Что такое UBA?

Реалии наших дней таковы, что компании хотят иметь возможность предугадать, когда и где появится внутренний злоумышленник. Предвидеть будущее непросто, куда эффективнее построить прогноз на основе аналитики. Здесь поможет анализ поведения пользователей (User Behavior Analytics) — это процесс обеспечения кибербезопасности, связанный с обнаружением внутренних угроз, целевых атак и финансового мошенничества.

     1. Анализ данных

Технологии UBA анализируют историю активности пользователя на рабочем месте. Таким образом определяются нормальные и вредоносные модели поведения пользователей. UBA предоставляет офицерам кибербезопасности данные для понимания паттернов поведения пользователей.

     2. Интеграция данных

UBA-технологии позволяют работать с различными типами данных, такими как позиции и должности пользователей, уровень доступа, учетные записи и разрешения, активность пользователя и его географическое положение, а также оповещения о безопасности. Эти данные могут быть выявлены на основе прошлой и текущей деятельности. Кроме того, анализ учитывает такие факторы как используемые интернет ресурсы и продолжительность сеансов. Показатели автоматически обновляются при внесении изменений в данные.

     3. Визуализация приоритетных данных

Технология UBA не выделяет все аномалии как риски. Вместо этого оценивается потенциальное негативное влияние поведения пользователя. Если в инциденте задействованы менее чувствительные ресурсы, он получает низкий балл риска. Если же нарушение принятых политик безопасности связано с чем-то более чувствительным, например, с персональными данными, инцидент получит более высокую оценку риска. Таким образом, специалисты безопасности могут расставить приоритеты для принятия последующих действий.

Современные алгоритмы машинного обучения позволяют системам UBA снижать количество ложных срабатываний и предоставлять более четкие и точные сведения о рисках.

Зачем это нужно бизнесу?

Помогает предприятиям обнаруживать внутренние угрозы, целевые атаки и финансовое мошенничество.

Человеческий фактор, как и прежде, остается угрозой номер один для любого бизнеса. UBA-система рассматривает шаблоны человеческого поведения. Используя вычислительные алгоритмы и статистический анализ, она выявляет значительные аномалии этих шаблонов, несущие потенциальную угрозу. Вместо того, чтобы собирать и анализировать информацию об устройствах и событиях, UBA концентрируется на информации о людях, использующих эти устройства.

Оптимизирует работу офицера безопасности, нейтрализуя возможные ошибки, связанные с человеческим фактором.

Системы безопасности собирают огромное количество разнообразных данных, поэтому их ручной анализ может занять годы и даже десятилетия. К тому же, не всегда понятно, какая именно информация является предвестником потенциальной атаки. UBA-решение концентрируется на поведенческих шаблонах и их нарушениях, которые являются ярким маркером возрастающего риска. Служба безопасности получает наглядные отчеты, сообщающие об общем уровне риска в компании и отдельный ТОП-лист наиболее неблагонадежных сотрудников. Имея эту информацию, офицер безопасности может своевременно провести превентивную работу и нейтрализовать существующий риск.

Как технология UBA представлена на рынке?

Сегодня существует достаточное количество отдельных решений, которые дают возможность использовать технологию UBA. С их помощью можно проводить углубленную аналитику, выстраивать модели поведения пользователей и предотвращать возможные угрозы. Однако в связи с высокой стоимостью таких решений, большим спросом пользуются продукты, в которых частичный (наиболее полезный для пользователей) функционал UBA синхронизирован с другими функциями. К примеру, с DLP-системой или системой контроля сотрудников.

UBA и Falcongaze SecureTower

В новой версии SecureTower появился UBA-модуль Анализ рисков, позволяющий отслеживать аномальные и потенциально опасные для организации изменения в поведении сотрудников.

Модуль определяет суммарный уровень риска, идущий от сотрудников, на основе случившихся инцидентов. Специалист по безопасности может сам настраивать уровень риска для каждого конкретного инцидента. В результате формируется ТОП-список сотрудников, представляющих повышенную угрозу. Изменение уровней риска автоматически отражается на динамическом графике временных тенденций поведения сотрудников.

Модуль анализа рисков автоматически генерирует всю необходимую информацию и отчеты для проведения работы по исследованию тенденций поведения пользователей.

DLP-система SecureTower

  • Защита от утечек данных по вине сотрудников
  • Контроль работы сотрудников на компьютерах
  • Выявление потенциально-опасных сотрудников
  • Ведение архива бизнес-коммуникации