнес крайне любопытную для любого «безопасника» фразу: «Два года назад мы ввели в действие SOC и были уверены, что достигли очередной планки соответствия, но сейчас понимаем, сколько нам еще нужно сделать». С учетом масштаба инвестиций в этот комплекс SOC/SIEM, широкого международного сотрудничества Банка при его создании и эксплуатации было бы интересно услышать о конкретных планах. Но, увы, Герман Греф об этом не сказал.

Зато руководитель службы кибербезопасности Сбербанка Сергей Лебедь сделал несколько предположений по этому поводу: более широкое использование элементов искусственного интеллекта и более активное внедрение средств поведенческой аналитики. Одну из причин будущих нововведений он обозначил так: «Бедой цифровой экономики является цифровой же хаос». А если учесть последовавшую через полгода пандемию COVID-19, разом отправившую на «удаленку» массу офисных сотрудников с обострением связанных с этим рисков, то этот хаос явно приобрел «человеческое лицо».

UEBA на службе банкиров

Нельзя сказать, что проблема человеческого фактора в ИБ ранее не представляла серьезной угрозы. Наоборот, проблема инсайдеров была, есть и, к сожалению, будет. Уже наработан приличный технологический бэкграунд в этой сфере. Но он помогает больше в условиях функционирования бизнеса в статичной среде в рамках офисов. Ни того, ни другого сегодня нет. Зато есть пандемия COVID-19, из-за которой отменена масса ИБ-форумов, в том числе ICC 2020. Огромное число экспертов ожидали от форума двух ответов на злобу дня: действительно ли необходимо расширять функционал SOC средствами поведенческой аналитики и достаточно ли этой возможной связки для контроля удаленных сотрудников для нужд ИБ?

Поэтому «Б.О» попросил высказаться экспертов на эту тему с перспективой на весь финансовой рынок страны.

В отличие от «чистого» SIEM, в котором создаются статические правила, системы класса UEBA формируют профили

Марсель Айсин, эксперт направления информационной безопасности IT-компании КРОК, рассказал: «Последние несколько лет мы наблюдаем рост интереса к использованию систем User and Entity Behavioral Analytics (UEBA) в банковском сегменте. На основе алгоритмов машинного обучения и статистического анализа они позволяют строить профили поведения пользователей и выявлять ранее неизвестные аномалии. В отличие от “чистого” SIEM, в котором создаются статические правила, системы класса UEBA формируют профили. Например, с переходом сотрудников на работу из дома резко возросло количество удаленных подключений и число способов удаленного подключения к корпоративным ресурсам».

Под видом легитимного подключения может скрываться злоумышленник, который скомпрометировал рабочую станцию пользователя. В большом потоке событий его вычислить крайне сложно, кроме того, для разбора каждого события требуются колоссальные человеческие ресурсы.

По мнению эксперта, применение технологии UEBA позволяет обогатить событие о подключении дополнительными признаками, например запускаемыми процессами, временем совершения события, геоданными и т.п. Механизм профилирования позволяет избегать ложных тревог, корректируя благодаря постоянному дообучению профиль пользователя на основе поведения за определенный промежуток времени.

«В целом, симбиоз UEBA и SIEM-систем позволяет выявить сложные атаки, которые невозможно охватить статистическими правилами, так как они нацелены на выявление ранее известных сценариев атак и не позволяют включить в себя весь контент происходящего: информация о компании во внешнем мире, IT-активах, уязвимостях, местонахождении, бизнес-ролях пользователей и т.п.», — заключил представитель КРОК.

Не забывайте про инсайдеров

На сегодня UEBA в ИБ пока больше ассоциируется с контролем легитимных действий добросовестных сотрудников. Но среди них всегда находятся те, кто сознательно идут как на нарушение корпоративного режима ИБ, так и на действия, которые прямо подпадают под нормы Уголовного кодекса, описывающие хищение приватной информации и данных, составляющих коммерческую тайну. Таких сотрудников принято называть инсайдерами, а IT-решения, призванные бороться с их действиями, — системами по предотвращению утечек (Data Leak Prevention, DLP).

О том, как именно удаленный режим работы провоцирует некоторых людей на пренебрежение к требованиям ИБ, сейчас говорить не будем, а дадим слово Марии Вороновой, директору по консалтингу ГК InfoWatch. Она утверждает: «Классически понятие SOC — это так называемый ситуационный центр, который объединяет в себе данные, поступающие из различных систем безопасности и мониторинга. Он позволяет их коррелировать наиболее полезным образом для выявления потенциальных или уже свершившихся инцидентов кибербезопасности. Решения классов DLP и UEBA — это поставщики двух дополнительных срезов данных для SOC, причем в фокусе обеих систем находятся именно сотрудники и другой внутренний персонал, другими словами — инсайдеры».

DLP обеспечивает мониторинг на уровне контентного анализа, то есть всего, что связано с потоками любой информации по каналам передачи данных

При этом DLP обеспечивает мониторинг на уровне контентного анализа, то есть всего, что связано с потоками любой информации по каналам передачи данных. А UEBA добавляет сюда же какие-либо аномалии в поведении персонала, которые могут свидетельствовать либо о компрометации учетной записи сотрудника, либо о его нестабильном моральном состоянии, в котором он может нанести ущерб. Если сюда же добавить данные о событиях, поступающих из SIEM-систем, где скапливается множество информации другого уровня (в основном это лог-файлы из различных источников), можно получить более достоверную и прозрачную картину сценариев тех или иных инцидентов или попыток их совершения.

Мария Воронова продолжает: «Тут можно привести простой пример — система DLP фиксирует попытку утечки данных. Одновременно от системы класса UEBA поступает информация о девиантном поведении учетной записи N.N. Далее лог-файлы говорят, что пользователь штатно вошел в систему со стационарного рабочего места (неудаленным способом), а данные с пропускной системы говорят, что входа по пропуску сотрудника с учетной записью N.N. зафиксировано не было. Все это скапливается в “едином окне”, да еще в виде дашбордов и графов событий, что крайне удобно для офицеров безопасности».

Иллюзия управляемого хаоса

Итак, мы начали анализ с того, что все большее число экспертов в области ИБ называют одной из главных проблем нарождающейся цифровой экономики хаос, вызванный все более ускоряющимся развитием технологий и порой непредсказуемым их воздействием на государство в целом, бизнес и отдельных людей. ГК InfoWatch даже предложила специальный термин, описывающий это явление, — VUCA-мир. Причем технологии в этом мире привносят куда меньший уровень неопределенности, чем действия людей. До поры до времени с этим мало что можно было поделать, пока эти самые люди не научились делегировать часть своих способностей элементам искусственного интеллекта. Благодаря этому DLP- и UEBA-системы совершили качественный технологический скачок и в симбиозе SOC/SIEM, в полном соответствии с теорией Стивена Манна, способны трансформировать обычный хаос в управляемый его вариант. Или это пока только иллюзии?