Security Vision
В условиях современного цифрового мира кибербезопасность становится одной из приоритетных задач для организаций любого масштаба. Рост числа атак, усложнение их тактик и недостаток квалифицированных специалистов создают не тривиальные вызовы для обеспечения безопасности. Традиционные средства защиты, основанные на статических правилах и сигнатурах, часто оказываются недостаточно эффективными против новых, нетиповых угроз. В таких условиях на помощь приходят механизмы User Entity and Behavior Analytics (UEBA), которые используют поведенческую аналитику в совокупности с различными вспомогательными движками (правила корреляции, методы математической статистики) для обнаружения аномалий в действиях пользователей и множеств различных систем. В этой статье мы подробно рассмотрим, как UEBA помогает бороться с нетипичными атаками, а также приведем примеры реальных атак и сценарии их обнаружения на примере Security Vision UEBA.
Рисунок 1 - Механизм работы UEBA
Основные возможности UEBA
UEBA основывается на анализе поведения пользователей и сущностей (таких как системы, устройства, приложения, учетные записи, процессы) с целью выявления аномалий. Используя машинное обучение и математические модели, такие системы формируют базовые профили нормального поведения и сравнивают их с текущими действиями, выявляя потенциальные угрозы.
Рисунок 2 - Cхема взаимодействия моделей ML
Основные возможности UEBA включают:
1. Приоритизация инцидентов: Системы UEBA помогают разгрузить аналитиков безопасности, автоматически выделяя наиболее критичные инциденты, что позволяет сосредоточиться на самых значимых угрозах.
Рисунок 3 - Приоритизация инцидентов
2. Обнаружение угроз: UEBA позволяет выявлять сложные и нетипичные атаки, включая компрометацию учетных данных, инсайдерские угрозы и внешние атаки.
Рисунок 4 - Общая карточка инцидентов с накоплением событий
3. Расследование инцидентов: Объединяя данные о событиях с контекстной информацией, UEBA упрощает расследование инцидентов и ускоряет процесс реагирования.
Рисунок 5 - Единый инструмент (Граф) расследования и реагирования
4. Реагирование на инциденты: Предоставляя детализированную информацию о затронутых областях, UEBA способствует оперативному и эффективному реагированию на атаки.
Сценарии использования UEBA для обнаружения атак
Компрометация учетных данных пользователей
Компрометация учетных данных является одной из наиболее распространенных угроз в современном киберпространстве. Атаки, такие как фишинг, техники pass-the-hash или брутфорс, направлены на захват учетных записей пользователей. Примером такой атаки может служить инцидент с компанией Uber в 2016 году, когда хакеры получили доступ к учетным данным, используя фишинг и применив полученные данные для несанкционированного входа в систему. UEBA способна обнаруживать такие действия, выявляя отклонения от обычного поведения пользователя, например, вход с необычного IP-адреса или попытки доступа к данным, которые пользователь ранее не запрашивал.
Рисунок 6 - Сценарий Атаки - Нелегитимный вход на Linux сервер с корпоративной системой из гостевого сегмента
Атаки на привилегированных пользователей
Привилегированные учетные записи, такие как администраторы или операторы баз данных, являются привлекательной целью для злоумышленников из-за их высокого уровня доступа к критически важным системам. В 2021 году произошло несколько атак на компании, использующие SolarWinds, где злоумышленники смогли получить доступ к учетным данным привилегированных пользователей и использовать их для боковых перемещений внутри сети. UEBA помогает выявлять такие атаки, анализируя действия привилегированных пользователей и выявляя аномальные операции, например, попытки доступа к нехарактерным системам или выполнение необычных команд.
Атаки на активы руководителей
Руководители высшего звена, такие как генеральные директора и финансовые директора, часто становятся целью атак, направленных на кражу конфиденциальных данных или финансовые махинации. В 2018 году произошло несколько инцидентов, когда злоумышленники использовали фишинговые атаки, чтобы заставить руководителей одобрить крупные финансовые переводы. UEBA может выявлять подобные атаки, отслеживая активность активов руководителей и сигнализируя о подозрительных действиях, таких как доступ к системам в нерабочее время или попытки перевода крупных сумм на неизвестные счета.
