Поведенческий анализ для защиты инфраструктуры: хакеры и коронавирус меняют рынок ИБ-решений

До недавнего времени поведенческий анализ (UBA и UEBA) активно использовался только в бизнес-приложениях для выявления мошеннических операций и внутренних инсайдеров. Сейчас злоумышленники стали более изощренными: они ведут незаметные целевые атаки и могут месяцами скачивать конфиденциальные данные, не привлекая к себе внимания.

Автор: Евгений Рудацкий, коммерческий директор Varonis в России

Перевод сотрудников на удаленный режим работы из-за эпидемии COVID-19 привел к еще большему увеличению рисков. Когда хакеры становятся изобретательнее, а пользователи массово заходят в корпоративные информационные системы через общедоступные сети, обеспечивать безопасность становится сложнее — сказывается синергия двух факторов. Большинство существующих решений плохо справляются с выявлением внешне легитимных действий злоумышленников, а потому поведенческий анализ стал активно применяться и для защиты ИТ-инфраструктуры.

Недостатки существующих решений

Внедрение новых средств не отменяет необходимость использования традиционных решений: межсетевых экранов, антивирусных продуктов или систем распознавания атак. Они прекрасно справляются на своих участках, но поведенческий анализ помогает, когда злоумышленник уже внутри сети, а его действия формально ничем не отличаются от действий легитимного пользователя. Необходимо убедиться, что за удаленным компьютером, под конкретной учётной записью, действительно работает именно тот сотрудник, который авторизовался в системе. К тому же ИТ-отдел не контролирует личные устройства: они могут быть заражены вредоносным ПО и наносить ущерб помимо воли владельца. Управляя чужой машиной, злоумышленник без труда войдет в корпоративный домен, воспользовавшись доступом легитимного пользователя. При этом другие системы обеспечения информационной безопасности ничего не заметят.

Как работает поведенческий анализ

Использовавшиеся в бизнес-приложениях для выявления внутренних инсайдеров математические модели подходят и для распознавания описанных целевых атак на ИТ-инфраструктуру. Идея состоит в том, чтобы проанализировать связанные с различными сущностями (учетными записями, узлами сети, различными сервисами) данные, выявить в них модели поведения и определить момент, когда они станут отличаться от нормальных. Например, если пользователь активно просматривает документы, с которыми ранее не работал, а затем связывается с неизвестными внешними серверами и пытается отправлять туда информацию. По отдельности это просто подозрительные события, а все вместе, в такой последовательности, они больше похожи на атаку.

Сканирование сети, странные запросы DNS, попытки «построить» DNS-туннель, аномальная активность по отправке электронной почты — признаков скрытой разведки, продвижения к целевой информации и утечки данных множество. Чтобы собрать их воедино, выделить и соотнести между собой, необходимо проанализировать большой объем метаданных из разных систем. В основном это Active Directory — программное «сердце» ИТ-инфраструктуры любой организации. Завладев учетной записью AD, злоумышленник становится практически невидимым для остальных систем безопасности, но где пасуют другие методы, поведенческий анализ изучает информацию буквально обо всем: с какой рабочей станции или IP пользователь вошел в домен, ошибался ли он со вводом пароля и сколько раз, с какими ресурсами работает. Метаданные собираются и с целевых систем: почтового сервера, файловых хранилищ, прокси-сервера, межсетевого экрана, серверов VPN и DNS.

В основном профилирование идет в разрезе учетных данных Active Directory, поскольку в каталоге можно найти соответствие практически для всех обитающих внутри ИТ-инфраструктуры сущностей: рабочих станций и серверов, принтеров, аккаунтов обычных пользователей, а также административных и сервисных учетных записей. Благодаря взаимодействию с файрволом и другим активным сетевым оборудованием, могут собираться данные и про не включенные в домен узлы — по сути система поведенческого анализа делает цифровой слепок организации, и в режиме реального времени выявляет в нем опасные аномалии. Они могут просто не соответствовать обычному ходу событий или совпасть с известными профилями атак. Прочие средства защиты информации исследуют данные более детально — каждое в своей узкой области. Они анализируют сетевой трафик или, скажем, файлы на диске, но никогда не смогут увидеть картину в целом.

