Контакты
Подписка 2026

UEBA усиливает DLP там, где правила молчат

Лидия Виткова, 05/09/25

Что, если сотрудник уносит данные не нарушая ни одного правила? Он действует в рамках своих полномочий, не вызывает тревог в DLP и остается незамеченным – до тех пор, пока ущерб не станет необратимым. Инсайдерские угрозы эволюционируют, и классическим средствам защиты все труднее отличить норму от отклонения. Рассмотрим, как поведенческая аналитика возвращает смысл в защиту информации, усиливая DLP за счет наблюдения, контекста и раннего распознавания аномалий.

Авторы:
Лидия Виткова, к. т. н., начальник аналитического центра кибербезопасности компании “Газинформсервис"
Яна Заковряжина, менеджер продукта Ankey ASAP компании “Газинформсервис”

DLP – это инструмент для контроля утечек данных, он работает по принципу сигнатур и правил. Если сотрудник действует в рамках своих прав, но его поведение резко меняется, DLP может ничего не заметить. В таких ситуациях на помощь приходит UEBA (User and Entity Behavior Analytics) – технология анализа поведения пользователей и сущностей. Она не заменяет DLP, а дополняет ее, выявляя аномалии, которые не попадают под стандартные правила.

Почему DLP уже недостаточно

Система DLP остается основным инструментом предотвращения утечек, и со своей задачей она справляется: блокирует отправку документов на личную почту, следит за флешками, запрещает пересылку архивов с паролем и т. п. Но все это – про известные сценарии, и если действие не нарушает заданной в DLP политики, оно считается безопасным. Именно здесь образуются слепые зоны.

  1. Когда бухгалтер вдруг начинает скачивать исходники из проектных папок, DLP остается спокойной – доступ есть, формально все в порядке. Но UEBA фиксирует отклонение: раньше такого поведения не было, и для этой роли оно нехарактерно. Именно это и становится основанием для тревоги.
  2. Администратор, всегда работавший днем, вдруг заходит в архив глубокой ночью, да еще и с давно неактивного аккаунта. DLP не видит проблемы: вход легитимен. А вот UEBA отмечает сбой в привычном ритме и реагирует на аномалию, которую остальные системы просто игнорируют.
  3. Менеджер, который всегда работает из офиса в России, внезапно авторизуется из-за границы. DLP не замечает ничего необычного – вход легитимен. А вот UEBA распознает несоответствие привычному шаблону и подает сигнал: география стала аномалией.
  4. Сотрудник, зная, что цельный архив не пройдет через DLP, дробит его на части и отправляет по почте фрагментами. Для DLP это – разрозненные, неопасные действия. UEBA замечает рост активности, повторяемость, смену паттерна – и именно в этой мозаике распознает угрозу.

Любое отклонение от нормы, даже без нарушения политики, становится сигналом. UEBA приносит в инфраструктуру то, чего не хватает DLP, – внимание не к событию, а к поведению.

Как работает связка UEBA и DLP

UEBA – из тех систем, от которых заказчики ждут быстрых чудес: внедрили, подключили, запустили – но вдруг наступает тишина. Ни тревог, ни сигналов, ни результата. Кажется, что технология не работает. Но тишина здесь не ошибка, а симптом изоляции. UEBA не порождает события – она их интерпретирует. Без регулярной подпитки данными, без связи с DLP, SIEM и другими системами она молчит. Ее задача – заметить отклонение, но для этого ей сначала нужно показать, как выглядит норма.

Связка DLP и UEBA – это не просто обмен событиями, это формирование двуслойного восприятия. DLP, заточенная под блокировку конкретных, заранее известных нарушений, работает как фильтр, пропускающий только то, что укладывается в набор запретов. Она хорошо знает, что нельзя, но ничего не знает о том, как бывает обычно. UEBA, напротив, не ищет нарушения как такового – она ищет отклонение, смещение, поведенческую неестественность. Там, где DLP видит допустимое действие, UEBA распознает его неожиданность.

UEBA становится по-настоящему эффективной, когда оценивает не отдельные события, а их смысл в контексте – конкретного сотрудника, его роли, времени и привычного поведения. Не сам факт доступа важен, а его уместность. Вспомним кейс, с администратором, который всегда работал днем с одних устройств, вдруг выходит в сеть ночью с заброшенного аккаунта. Формально – всё в порядке, но интонация действия меняется. UEBA улавливает именно это: несоответствие ожиданиям. Работа связки UEBA и DLP требует не просто обмена событиями, а обратной связи. UEBA обучается на данных DLP и со временем точнее отличает реальную угрозу от безобидных отклонений. DLP, в свою очередь, может адаптировать свои политики, опираясь не на жесткие шаблоны, а на живую статистику поведенческих аномалий.

ris1_new_w-2
Рис. Интеграция UEBA в ИБ-ландшафт

В типовой инфраструктуре все события стекаются в SIEM-систему – она становится нервным центром, где сходятся логи, телеметрия, сигналы от DLP и других решений. UEBA получает данные либо оттуда, либо напрямую из источников, если архитектура это допускает. Но ее полноценная работа возможна только в насыщенной, живой среде. Лишь в непрерывном потоке активности она начинает распознавать ритмы, выявлять структуру, чувствовать границы нормы – и замечать, когда что-то выходит за них.

