Как готовить UEBA: рецепты от Гартнер

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(9)
()
Я написал в прошлой заметке, что Гартнер 16-го ноября, пригласив Антона Чувакина, провел в Москве мини-семинар, посвятив его двум темам - поведенческой аналитике и внедрению и эксплуатации DLP-решений. Про вторую часть я писать сегодня не буду, сконцетрируюсь на первой презентации, которая очень хорошо ложится в серию заметок, посвященных мониторингу ИБ.


UEBA или User-Entity Behavior Analytics - это модная тема, к которой стали обращаться организации, не получившие удовлетворения от внедрения SIEM и иных инструментов анализа данных в контексте информационной безопасности. Немного повангую, предположив, что в России скоро может появиться мероприятие типа UEBA Forum, которое будет продвигать какой-нибудь отечественный вендор по ИБ. И ярким кандидатом на эту роль я бы назвал СерчИнформ, который сейчас “пилит” свою UEBA, называя ее системой профалинга пользователей. На самом деле об активности в этой сфере уже заявляли 4 компании - Инфовотч, Солар, СерчИнформ и ЦБИ, но:

  • у Инфовотча уже есть DLP Russia (то есть BIS Summit)  “про DLP”
  • у Солара есть SOC Forum “про SOCи”
  • у ЦБИ есть конференция по мониторингу “про SIEM”.

Остается СерчИнформ, которому сам Бог я велел запустить такое мероприятие на волне огромнейшего интереса к фокусным конференциям по ИБ. Но хватит предположений, пойдем дальше…

В каких случаях компании обращаются к UEBA. Их по сути три:

  • нехватка возможностей существующих решений и технологий по обнаружение угроз, связанных с деятельностью пользователей
  • необходимость мониторить окружение, которое не покрывается другими решениями и технологиями
  • высокая стоимость сортировки и приоритезации событий ИБ в существующих SIEM-решений, которые как-то но оперируют событиями, связанными с пользователями.


Отсюда сразу вытекает вывод, что UEBA - это искусственно созданная сущность, возникшая на фоне проблем у существующих на рынке решений по ИБ, и когда эти задачи будут решены, то и само понятие “рынок UEBA” исчезнет (по возможным прогнозам - к 2020-му году), слившись с другими технологическими нишами, коих по-крупному выделить можно две:

  • SIEM. Очень часто производители UEBA используют системы управления событиями ИБ как точку входа для своих аналитических возможностей. Оно и понятно - зачем самим собирать данные из источников, когда можно взять их уже готовые из SIEM. Но тут напрашивается вывод, что SIEM-вендоры могли бы расширить функционал своих продуктов, добавив в них UEBA. Так и поступают, например, Splunk, IBM, LogRhytm. Из отечественных игроков SIEM по этому пути пошел, как минимум, ЦБИ. Тут, правда, стоит оговориться, что UEBA отличается от классического SIEM тем, что не опирается на жесткие правила корреляции, пороговые и “средние” значения, которыми оперируют системы управления событиями ИБ. Все-таки в аббревиатуре UEBA последняя буква означает “advanced analytics”, то есть нечто более продвинутое, зачастую базирующееся на машинном обучении и иных интересных фишках, которые позволяют системе самообучаться, а не жить за счет правил, созданных аналитиком SIEM. Еще одним отличием от SIEM является работа с не “чистыми” ИТ-данными. Нередко UEBA берут информацию от HR-решений, бизнес-приложений, систем экономической безопасности и т.п., существенно расширяя оперируемый ими контекст.
  • DLP. Учитывая, что DLP в последнее время все чаще трансформируются из средств защиты от утечек информации в средства мониторинга поведения пользователей (даже рабочее время контролируют), то логично предположить, что DLP будут расширяться функциями UEBA. По этому пути пошел СерчИнформ, Инфовотч, Солар. На мой взгляд это тупиковый путь (вот тут более подробно написано, почему), так как сама идея DLP обречена на неудачу в современной ИТ-среде, но, видимо, DLP-вендоров это мало останавливает и они хотят придать новый толчок своим продуктам с помощью хайповой UEBA.


Понятно, что помимо SIEM и DLP, технология UEBA может развиваться и самостоятельно. По такому пути пошли лидеры этого рынка - Securonix и Exabeam (у нас “чистых” отечественных UEBA-вендоров не наблюдается). Учитывая вышесказанное, не исключаю, что указанные компании будут куплены более крупными игроками и слиты с существующими продуктами. Гартнер считает, что UEBA-функциональность будет появляться и в других нишах ИБ - CASB, EDR, NTA, что еще острее поставит вопрос о необходимости UEBA как самостоятельного решения или выбору UEBA, как технологии в каком-либо из существующих на рынке продуктов.


