Контакты
Подписка 2025
Статьи по информационной безопасности

UEBA усиливает DLP там, где правила молчат

Лидия Виткова, 05/09/25

Что, если сотрудник уносит данные не нарушая ни одного правила? Он действует в рамках своих полномочий, не вызывает тревог в DLP и остается незамеченным – до тех пор, пока ущерб не станет необратимым. Инсайдерские угрозы эволюционируют, и классическим средствам защиты все труднее отличить норму от отклонения. Рассмотрим, как поведенческая аналитика возвращает смысл в защиту информации, усиливая DLP за счет наблюдения, контекста и раннего распознавания аномалий.

Авторы:
Лидия Виткова, к. т. н., начальник аналитического центра кибербезопасности компании “Газинформсервис"
Яна Заковряжина, менеджер продукта Ankey ASAP компании “Газинформсервис”

DLP – это инструмент для контроля утечек данных, он работает по принципу сигнатур и правил. Если сотрудник действует в рамках своих прав, но его поведение резко меняется, DLP может ничего не заметить. В таких ситуациях на помощь приходит UEBA (User and Entity Behavior Analytics) – технология анализа поведения пользователей и сущностей. Она не заменяет DLP, а дополняет ее, выявляя аномалии, которые не попадают под стандартные правила.

Почему DLP уже недостаточно

Система DLP остается основным инструментом предотвращения утечек, и со своей задачей она справляется: блокирует отправку документов на личную почту, следит за флешками, запрещает пересылку архивов с паролем и т. п. Но все это – про известные сценарии, и если действие не нарушает заданной в DLP политики, оно считается безопасным. Именно здесь образуются слепые зоны.

  1. Когда бухгалтер вдруг начинает скачивать исходники из проектных папок, DLP остается спокойной – доступ есть, формально все в порядке. Но UEBA фиксирует отклонение: раньше такого поведения не было, и для этой роли оно нехарактерно. Именно это и становится основанием для тревоги.
  2. Администратор, всегда работавший днем, вдруг заходит в архив глубокой ночью, да еще и с давно неактивного аккаунта. DLP не видит проблемы: вход легитимен. А вот UEBA отмечает сбой в привычном ритме и реагирует на аномалию, которую остальные системы просто игнорируют.
  3. Менеджер, который всегда работает из офиса в России, внезапно авторизуется из-за границы. DLP не замечает ничего необычного – вход легитимен. А вот UEBA распознает несоответствие привычному шаблону и подает сигнал: география стала аномалией.
  4. Сотрудник, зная, что цельный архив не пройдет через DLP, дробит его на части и отправляет по почте фрагментами. Для DLP это – разрозненные, неопасные действия. UEBA замечает рост активности, повторяемость, смену паттерна – и именно в этой мозаике распознает угрозу.

Любое отклонение от нормы, даже без нарушения политики, становится сигналом. UEBA приносит в инфраструктуру то, чего не хватает DLP, – внимание не к событию, а к поведению.

Как работает связка UEBA и DLP

UEBA – из тех систем, от которых заказчики ждут быстрых чудес: внедрили, подключили, запустили – но вдруг наступает тишина. Ни тревог, ни сигналов, ни результата. Кажется, что технология не работает. Но тишина здесь не ошибка, а симптом изоляции. UEBA не порождает события – она их интерпретирует. Без регулярной подпитки данными, без связи с DLP, SIEM и другими системами она молчит. Ее задача – заметить отклонение, но для этого ей сначала нужно показать, как выглядит норма.

Связка DLP и UEBA – это не просто обмен событиями, это формирование двуслойного восприятия. DLP, заточенная под блокировку конкретных, заранее известных нарушений, работает как фильтр, пропускающий только то, что укладывается в набор запретов. Она хорошо знает, что нельзя, но ничего не знает о том, как бывает обычно. UEBA, напротив, не ищет нарушения как такового – она ищет отклонение, смещение, поведенческую неестественность. Там, где DLP видит допустимое действие, UEBA распознает его неожиданность.

UEBA становится по-настоящему эффективной, когда оценивает не отдельные события, а их смысл в контексте – конкретного сотрудника, его роли, времени и привычного поведения. Не сам факт доступа важен, а его уместность. Вспомним кейс, с администратором, который всегда работал днем с одних устройств, вдруг выходит в сеть ночью с заброшенного аккаунта. Формально – всё в порядке, но интонация действия меняется. UEBA улавливает именно это: несоответствие ожиданиям. Работа связки UEBA и DLP требует не просто обмена событиями, а обратной связи. UEBA обучается на данных DLP и со временем точнее отличает реальную угрозу от безобидных отклонений. DLP, в свою очередь, может адаптировать свои политики, опираясь не на жесткие шаблоны, а на живую статистику поведенческих аномалий.

ris1_new_w-2
Рис. Интеграция UEBA в ИБ-ландшафт

В типовой инфраструктуре все события стекаются в SIEM-систему – она становится нервным центром, где сходятся логи, телеметрия, сигналы от DLP и других решений. UEBA получает данные либо оттуда, либо напрямую из источников, если архитектура это допускает. Но ее полноценная работа возможна только в насыщенной, живой среде. Лишь в непрерывном потоке активности она начинает распознавать ритмы, выявлять структуру, чувствовать границы нормы – и замечать, когда что-то выходит за них.

