Эффективна ли технология UEBA?
Екатерина Данилина, 17.06.19
Насколько эффективной оказалась технология UEBA? В каких ситуациях она необходима?
Владимир Бенгин, директор департамента поддержки продаж, Positive Technologies
За прошедшие четыре года мы не встречали на отечественном рынке рабочих внедрений UEBA и ни разу не столкнулись с ситуацией, когда наличие UEBA играло бы ключевую роль в выборе конкретного продукта. Интерес компаний к UEBA, как правило, чисто академический.
Во-первых, в силу завышенных ожиданий: анализ и профилирование действий пользователей – задача важная, но в реальности сложно решаемая. Мы знакомы с ней, так как активно работаем над определением сценариев, в которых работает UEBA, и решаем их иными способами. В частности, ведем разработки в области выявления аномалий в действиях пользователей. Построение модели поведения и отклонений от нее – непростая задача, требующая значительных трудозатрат (за исключением, пожалуй, нескольких простых кейсов, вроде модели операциониста, выполняющего в банке всегда одинаковый набор действий). UEBA позиционировали как готовое решение всех проблем, но пока она не показывает достойных результатов.
Во-вторых, внедрение UEBA от продвинутых производителей – дорогостоящее удовольствие и в большинстве своем компании не готовы к таким расходам.
Дмитрий Кандыбович, генеральный директор компании StaffCop (ООО "Атом Безопасность")
На тему UEBA разговоров много, но практики использования в России нет, поскольку отечественные решения не созрели, а западные очень дорогие. В системе StaffCop Enterprise частично реализован функционал UEBA в виде анализа статистических отклонений и автоматического оповещения о них. Он хорошо работает в файловом мониторинге, например, если алерт настроен на экстремальное количество операций. Это удобно, когда нет понимания, какой документ важен, а важно десятикратное увеличение количества действий. Это происходит, например, когда сотрудник перед увольнением отправляет много документов: сохраняет на USB, в облако, распечатывает и пр. И тут UEBA показывает себя очень хорошо: когда вы не знаете, какой файл вам важен, а важен сам факт большого количества отправки почты или вывода на печать, эта технология позволяет зафиксировать инцидент.
Елена Нагорная, руководитель направления департамента по защите активов и информации АО "Техснабэкспорт"
Несомненно, технология UEBA позволяет решить широкий спектр задач, связанных с аналитикой ИБ. Получая данные с различных средств защиты информации и сетевых журналов, при правильной аналитике и корреляции событий, можно очень четко определить актуальные уязвимости для конкретной инфраструктуры и, как следствие, выработать эффективные меры проактивной работы с потенциальными угрозами. Технологию UEBA мы применяем в качестве поведенческой аналитики программного обеспечения для последующей корректной его настройки и исправления ошибок в работе. UEBA помогает ИБ-специалистам получить минимальный уровень ложноположительных срабатываний и уделять должное внимание реакции на реальные угрозы.
Лев Палей, начальник отдела ИТ-обеспечения защиты информации, АО “СО ЕЭС”
Как и любой тренд, если разобрать происхождение и эффект более детально, технология идеологически осталась привлекательной. Но вместо развития этого уровня автоматизации при выявлении событий и инцидентов ИБ, как самостоятельного продукта, наблюдается использование описанных техник в классах решений endpoint detection and response и SIEM. Таким образом можно консвенно судить о том, что рынок средств защиты адаптировался и нашел нужное место этой технологии. Вопрос про ситуации, я бы переформулировал, а именно: "Когда пора задумываться об UEBA?". И тут есть простой и логичный ответ - когда выстроены процессы получения данных с источников событий, есть устоявшиеся и проверяемые контроли, зрелость SOC и количество накопленных данных позволяет определить место этой технологии среди существующих сервисов ИБ.
Сергей Рысин, эксперт по информационной безопасности
В данный момент ситуация двоякая. С одной стороны, используемые в условиях импортозамещения отечественные решения не так развиты и не обладают всем функционалом. По этой причине приходится постоянно изучать рынок и надеяться на то, что российские аналоги выйдут на один уровень с зарубежными системами UEBA.
С другой стороны, отечественные системы данного класса бывают очень полезны, когда приходиться решать большой пул задач ИБ в условиях ограниченного штата.Читать полную версию
SIEM vs новые угрозы:
что необходимо SIEM для
их оперативного выявления?