КИБЕРВИКИПЕДИЯ
SECURITY VISION

Мониторинг активности пользователей (UEBA, User and Entity Behavior Analytics) — это технология, которая использует методы анализа данных для отслеживания и анализа активности пользователей и других сущностей в сети с целью выявления аномальных или подозрительных действий.

UEBA использует машинное обучение, искусственный интеллект и статистический анализ для выявления аномалий в действиях пользователей и устройств в сети. Система анализирует нормальное поведение пользователей и вычисляет отклонения от нормы, что позволяет выявлять потенциальные угрозы, такие как несанкционированный доступ, утечку данных или внутренние атаки.

UBA использует машинное обучение и аналитические инструменты для создания профилей нормального поведения пользователей, что позволяет выявлять отклонения и подозрительные действия в реальном времени. Эти отклонения могут сигнализировать о безопасности угрозах, таких как фишинг, взлом учетных записей или другие формы компрометации.

Основные аспекты UBA:

· Создание профилей пользователей: Система отслеживает поведение пользователей в сети, включая их повседневные действия — такие как доступ к файлам, входы в систему, использование приложений и сетевых ресурсов.

· Анализ аномалий: Когда поведение пользователя отклоняется от нормального шаблона, система сигнализирует о возможной угрозе. Например, если пользователь, работающий на стандартном наборе данных, внезапно начинает использовать данные, к которым обычно не имеет доступа, это может быть подозрительной активностью.

· Реагирование на угрозы: После выявления аномалии, система может инициировать автоматические меры, такие как блокировка учетной записи или уведомление администраторов.

EBA охватывает более широкий спектр анализа безопасности, чем UBA, поскольку рассматривает не только действия пользователей, но и поведение всех элементов инфраструктуры — от серверов и устройств до приложений и сервисов. Система EBA анализирует взаимодействие этих сущностей в сети и выявляет аномалии, которые могут сигнализировать о потенциальных угрозах безопасности, таких как атаки на сеть или эксплуатация уязвимостей.

Основные аспекты EBA:

· Анализ всех сущностей сети: Включает мониторинг и анализ поведения серверов, приложений, мобильных устройств, периферийных устройств и других элементов системы, а также их взаимодействие друг с другом.

· Выявление аномалий среди сущностей: Если сервер начинает взаимодействовать с устройствами, с которыми обычно не соединяется, или если приложение выполняет необычные операции, это может быть признаком атаки или попытки компрометации.

· Применение на основе машинного обучения: Система использует алгоритмы машинного обучения для обнаружения шаблонов поведения и своевременного реагирования на отклонения от нормы.

Особенности UEBA:

· Мониторинг действий пользователей: Отслеживание входов в систему, доступ к файлам, использование ресурсов и других действий, которые помогают сформировать профиль нормального поведения.

· Идентификация аномальных действий: Например, если пользователь из внешней сети пытается получить доступ к конфиденциальным данным или если сотрудник, обычно работающий в офисе, неожиданно начал скачивать огромные объемы данных ночью, это может быть сигналом о взломе.

· Использование искусственного интеллекта: Современные системы UEBA используют машинное обучение для адаптации к изменениям в поведении пользователей и точности обнаружения аномалий.

Этот подход является важной частью системы информационной безопасности, поскольку помогает выявлять угрозы, которые могут оставаться незамеченными традиционными средствами безопасности.

Методы защиты:

· Внедрение решений UEBA для мониторинга активности пользователей.

· Настройка уведомлений для информирования о подозрительных действиях.

· Применение реактивных мер безопасности, таких как блокировка доступа или требование дополнительной аутентификации.

Бытовые примеры:

1. Распознавание краж в магазинах: Как системы безопасности в магазинах отслеживают покупателей и их поведение, чтобы выявить подозрительное поведение (например, кражу), так и UEBA анализирует действия пользователей в сети для выявления угроз.

2. Системы видеонаблюдения в аэропортах: Как камеры наблюдения в аэропортах отслеживают поведение пассажиров для предотвращения несчастных случаев или преступлений, так и системы UEBA мониторят пользователей для обнаружения потенциальных угроз.

3. Контроль доступа в спортивный клуб: Как спортивные клубы могут отслеживать посещения своих членов и идентифицировать необычные посещения или поведение, так и UEBA отслеживает действия пользователей в сети для обнаружения нарушений.

4. Контроль за доступом к компьютерной системе: Как менеджер может контролировать, кто и когда заходил в офис или использовал определенные устройства, так и UEBA контролирует, кто и когда получает доступ к важной информации в корпоративной сети.

5. Анализ финансовых операций: Как банки отслеживают транзакции для выявления мошенничества, так и системы UEBA анализируют действия пользователей, чтобы предупредить о возможных угрозах безопасности.