Контакты
Подписка
МЕНЮ
Контакты
Подписка

Эффективна ли технология UEBA?

Екатерина Данилина, 17.06.19

Насколько эффективной оказалась технология UEBA? В каких ситуациях она необходима?

Владимир Бенгин, директор департамента поддержки продаж, Positive Technologies

За прошедшие четыре года мы не встречали на отечественном рынке рабочих внедрений UEBA и ни разу не столкнулись с ситуацией, когда наличие UEBA играло бы ключевую роль в выборе конкретного продукта. Интерес компаний к UEBA, как правило, чисто академический.
Во-первых, в силу завышенных ожиданий: анализ и профилирование действий пользователей – задача важная, но в реальности сложно решаемая. Мы знакомы с ней, так как активно работаем над определением сценариев, в которых работает UEBA, и решаем их иными способами. В частности, ведем разработки в области выявления аномалий в действиях пользователей. Построение модели поведения и отклонений от нее – непростая задача, требующая значительных трудозатрат (за исключением, пожалуй,  нескольких простых кейсов, вроде модели операциониста, выполняющего в банке всегда одинаковый набор действий). UEBA позиционировали как готовое решение всех проблем, но пока она не показывает достойных результатов.
Во-вторых, внедрение UEBA от продвинутых производителей – дорогостоящее удовольствие и в большинстве своем компании не готовы к таким расходам.

 

Дмитрий Кандыбович, генеральный директор компании StaffCop (ООО "Атом Безопасность")

На тему UEBA разговоров много, но практики использования в России нет, поскольку отечественные решения не созрели, а западные очень дорогие. В системе StaffCop Enterprise частично реализован функционал UEBA в виде анализа статистических отклонений и автоматического оповещения о них. Он хорошо работает в файловом мониторинге, например, если алерт настроен на  экстремальное количество операций. Это удобно, когда нет понимания, какой документ важен, а важно десятикратное увеличение количества действий. Это происходит, например, когда сотрудник перед увольнением отправляет много документов: сохраняет на USB, в облако, распечатывает и пр. И тут UEBA показывает себя очень хорошо: когда вы не знаете, какой файл вам важен, а важен сам факт большого количества отправки почты или вывода на печать, эта технология позволяет зафиксировать инцидент.

 

Елена Нагорная, руководитель направления департамента по защите активов и информации АО "Техснабэкспорт"

Несомненно, технология UEBA позволяет решить широкий спектр задач, связанных с аналитикой ИБ. Получая данные с различных средств защиты информации и сетевых журналов, при правильной аналитике и корреляции событий, можно очень четко определить актуальные уязвимости для конкретной инфраструктуры и, как следствие, выработать эффективные меры проактивной работы с потенциальными угрозами. Технологию UEBA мы применяем в качестве поведенческой аналитики программного обеспечения для последующей корректной его настройки и исправления ошибок в работе. UEBA помогает ИБ-специалистам получить минимальный уровень ложноположительных срабатываний и уделять должное внимание реакции на реальные угрозы.

 

Лев Палей, начальник отдела ИТ-обеспечения защиты информации, АО “СО ЕЭС”

Как и любой тренд, если разобрать происхождение и эффект более детально, технология идеологически осталась привлекательной. Но вместо развития этого уровня автоматизации при выявлении событий и инцидентов ИБ, как самостоятельного продукта, наблюдается  использование описанных техник в классах решений endpoint detection and response и SIEM. Таким образом можно консвенно судить о том, что рынок средств защиты адаптировался и нашел нужное место этой технологии. Вопрос про ситуации, я бы переформулировал, а именно: "Когда пора задумываться об UEBA?". И тут есть простой и логичный ответ - когда выстроены процессы получения данных с источников событий, есть устоявшиеся и проверяемые контроли, зрелость SOC и количество накопленных данных позволяет определить место этой технологии среди существующих сервисов ИБ.

 

Сергей Рысин, эксперт по информационной безопасности

В данный момент ситуация двоякая. С одной стороны, используемые в условиях импортозамещения отечественные решения не так развиты и не обладают всем функционалом. По этой причине приходится постоянно изучать рынок и надеяться на то, что российские аналоги выйдут на один уровень с зарубежными системами UEBA.
С другой стороны, отечественные системы данного класса бывают очень полезны, когда приходиться решать большой пул задач ИБ в условиях ограниченного штата.

Читать полную версию
SIEM vs новые угрозы:
что необходимо SIEM для
их оперативного выявления?

Темы:Positive TechnologiesStaffCopСО ЕЭСЛев ПалейЕлена НагорнаяТехснабэкспортДмитрий КандыбовичSIEMВладимир БенгинСергей РысинUEBA

Еще темы...