Решения в области поведенческого анализа содержат три основных компонента:

1. Аналитика данных: сбор данных для определения «нормального» поведения пользователей и объектов и создания профиля их нормального поведения. Затем подключаются статистические модели для выявления необычного поведения.
2. Интеграция данных: решающее значение имеет возможность сравнивать данные из различных источников, таких как журналы логов, данные сетевых пакетов, с существующими системами безопасности.
3. Представление данных: полученные результаты должны быть визуализированы. Обычно это делается путем оповещения сотрудников службы безопасности о необходимости дальнейшего расследования обнаруженного необычного поведения.

Распознать — значит предотвратить

Выявить инцидент недостаточно. В идеале нужно пресечь вредоносные действия в зародыше, предотвратив масштабную атаку и сведя возможный ущерб к минимуму. После срабатывания набора триггеров, выявления аномалии или конкретной модели угроз, система поведенческого анализа может передать событие в SIEM (Security information and event management), а также самостоятельно отправить команду контроллеру домена, компьютеру или межсетевому экрану.

Самый яркий пример — противодействие троянам-шифровальщикам. Обычно они не идентифицируются антивирусным ПО на этапе проникновения в системы, а после нанесения ущерба лечиться уже поздно. Поведенческий анализ выявляет массовое изменение данных и сразу дает команду на дальнейшие превентивные действия, включающие в себя на финальных этапах отключение учетной записи, и блокировку узла, с которого ведется шифрование. Ничего не зная о конкретном вредоносном ПО, можно предотвратить серьезный ущерб, но, как правило, для обоснования закупки подобных решений этого маловато.

Польза для бизнеса

Измерять в денежных единицах эффект от внедрения системы поведенческого анализа, все равно, что пытаться оценить тот же межсетевой экран или антивирус. Напрямую это сделать не получится. Направленные на повышение защищенности ИТ-инфраструктуры решения уменьшают угрозу утечек и порчи конфиденциальных данных. Доходов они не приносят, а потому экономическая эффективность от внедрения может достигаться только за счет снижения расходов на ликвидацию последствий инцидентов. Проблема в том, что угрозы потенциальные: пока в компании не случится, скажем, по настоящему серьезной инцидент с большим экономическим и репутационным ущербом, топ-менеджмент крайне неохотно раскошеливается на «модные игрушки для безопасников».

Это неправильный подход. Даже на этапе пилотной эксплуатации в большинстве организаций выявляются небезопасные процессы, которые без поведенческого анализа обнаружить невозможно. Незащищенные рабочие станции, принесенные сотрудниками из дома и включенные в домен Active Directory ноутбуки, слишком широкие полномочия пользователей, доступ к чужой почте, внедренные без ведома айтишников программные решения (в том числе, облачные) и прочие теневые сущности. Отследить их вручную не получится из-за слишком высокой сложности корпоративной инфраструктуры и большого количества задействованного в ее обслуживании персонала, в том числе, с полномочиями администраторов. Помимо различных злоупотреблений, часто обнаруживаются незаметно функционирующие в сети ботнеты и, разумеется, инсайдеры.

Популярность систем поведенческого анализа для защиты инфраструктуры росла быстрыми темпами и по причинам, не связанным с переходом сотрудников на удаленную работу. Эпидемия коронавируса лишь существенно ускорила этот процесс. Потому, решая нужна ли такая система в вашей организации, помните, что предотвратить масштабную атаку обычно дешевле, чем ликвидировать ее последствия.

И еще один важный момент — на сегодняшний день поведенческий анализ не может полностью заменить решения безопасности. Скорее, он представляет собой дополнение для улучшения общей ситуации с безопасностью в компании. Более того, многие производители таких систем, как DLP, CASB, SIEM, добавляют функции поведенческой аналитики в свои решения.