Гартнер видит два бизнес-кейса для покупки UEBA:

  • Улучшение обнаружения угроз, пропускаемых другими средствами защиты. Но есть ли у вас такие средства? Вы используете что-то помимо IDS/IPS и антивирусов? Вы применяете NTA, CASB? У вас уже есть SIEM и вы, имея многолетний опыт работы с ним, понимаете, что его возможностей вам реально не хватает? Это важный момент. UEBA нужна тогда, когда вы реально перепробовали все и вас это не устраивает. Вот тогда вы действительно готовы потратить кругленькую сумму денег на поведенческую аналитику. Если же для вас это очередной хайп и вы с трудом понимаете, что такое UEBA и зачем она нужна, то стоит повременить с выбором.
  • Повышение эффективности повседневных операций по ИБ, позволяющих более оперативно детектировать компрометацию пользовательских учетных записей, утечки данных, нарушения привилегированных пользователей и т.п. Но тут вновь нас подстерегает засада. Вы вообще оцениваете эффективность своих операций по ИБ? Вы реально оценивали временные и финансовые затраты на их реализацию? Вы попробовали снизить их более простыми и, возможно, бесплатными методами? Может начать с этого? Вот если вы готовы с цифрами в руках показать, что текущее положение дел вас действительно не устраивает, вам стоит посмотреть в сторону UEBA. Но только в этом случае. В противном случае вы потратите много денег и так и не поймете, стало ли у вас лучше и “эффективнее”.


Среди некоторых ключевых проблем, с которыми сталкиваются заказчики, внедряющие или внедрившие UEBA, Гартнер называет следующие:

  • Доступность и качество исходных данных. Да-да, спустя 20 лет с момента появления SIEM на рынке, это до сих пор основная проблема в мониторинге ИБ. Именно ей была посвящена конференция ЦБИ, о которой я писал в предыдущей заметке.
  • Квалификация аналитиков. В прошлый раз, на семинаре Gartner в Москве, рассказывая про продвинутую аналитику, Антон Чувакин также касался этой проблемы. У вас есть на примете те, кого на Западе называют data scientist? Они должны хорошо разбираться в ИБ и математике одновременно, чтобы строить и проверять корректность используемых моделей поведения, закладываемых в решения UEBA. Зачастую найти таких специалистов почти нереально, а их годовой фонд оплаты труда может быть выше стоимости UEBA-решения. Без грамотных аналитиков приоретенное решение превратится в тыкву и станет очередной бесполезной игрушкой в руках службы ИБ.
  • Оценка эффективности технологии. Ну я бы назвал это общей проблемой в ИБ, а не только в UEBA.
  • Приватность. Да, работа с Большими данными - вообще представляет большую проблему для приватности, так по анализу разрозненных данных можно делать очень интересные, и часто нелицеприятные, выводы о поведении пользователей, что вступает в конфликт с конституционными правами граждан на невмешательство в частную жизнь. Антон рассказывал, что одного из американских UEBA-вендоров европейские заказчики даже попросили переименовать продукт, чтобы из его названия исчезли слова “user behavior analysis”, которые являются табу в Европе, так борющейся за права граждан. У нас, кстати, это тоже может скоро стать проблемой, так как Роскомнадзор готовит законопроект по так называемым большим пользовательским данным и регулированию деятельности по работе с ними. Он может коснуться и UEBA-решений (да и вообще анализа Big Data в контексте ИБ).



В заключении Антон Чувакин сделал достаточно важное замечание про будущее всех решений на базе продвинутой аналитики (advanced analytics). Безопасность - это всегда про умного нарушителя и какой бы супер-умной не была технология, она всегда будет сталкиваться с иррациональным поведением человека, которое сложно предсказывать. У автоматизированных систем принятия решений в ИБ (читай, ИБ-роботов) есть будущее, но нельзя полагаться на них целиком - роль человека в принятии решений остается очень важной. Поэтому, внедряя  UEBA, SIEM, SOC, EDR, NTA и т.п. не забывайте уделять должное внимание квалификации своего персонала, который внедряет, настраивает и эксплуатирует все современные “умные” ИБ-технологии.