Неочевидные сценарии применения UEBA

UEBA часто воспринимается как сугубо антиинсайдерский инструмент. Но это слишком узкое восприятие для технологии, построенной на умении видеть поведение. Ее настоящая сила раскрывается в тех зонах, где прямых нарушений нет, а контекст – единственный источник тревоги. Одним из таких сценариев становится профилирование не отдельных сотрудников, а целых подразделений. Каждый отдел живет в своем ритме, работает со своими системами, оставляет за собой уникальный цифровой след. Финансисты взаимодействуют с бухгалтерским софтом, HR – с кадровыми платформами, разработчики – с Git, Staging-средами, CI/CD-пайплайнами. Но если вдруг сотрудник из бухгалтерии начинает регулярно заходить в репозитории с исходным кодом и массово скачивать содержимое – с точки зрения поведенческой логики это событие становится тревожным.

Еще одна область, где поведенческая аналитика незаменима, – это расследование инцидентов постфактум. Когда данные уже утекли, важно восстановить хронологию: кто получил доступ, из какого источника, в какое время, как долго продолжалась активность, предшествовали ли этому изменения в привычном поведении. UEBA, хранящая поведенческие профили в динамике, позволяет воспроизвести эту картину с детализацией, которую невозможно получить, просто просматривая логи.

Но, пожалуй, самый недооцененный эффект от внедрения UEBA – это фильтрация событийного шума, который создают другие ИБ-системы. DLP в крупных инфраструктурах часто генерирует сотни, если не тысячи срабатываний в день. Большая часть из них – ложные, или, по крайней мере, несущественные. Аналитики тратят много ресурсов на их разбор, и со временем тревоги начинают восприниматься просто как фон. UEBA способна перехватить этот поток и сделать его осмысленным. На основе анализа поведенческих моделей она может отсечь до трех четвертей алертов, оставив только те, что действительно выбиваются из нормы.

Типовые проблемы с UEBA и как их избежать

UEBA, несмотря на свою интеллектуальность, не волшебная кнопка. Ее точность и чувствительность зависят не столько от алгоритмов, сколько от среды, в которую она встроена. И если не учитывать особенности этой среды, система может либо долго молчать, либо, напротив, начать видеть угрозы там, где их нет.

Впрочем, почти все сложности, с которыми сталкиваются команды при внедрении поведенческого анализа, решаемы. На первом месте – ожидание мгновенного результата. UEBA не работает "из коробки" в привычном смысле: ей требуется время, чтобы сформировать поведенческие профили, на которых основаны все ее выводы. Этот процесс занимает в среднем от двух до четырех недель, в течение которых система наблюдает, анализирует и накапливает статистику. Проблема в том, что не всегда есть возможность ждать. Но решение есть – использовать ретроспективные логи: подгрузив исторические данные, можно ускорить обучение моделей.

Вторая проблема куда более тонкая – загрязненные данные. Если в период обучения в логах уже содержатся аномальные действия, UEBA вполне может воспринять их как часть нормы. Особенно опасно, если система настраивается в момент нестабильности: смена сотрудников, всплеск активности, инциденты. Чтобы избежать формирования ложной нормы, необходимо очищать данные до начала обучения либо вручную, либо при помощи вспомогательных меток в логах, отмечая эпизоды, которые нельзя считать репрезентативными.

Третий риск – недостаток данных. UEBA по своей природе требует широты взгляда: она

должна видеть не только действия пользователя, но и среду, в которой эти действия совершаются. Если поведенческий анализ ограничен лишь логами из одного источника – например, только из DLP или только из Active Directory – система получает усеченную картину, в которой легко пропустить важные связи и закономерности. Чтобы UEBA действительно начала видеть, ей нужен приток информации из SIEM, IDM, AD, прокси, VPN и любых других точек, где фиксируется пользовательская активность.

В заключение

Интерес к UEBA – не модный тренд, а закономерный ответ на изменившуюся природу угроз. Поведение стало новым источником риска, и будет ошибкой – смотреть только на формальные нарушения. Именно поэтому появляется технология, способная видеть глубже – и компания "Газинформсервис" с продуктом Ankey ASAP [1] предлагает не просто модуль UEBA, а полноценный инструмент для работы с поведением.

Ankey ASAP построен на методах машинного обучения, которые позволяют не просто фиксировать команды, а выявлять скрытые, деструктивные паттерны на уровне терминального взаимодействия. В условиях, когда аналитик SOC завален потоком инцидентов, такой подход критичен: система помогает не только обнаружить, но и объяснить – быстро, наглядно, в поведенческом контексте. Инструменты для расследования уже встроены в интерфейс: матрицы MITRE ATT&CK, БДУ ФСТЭК, цепочки Kill Chain, таймлайн событий – все это позволяет не просто увидеть инцидент, но разложить его по слоям до уровня мотива и метода. А дашборды и готовые виджеты дают команде управления не абстрактную аналитику, а удобный инструмент работы с текущей ситуацией.

Сертификация Ankey ASAP в ФСТЭК России по УД 4 и соответствие требованиям ключевых приказов (№ 17, № 21, № 239, № 31) делают его пригодным для использования в сегментах, где цена ошибки особенно высока – от КИИ до корпоративной среды.

И совет напоследок: не ждите быстрых побед. UEBA – это не реактивный инструмент, а стратегия наблюдения, накопления и понимания. Она раскрывается со временем, когда система начинает различать нюансы и видеть поведение как процесс, а не как набор событий. Это не покупка функции, а инвестиция в зрелость. И чем раньше вы начнете ее внедрять, тем раньше инфраструктура научится видеть то, что раньше проходило мимо.


  1. https://www.gaz-is.ru/produkty/upravlenie-ib/ankey-asap 
Темы:DLPUEBAГазинформсервисЖурнал "Информационная безопасность" №3, 2025
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Когда ERP становится КИИ: что теперь отвечать регулятору – и что делать прямо сейчас
    Римма Кулешова, менеджер продукта SafeERP компании “Газинформсервис”
    В 2026 году государство признало ERP-системы объектом критической информационной инфраструктуры. Это означает новый уровень ответственности, другие сроки и дополнительные вопросы от регулятора.
  • SafeERP – новая архитектура защиты бизнес-приложений
    Римма Кулешова, менеджер продукта SafeERP компании “Газинформсервис”
    Признание ERP-систем частью КИИ меняет подход к безопасности бизнес-приложений. На первый план выходят вопросы непрерывного контроля, управления рисками и прозрачности процессов внутри 1С и SAP. Римма Кулешова рассказывает о новой модели защиты ERP и о том, почему безопасность бизнес-логики становится отдельным направлением ИБ.
  • Контроль информации в состоянии покоя и предотвращение утечек
    Максим Чеплиев, менеджер продукта Staffcop, эксперт Контур.Эгиды
    Системы предотвращения утечек следят только за передачей файлов. Если файл никто не трогает, DLP его не видит. Даже если в этом файле, годами лежащем на рабочем столе, пароли от всей корпоративной инфраструктуры или персональные данные клиентов. Штрафы регуляторам, финансовые убытки – вероятный финал такой небрежности. Разберемся, как обнаружить критичные файлы в покое и взять их под контроль до того, как они уплывут наружу.
  • Невидимая угроза: дрейф конфигураций разрушает архитектуру кибербезопасности
    Сергей Овчинников, директор продуктового департамента компании “Газинформсервис”
    Значительная часть серьезных инцидентов происходит не из-за новых уязвимостей, а из-за ошибок и несовершенства процесса изменения конфигураций, которые накапливались месяцами или даже годами.
  • GIS Vendor Day: продукты, партнерства и порядок в ИБ
    Первый GIS Vendor Day компании "Газинформсервис" начался не с сухой презентации, а с живого и довольно точного погружения в контекст. Директор департамента маркетинга и продаж Алексей Кравченко сразу обозначил настроение и смысл мероприятия: за вендорским форматом стоит не просто маркетинговая активность, а вполне ощутимое изменение в структуре бизнеса.
  • Сотрудники, дружба, ИБ: открытый контроль снижает риски утечек
    Вы наверняка сталкивались с парадоксом: чем строже становятся правила безопасности, тем чаще сотрудники ищут обходные пути. Исследование “СёрчИнформ” показывает тревожную статистику: 66% утечек конфиденциальной информации происходят без злого умысла. Основные причины – персонал не всегда понимает правила информационной безопасности, не может оценить важность данных и не осознает последствия нарушений. При этом лишь 18% российских компаний могут похвастаться по-настоящему высокой киберграмотностью сотрудников.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...