Неочевидные сценарии применения UEBA

UEBA часто воспринимается как сугубо антиинсайдерский инструмент. Но это слишком узкое восприятие для технологии, построенной на умении видеть поведение. Ее настоящая сила раскрывается в тех зонах, где прямых нарушений нет, а контекст – единственный источник тревоги. Одним из таких сценариев становится профилирование не отдельных сотрудников, а целых подразделений. Каждый отдел живет в своем ритме, работает со своими системами, оставляет за собой уникальный цифровой след. Финансисты взаимодействуют с бухгалтерским софтом, HR – с кадровыми платформами, разработчики – с Git, Staging-средами, CI/CD-пайплайнами. Но если вдруг сотрудник из бухгалтерии начинает регулярно заходить в репозитории с исходным кодом и массово скачивать содержимое – с точки зрения поведенческой логики это событие становится тревожным.

Еще одна область, где поведенческая аналитика незаменима, – это расследование инцидентов постфактум. Когда данные уже утекли, важно восстановить хронологию: кто получил доступ, из какого источника, в какое время, как долго продолжалась активность, предшествовали ли этому изменения в привычном поведении. UEBA, хранящая поведенческие профили в динамике, позволяет воспроизвести эту картину с детализацией, которую невозможно получить, просто просматривая логи.

Но, пожалуй, самый недооцененный эффект от внедрения UEBA – это фильтрация событийного шума, который создают другие ИБ-системы. DLP в крупных инфраструктурах часто генерирует сотни, если не тысячи срабатываний в день. Большая часть из них – ложные, или, по крайней мере, несущественные. Аналитики тратят много ресурсов на их разбор, и со временем тревоги начинают восприниматься просто как фон. UEBA способна перехватить этот поток и сделать его осмысленным. На основе анализа поведенческих моделей она может отсечь до трех четвертей алертов, оставив только те, что действительно выбиваются из нормы.

Типовые проблемы с UEBA и как их избежать

UEBA, несмотря на свою интеллектуальность, не волшебная кнопка. Ее точность и чувствительность зависят не столько от алгоритмов, сколько от среды, в которую она встроена. И если не учитывать особенности этой среды, система может либо долго молчать, либо, напротив, начать видеть угрозы там, где их нет.

Впрочем, почти все сложности, с которыми сталкиваются команды при внедрении поведенческого анализа, решаемы. На первом месте – ожидание мгновенного результата. UEBA не работает "из коробки" в привычном смысле: ей требуется время, чтобы сформировать поведенческие профили, на которых основаны все ее выводы. Этот процесс занимает в среднем от двух до четырех недель, в течение которых система наблюдает, анализирует и накапливает статистику. Проблема в том, что не всегда есть возможность ждать. Но решение есть – использовать ретроспективные логи: подгрузив исторические данные, можно ускорить обучение моделей.

Вторая проблема куда более тонкая – загрязненные данные. Если в период обучения в логах уже содержатся аномальные действия, UEBA вполне может воспринять их как часть нормы. Особенно опасно, если система настраивается в момент нестабильности: смена сотрудников, всплеск активности, инциденты. Чтобы избежать формирования ложной нормы, необходимо очищать данные до начала обучения либо вручную, либо при помощи вспомогательных меток в логах, отмечая эпизоды, которые нельзя считать репрезентативными.

Третий риск – недостаток данных. UEBA по своей природе требует широты взгляда: она

должна видеть не только действия пользователя, но и среду, в которой эти действия совершаются. Если поведенческий анализ ограничен лишь логами из одного источника – например, только из DLP или только из Active Directory – система получает усеченную картину, в которой легко пропустить важные связи и закономерности. Чтобы UEBA действительно начала видеть, ей нужен приток информации из SIEM, IDM, AD, прокси, VPN и любых других точек, где фиксируется пользовательская активность.

В заключение

Интерес к UEBA – не модный тренд, а закономерный ответ на изменившуюся природу угроз. Поведение стало новым источником риска, и будет ошибкой – смотреть только на формальные нарушения. Именно поэтому появляется технология, способная видеть глубже – и компания "Газинформсервис" с продуктом Ankey ASAP [1] предлагает не просто модуль UEBA, а полноценный инструмент для работы с поведением.