Рисунок 7 - Сценарий Атаки - Фишинг
Инсайдерские угрозы
Инсайдерские угрозы представляют собой одну из самых сложных для обнаружения категорий атак. В 2017 году сотрудник компании Bupa незаконно скопировал и продал личные данные клиентов, используя свои легитимные учетные данные. UEBA позволяет выявлять такие угрозы, анализируя поведение пользователей и обнаруживая действия, выходящие за рамки их обычной деятельности, например, массовое копирование данных или попытки передачи данных на внешние ресурсы.
Примеры использования UEBA для приоритизации и расследования инцидентов
Блокировка учетных записей
Блокировка учетных записей – это частый инцидент, который может быть вызван как ошибками пользователей, так и попытками взлома. В крупных организациях расследование причин блокировки может занимать значительное время. UEBA может автоматизировать этот процесс, быстро определяя, является ли блокировка результатом ошибки или же сигнализирует о компрометации учетных данных.
Создание новых учетных записей
Создание новых учетных записей может использоваться злоумышленниками для закрепления своих позиций в сети после первичного взлома. Например, в случае с атакой на Target в 2013 году, злоумышленники использовали компрометированный доступ для создания новых учетных записей и обеспечения долгосрочного доступа к сети компании. UEBA способна отслеживать такие события и выявлять аномалии в процессе создания учетных записей, сигнализируя о возможной атаке.
Совместное использование учетных записей
Совместное использование учетных данных между сотрудниками – это нарушение политики безопасности, которое может привести к утечке данных или другим инцидентам. Например, в случае с банком Capital One в 2019 году, несанкционированный доступ был получен через учетную запись, к которой имели доступ несколько сотрудников. UEBA помогает выявлять случаи совместного использования учетных данных и своевременно реагировать на подобные нарушения.
Примеры атак, обнаруживаемых с помощью UEBA
DLL Hijacking и DLL Sideloading
Эти техники атак включают замену легитимных библиотек DLL на вредоносные, что позволяет злоумышленникам получить контроль над системой. Одним из наиболее известных случаев применения этой техники был взлом компании Kaseya в 2021 году, когда шифровальщик REvil использовал DLL Sideloading для распространения вредоносного ПО. UEBA может помочь обнаружить такие атаки, отслеживая загрузку редких или необычных библиотек, особенно если они загружаются в системные процессы.
Горизонтальные перемещения (lateral movement) через named pipes
Злоумышленники часто используют named pipes для скрытного перемещения внутри сети и повышения привилегий. Примером такой атаки может служить использование инструмента Cobalt Strike, который активно применяет named pipes для горизонтального перемещения. UEBA позволяет обнаруживать такие атаки, выстраивая профили нормального поведения систем и выявляя отклонения, такие как создание редких или необычных named pipes.
Подозрительные обращения к внешним доменам
Злоумышленники часто используют легитимные веб-сервисы, такие как Pastebin или GitHub, для передачи команд и управления вредоносными программами. Примером такой активности может служить использование Pastebin для хранения команд C&C, которые затем загружаются на компрометированные системы. UEBA помогает выявлять подобные атаки, отслеживая обращения к редким или подозрительным доменам, особенно если они исходят от пользователей, которые обычно не обращаются к таким ресурсам.
Заключение
Технологии User Entity and Behavior Analytics (UEBA) предоставляют мощные инструменты для обнаружения, расследования и реагирования на современные киберугрозы, а на базе платформы Security Vision данный механизм получает турбо усиление в лице всех преимуществ SOAR системы. В отличие от традиционных методов защиты, основанных на правилах и сигнатурах, UEBA использует поведенческую аналитику для выявления аномалий, что позволяет более эффективно обнаруживать нетипичные атаки, такие как компрометация учетных данных, атаки на привилегированных пользователей и инсайдерские угрозы. Примеры реальных атак, таких как использование техник DLL Hijacking или латеральные перемещения через named pipes, демонстрируют важность и необходимость внедрения UEBA в современные системы безопасности. В условиях постоянно усложняющейся киберугрозы, UEBA становится ключевым элементом для обеспечения надежной защиты корпоративных сетей.