Что такое UBA?

Реалии наших дней таковы, что компании хотят иметь возможность предугадать, когда и где появится внутренний злоумышленник. Предвидеть будущее непросто, куда эффективнее построить прогноз на основе аналитики. Здесь поможет анализ поведения пользователей (UBA) и анализ поведения сущностей (UEBA).

UBA (User Behavior Analytics) — это процесс обеспечения кибербезопасности, связанный с обнаружением внутренних угроз, целевых атак и финансового мошенничества.

UEBA (User and Entity Behavior Analytics) – это метод анализа поведения пользователей и сущностей в информационных системах с использованием методов машинного обучения и анализа больших данных. Он расширяет понятие UBA, которое фокусируется на анализе поведения пользователей, так как UEBA учитывает также поведение других сущностей в информационной системе.

1. Анализ данных

Технологии UBA анализируют историю активности пользователя на рабочем месте. Таким образом определяются нормальные и вредоносные модели поведения пользователей. UBA предоставляет офицерам кибербезопасности данные для понимания паттернов поведения пользователей.

2. Интеграция данных

UBA-технологии позволяют работать с различными типами данных, такими как позиции и должности пользователей, уровень доступа, учетные записи и разрешения, активность пользователя и его географическое положение, а также оповещения о безопасности. Эти данные могут быть выявлены на основе прошлой и текущей деятельности. Кроме того, анализ учитывает такие факторы как используемые интернет-ресурсы и продолжительность сеансов. Показатели автоматически обновляются при внесении изменений в данные.

3. Визуализация приоритетных данных

Технология UBA не выделяет все аномалии как риски. Вместо этого оценивается потенциальное негативное влияние поведения пользователя. Если в инциденте задействованы менее чувствительные ресурсы, он получает низкий балл риска. Если же нарушение принятых политик безопасности связано с чем-то более чувствительным, например, с персональными данными, инцидент получит более высокую оценку риска. Таким образом, специалисты безопасности могут расставить приоритеты для принятия последующих действий.

Современные алгоритмы машинного обучения позволяют системам UBA снижать количество ложных срабатываний и предоставлять более четкие и точные сведения о рисках.

Зачем UBA нужно бизнесу?

Помогает предприятиям обнаруживать внутренние угрозы, целевые атаки и финансовое мошенничество.

Человеческий фактор, как и прежде, остается угрозой номер один для любого бизнеса. UBA-система рассматривает шаблоны человеческого поведения. Используя вычислительные алгоритмы и статистический анализ, она выявляет значительные аномалии этих шаблонов, несущие потенциальную угрозу. Вместо того, чтобы собирать и анализировать информацию об устройствах и событиях, UBA концентрируется на информации о людях, использующих эти устройства.

Оптимизирует работу офицера безопасности, нейтрализуя возможные ошибки, связанные с человеческим фактором.

Системы безопасности собирают огромное количество разнообразных данных, поэтому их ручной анализ может занять годы и даже десятилетия. К тому же, не всегда понятно, какая именно информация является предвестником потенциальной атаки. UBA-решение концентрируется на поведенческих шаблонах и их нарушениях, которые являются ярким маркером возрастающего риска. Служба безопасности получает наглядные отчеты, сообщающие об общем уровне риска в компании и отдельный ТОП-лист наиболее неблагонадежных сотрудников. Имея эту информацию, офицер безопасности может своевременно провести превентивную работу и нейтрализовать существующий риск.

Как технология UBA представлена на рынке?

Сегодня существует достаточное количество отдельных решений, которые дают возможность использовать технологию UBA. С их помощью можно проводить углубленную аналитику, выстраивать модели поведения пользователей и предотвращать возможные угрозы. Однако в связи с высокой стоимостью таких решений, большим спросом пользуются продукты, в которых частичный (наиболее полезный для пользователей) функционал UBA синхронизирован с другими функциями. К примеру, с DLP-системой или системой контроля сотрудников. Подробнее про DLP-систему.

UBA и Falcongaze SecureTower

DLP-система Falcongaze SecureTower обладает UBA-модулем Анализ рисков. Он позволяет отслеживать аномальные и потенциально опасные для организации изменения в поведении сотрудников.

Модуль определяет суммарный уровень риска, идущий от сотрудников, на основе случившихся инцидентов. Специалист по безопасности может сам настраивать уровень риска для каждого конкретного инцидента. В результате формируется ТОП-список сотрудников, представляющих повышенную угрозу. Изменение уровней риска автоматически отражается на динамическом графике временных тенденций поведения сотрудников.

Модуль анализа рисков автоматически генерирует всю необходимую информацию и отчеты для проведения работы по исследованию тенденций поведения пользователей.

ДЛП-система Falcongaze SecureTower также позволяет контролировать сотрудников на рабочих местах, проводя учет эффективности используемого рабочего времени и анализируя все входящие, исходящие и циркулирующие данные внутри компании, блокируя неправомерную передачу. Систему информационной безопасности Фалконгейз можно попробовать бесплатно в течение 30-ти дней.