Ankey ASAP построен на методах машинного обучения, которые позволяют не просто фиксировать команды, а выявлять скрытые, деструктивные паттерны на уровне терминального взаимодействия. В условиях, когда аналитик SOC завален потоком инцидентов, такой подход критичен: система помогает не только обнаружить, но и объяснить – быстро, наглядно, в поведенческом контексте. Инструменты для расследования уже встроены в интерфейс: матрицы MITRE ATT&CK, БДУ ФСТЭК, цепочки Kill Chain, таймлайн событий – все это позволяет не просто увидеть инцидент, но разложить его по слоям до уровня мотива и метода. А дашборды и готовые виджеты дают команде управления не абстрактную аналитику, а удобный инструмент работы с текущей ситуацией.

Сертификация Ankey ASAP в ФСТЭК России по УД 4 и соответствие требованиям ключевых приказов (№ 17, № 21, № 239, № 31) делают его пригодным для использования в сегментах, где цена ошибки особенно высока – от КИИ до корпоративной среды.

И совет напоследок: не ждите быстрых побед. UEBA – это не реактивный инструмент, а стратегия наблюдения, накопления и понимания. Она раскрывается со временем, когда система начинает различать нюансы и видеть поведение как процесс, а не как набор событий. Это не покупка функции, а инвестиция в зрелость. И чем раньше вы начнете ее внедрять, тем раньше инфраструктура научится видеть то, что раньше проходило мимо.

  1. https://www.gaz-is.ru/produkty/upravlenie-ib/ankey-asap 
Темы:DLPUEBAГазинформсервисЖурнал "Информационная безопасность" №3, 2025

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Геометрия DLP требует пересмотра
    Арен Торосян, руководитель продукта “Гарда DLP”
    Если ваш ландшафт СЗИ вообще, а DLP в частности, похож на лоскутное одеяло – вы не одиноки. Во многих крупных компаниях безопасность развивается не по плану, а по обстоятельствам: одно подразделение внедрило решение “для галочки”, другое – под влиянием подрядчика, третье унаследовало систему вместе с купленной дочкой. Так появляется распределенная сеть из разрозненных инсталляций, каждая из которых требует внимания, ресурсов и отдельной стратегии. В какой-то момент вся эта конструкция перестает поддаваться управлению – и становится риском сама по себе.
  • Чужое в допустимом контуре
    Сергей Вахонин, Директор по решениям DeviceLock, Inc. (“Смарт Лайн Инк”)
    Инсайдерские угрозы редко становятся поводом для громких пресс-релизов, но именно они остаются наиболее устойчивыми и в то же время сложно выявляемыми источниками утечек. А с приходом удаленки, облаков и мнимой цифровой зрелости проблема и вовсе переместилась в категорию ежедневных рисков. Давайте подумаем, как подходить к инсайдерской угрозе не с позиций охоты на ведьм, а через архитектуру, анализ поведения, доверие и автоматизированный контроль. Без паранойи, но и без вредных иллюзий.
  • Управление правилами межсетевых экранов: от хаоса к гармонии
    Мария Кудрявцева, менеджер продукта Efros DefOps, “Газинформсервис”
    Процесс настройки нового МЭ, включая перенос правил, отнимает время, ресурсы и несет высокие риски, обусловленные человеческим фактором, – ошибка, связанная с некорректным переносом, может привести к серьезным последствиям вплоть до недоступности МЭ. А если на устройстве сотни тысяч правил, то ручной вариант перехода практически исключен.
  • Безопасность приложений на базе SAP и 1С начинается с проверки кода
    Екатерина Герлинг, ведущий инженер-аналитик Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности ООО “Газинформсервис”
    После ухода SAP с российского рынка система 1С стала чуть ли не единственной альтернативой, но разработка под эту платформу требует значительных ресурсов, а специалистов не хватает. При этом анализ и защита кода для таких систем — сложный процесс, требующий специализированных решений. На российском рынке есть решения, которые помогут обеспечить безопасность корпоративных приложений на 1С и SAP.
  • Слово не воробей, но DLP его поймает
    Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
    Информация – ценный актив и важнейшее достояние компании, требующее надежной защиты. Подходы к защите информации могут значительно различаться, но требования регуляторов обязывают компании обеспечивать безопасность данных, включая защиту ПДн. А ответственность за необходимость охраны коммерческой тайны ложится на плечи подразделений информационной безопасности. Помимо прочего, существует “чувствительная информация”, утечка которой способна привести к крайне негативным последствиям.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности