Авторы:
Лидия Виткова, к. т. н., начальник аналитического центра кибербезопасности компании “Газинформсервис"
Яна Заковряжина, менеджер продукта Ankey ASAP компании “Газинформсервис”
DLP – это инструмент для контроля утечек данных, он работает по принципу сигнатур и правил. Если сотрудник действует в рамках своих прав, но его поведение резко меняется, DLP может ничего не заметить. В таких ситуациях на помощь приходит UEBA (User and Entity Behavior Analytics) – технология анализа поведения пользователей и сущностей. Она не заменяет DLP, а дополняет ее, выявляя аномалии, которые не попадают под стандартные правила.
Система DLP остается основным инструментом предотвращения утечек, и со своей задачей она справляется: блокирует отправку документов на личную почту, следит за флешками, запрещает пересылку архивов с паролем и т. п. Но все это – про известные сценарии, и если действие не нарушает заданной в DLP политики, оно считается безопасным. Именно здесь образуются слепые зоны.
Любое отклонение от нормы, даже без нарушения политики, становится сигналом. UEBA приносит в инфраструктуру то, чего не хватает DLP, – внимание не к событию, а к поведению.
UEBA – из тех систем, от которых заказчики ждут быстрых чудес: внедрили, подключили, запустили – но вдруг наступает тишина. Ни тревог, ни сигналов, ни результата. Кажется, что технология не работает. Но тишина здесь не ошибка, а симптом изоляции. UEBA не порождает события – она их интерпретирует. Без регулярной подпитки данными, без связи с DLP, SIEM и другими системами она молчит. Ее задача – заметить отклонение, но для этого ей сначала нужно показать, как выглядит норма.
Связка DLP и UEBA – это не просто обмен событиями, это формирование двуслойного восприятия. DLP, заточенная под блокировку конкретных, заранее известных нарушений, работает как фильтр, пропускающий только то, что укладывается в набор запретов. Она хорошо знает, что нельзя, но ничего не знает о том, как бывает обычно. UEBA, напротив, не ищет нарушения как такового – она ищет отклонение, смещение, поведенческую неестественность. Там, где DLP видит допустимое действие, UEBA распознает его неожиданность.
UEBA становится по-настоящему эффективной, когда оценивает не отдельные события, а их смысл в контексте – конкретного сотрудника, его роли, времени и привычного поведения. Не сам факт доступа важен, а его уместность. Вспомним кейс, с администратором, который всегда работал днем с одних устройств, вдруг выходит в сеть ночью с заброшенного аккаунта. Формально – всё в порядке, но интонация действия меняется. UEBA улавливает именно это: несоответствие ожиданиям. Работа связки UEBA и DLP требует не просто обмена событиями, а обратной связи. UEBA обучается на данных DLP и со временем точнее отличает реальную угрозу от безобидных отклонений. DLP, в свою очередь, может адаптировать свои политики, опираясь не на жесткие шаблоны, а на живую статистику поведенческих аномалий.
Рис. Интеграция UEBA в ИБ-ландшафт
В типовой инфраструктуре все события стекаются в SIEM-систему – она становится нервным центром, где сходятся логи, телеметрия, сигналы от DLP и других решений. UEBA получает данные либо оттуда, либо напрямую из источников, если архитектура это допускает. Но ее полноценная работа возможна только в насыщенной, живой среде. Лишь в непрерывном потоке активности она начинает распознавать ритмы, выявлять структуру, чувствовать границы нормы – и замечать, когда что-то выходит за них.
UEBA часто воспринимается как сугубо антиинсайдерский инструмент. Но это слишком узкое восприятие для технологии, построенной на умении видеть поведение. Ее настоящая сила раскрывается в тех зонах, где прямых нарушений нет, а контекст – единственный источник тревоги. Одним из таких сценариев становится профилирование не отдельных сотрудников, а целых подразделений. Каждый отдел живет в своем ритме, работает со своими системами, оставляет за собой уникальный цифровой след. Финансисты взаимодействуют с бухгалтерским софтом, HR – с кадровыми платформами, разработчики – с Git, Staging-средами, CI/CD-пайплайнами. Но если вдруг сотрудник из бухгалтерии начинает регулярно заходить в репозитории с исходным кодом и массово скачивать содержимое – с точки зрения поведенческой логики это событие становится тревожным.
Еще одна область, где поведенческая аналитика незаменима, – это расследование инцидентов постфактум. Когда данные уже утекли, важно восстановить хронологию: кто получил доступ, из какого источника, в какое время, как долго продолжалась активность, предшествовали ли этому изменения в привычном поведении. UEBA, хранящая поведенческие профили в динамике, позволяет воспроизвести эту картину с детализацией, которую невозможно получить, просто просматривая логи.
Но, пожалуй, самый недооцененный эффект от внедрения UEBA – это фильтрация событийного шума, который создают другие ИБ-системы. DLP в крупных инфраструктурах часто генерирует сотни, если не тысячи срабатываний в день. Большая часть из них – ложные, или, по крайней мере, несущественные. Аналитики тратят много ресурсов на их разбор, и со временем тревоги начинают восприниматься просто как фон. UEBA способна перехватить этот поток и сделать его осмысленным. На основе анализа поведенческих моделей она может отсечь до трех четвертей алертов, оставив только те, что действительно выбиваются из нормы.
UEBA, несмотря на свою интеллектуальность, не волшебная кнопка. Ее точность и чувствительность зависят не столько от алгоритмов, сколько от среды, в которую она встроена. И если не учитывать особенности этой среды, система может либо долго молчать, либо, напротив, начать видеть угрозы там, где их нет.
Впрочем, почти все сложности, с которыми сталкиваются команды при внедрении поведенческого анализа, решаемы. На первом месте – ожидание мгновенного результата. UEBA не работает "из коробки" в привычном смысле: ей требуется время, чтобы сформировать поведенческие профили, на которых основаны все ее выводы. Этот процесс занимает в среднем от двух до четырех недель, в течение которых система наблюдает, анализирует и накапливает статистику. Проблема в том, что не всегда есть возможность ждать. Но решение есть – использовать ретроспективные логи: подгрузив исторические данные, можно ускорить обучение моделей.
Вторая проблема куда более тонкая – загрязненные данные. Если в период обучения в логах уже содержатся аномальные действия, UEBA вполне может воспринять их как часть нормы. Особенно опасно, если система настраивается в момент нестабильности: смена сотрудников, всплеск активности, инциденты. Чтобы избежать формирования ложной нормы, необходимо очищать данные до начала обучения либо вручную, либо при помощи вспомогательных меток в логах, отмечая эпизоды, которые нельзя считать репрезентативными.
Третий риск – недостаток данных. UEBA по своей природе требует широты взгляда: она
должна видеть не только действия пользователя, но и среду, в которой эти действия совершаются. Если поведенческий анализ ограничен лишь логами из одного источника – например, только из DLP или только из Active Directory – система получает усеченную картину, в которой легко пропустить важные связи и закономерности. Чтобы UEBA действительно начала видеть, ей нужен приток информации из SIEM, IDM, AD, прокси, VPN и любых других точек, где фиксируется пользовательская активность.
Интерес к UEBA – не модный тренд, а закономерный ответ на изменившуюся природу угроз. Поведение стало новым источником риска, и будет ошибкой – смотреть только на формальные нарушения. Именно поэтому появляется технология, способная видеть глубже – и компания "Газинформсервис" с продуктом Ankey ASAP [1] предлагает не просто модуль UEBA, а полноценный инструмент для работы с поведением.
Ankey ASAP построен на методах машинного обучения, которые позволяют не просто фиксировать команды, а выявлять скрытые, деструктивные паттерны на уровне терминального взаимодействия. В условиях, когда аналитик SOC завален потоком инцидентов, такой подход критичен: система помогает не только обнаружить, но и объяснить – быстро, наглядно, в поведенческом контексте. Инструменты для расследования уже встроены в интерфейс: матрицы MITRE ATT&CK, БДУ ФСТЭК, цепочки Kill Chain, таймлайн событий – все это позволяет не просто увидеть инцидент, но разложить его по слоям до уровня мотива и метода. А дашборды и готовые виджеты дают команде управления не абстрактную аналитику, а удобный инструмент работы с текущей ситуацией.
Сертификация Ankey ASAP в ФСТЭК России по УД 4 и соответствие требованиям ключевых приказов (№ 17, № 21, № 239, № 31) делают его пригодным для использования в сегментах, где цена ошибки особенно высока – от КИИ до корпоративной среды.
И совет напоследок: не ждите быстрых побед. UEBA – это не реактивный инструмент, а стратегия наблюдения, накопления и понимания. Она раскрывается со временем, когда система начинает различать нюансы и видеть поведение как процесс, а не как набор событий. Это не покупка функции, а инвестиция в зрелость. И чем раньше вы начнете ее внедрять, тем раньше инфраструктура научится видеть то, что раньше проходило мимо.