Реалии наших дней таковы, что компании хотят иметь возможность предугадать, когда и где появится внутренний злоумышленник. Предвидеть будущее непросто, куда эффективнее построить прогноз на основе аналитики. Здесь поможет анализ поведения пользователей (User Behavior Analytics) — это процесс обеспечения кибербезопасности, связанный с обнаружением внутренних угроз, целевых атак и финансового мошенничества.
Технологии UBA анализируют историю активности пользователя на рабочем месте. Таким образом определяются нормальные и вредоносные модели поведения пользователей. UBA предоставляет офицерам кибербезопасности данные для понимания паттернов поведения пользователей.
UBA-технологии позволяют работать с различными типами данных, такими как позиции и должности пользователей, уровень доступа, учетные записи и разрешения, активность пользователя и его географическое положение, а также оповещения о безопасности. Эти данные могут быть выявлены на основе прошлой и текущей деятельности. Кроме того, анализ учитывает такие факторы как используемые интернет ресурсы и продолжительность сеансов. Показатели автоматически обновляются при внесении изменений в данные.
Технология UBA не выделяет все аномалии как риски. Вместо этого оценивается потенциальное негативное влияние поведения пользователя. Если в инциденте задействованы менее чувствительные ресурсы, он получает низкий балл риска. Если же нарушение принятых политик безопасности связано с чем-то более чувствительным, например, с персональными данными, инцидент получит более высокую оценку риска. Таким образом, специалисты безопасности могут расставить приоритеты для принятия последующих действий.
Современные алгоритмы машинного обучения позволяют системам UBA снижать количество ложных срабатываний и предоставлять более четкие и точные сведения о рисках.
Человеческий фактор, как и прежде, остается угрозой номер один для любого бизнеса. UBA-система рассматривает шаблоны человеческого поведения. Используя вычислительные алгоритмы и статистический анализ, она выявляет значительные аномалии этих шаблонов, несущие потенциальную угрозу. Вместо того, чтобы собирать и анализировать информацию об устройствах и событиях, UBA концентрируется на информации о людях, использующих эти устройства.
Системы безопасности собирают огромное количество разнообразных данных, поэтому их ручной анализ может занять годы и даже десятилетия. К тому же, не всегда понятно, какая именно информация является предвестником потенциальной атаки. UBA-решение концентрируется на поведенческих шаблонах и их нарушениях, которые являются ярким маркером возрастающего риска. Служба безопасности получает наглядные отчеты, сообщающие об общем уровне риска в компании и отдельный ТОП-лист наиболее неблагонадежных сотрудников. Имея эту информацию, офицер безопасности может своевременно провести превентивную работу и нейтрализовать существующий риск.
Сегодня существует достаточное количество отдельных решений, которые дают возможность использовать технологию UBA. С их помощью можно проводить углубленную аналитику, выстраивать модели поведения пользователей и предотвращать возможные угрозы. Однако в связи с высокой стоимостью таких решений, большим спросом пользуются продукты, в которых частичный (наиболее полезный для пользователей) функционал UBA синхронизирован с другими функциями. К примеру, с DLP-системой или системой контроля сотрудников.
Модуль определяет суммарный уровень риска, идущий от сотрудников, на основе случившихся инцидентов. Специалист по безопасности может сам настраивать уровень риска для каждого конкретного инцидента. В результате формируется ТОП-список сотрудников, представляющих повышенную угрозу. Изменение уровней риска автоматически отражается на динамическом графике временных тенденций поведения сотрудников.
Модуль анализа рисков автоматически генерирует всю необходимую информацию и отчеты для проведения работы по исследованию тенденций поведения пользователей.