ЗЫ. Кстати, мы внутри службы ИБ Cisco тоже используем UEBA-решение. Но, как это уже было с системой продвинутого анализа событий безопасности OpenSOC, мы не нашли устраивающего нас на рынке решения по ИБ (хотя и инвестировали 30 миллионов долларов в Exabeam) и в итоге написали собственную систему контроля поведения пользователей. Как нибудь я расскажу об этом решении, также как я уже описывал систему OpenSOC.
Оцените материал:
Total votes: 17
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

Смешной чувак этот Чувакин.

Очередной "заклепочник" рассуждает о том, что не представляет:-((((

Видимо специально таких привозят, чтобы мы никогда из этого болота не выбрались. Интересно, наступит время когда ит-ки не будут лезть "туде не зная куда и нести то - не зная что"?

.................

up
1 user has voted.
Аватар пользователя alukatsk

Антон - не только известный, но и грамотный специалист

up
0 users have voted.
Аватар пользователя riskmn

Смотри, какой ты дипломат..... Во время останавливаешься - это понятно, но ситуацию не исправляет. Он ит-к и никогда не будет специалистом в безопасности!!!!!!! А называть себя можно как угодно. Я уже тут писал - даже гениальный дантист не сможет сделать сложную операцию на сердце!!! А выдавать себя за такого знатока - сколько угодно. Но, ты сам хотел бы, чтобы тебе операцию делал такой "эксперт" или зубы тебе лечид ветеринар?

У меня ощущение, что это безумие (непонимание что входит в сферу ИБ) всех теперяшних участников (примазавшихся "дантистов" и "ветеренаров") вполне устраивает. Бабосики текут и ладно.....

Ужас полный....

up
2 users have voted.
Аватар пользователя alukatsk

Ну никто не раскрывает глаза отрасли на ее недостатки...

up
0 users have voted.
Аватар пользователя riskmn

А кто должен это делать? 

Что значит "раскрыть отрасли глаза"? Отрасль это кто? Кому их открывать?

up
0 users have voted.
Аватар пользователя riskmn

А знаешь, в чем специфика отраслей, связанных с безопасностью - любой, от классической до информационной, энергетической, продовольственной и другими - в том числе и АСУТП?

1. В них нет места стандартам! Стандарты наращивают риски!

2. В них нельзя научить добиваться результат людей без определенных рефлексов - не все проходят профотбор например в балет или большой спорт или ав академическую науку. Почему-то в этих и других областях это не вызывает вопросов. Представляешь балерину весом более 100 кг? Или сборная пигмеев по волейболу - чемпион мира? А в ИБ все допускается((( Как и кому на это глазки открыть?

3. Ты не можешь рассказать кому-то что надо сделать (построить оптимальную систему ИБ)  - только придя на место ты сам сможешь её  выстроить. Принципы передачи Знаний, опыта и навыков -  "я вам сейчас все расскажу, а у вас легко получится" или " я умный - умный, чего там делать то - плевое дело, не боги ....обжинают" и прочие, основанные на "халявном" подходе - это здесь не проходит.

Такх особенностей очень мого! Например в области ИТ купить можно все, а в ИБ - не так!:-))) Доводилось подмечать это?

PS. Олег Седов, если читаешь это - хорошая тема для обсуждения))))

up
0 users have voted.
Аватар пользователя alukatsk

Не соглашусь :-)

1. Есть основы, база, фундамент. На них можно и нужно писать стандарты. Аутентификация, крипта, разграничение доступа и т.п. - это основы. Дальше вопрос их применения в разных приложениях, что сложно стандартизовать, но иногда надо, хотя бы на уровне интерфейсов взаимодействия.

2. Это проблема, согласен. Как и везде. Балерины тоже толстые бывают :-)

3. Могу дать основы, а дальше пусть шишки набивает под руководством ментора или без оного.

up
0 users have voted.
Аватар пользователя riskmn

Можно не соглашаться - это говорит о разном опыте и квалификации. У всех это все различается.

1. база и фундамент к стандартам отношения не имеет. Это можно делать для новичков, кто приходит в отрасль с "улицы". Но таким нельзя давать ничего строить. Опыт реальной работы в безопасности нужен не менее 10 лет. реальный, а не участие в какой то доморощенной компании самовольно обозвавшей себя экспертом отрасли)))

2. Только 400-хсот килограммовый "танец маленьких лебедей" никто н ебудет серьезно смотреть. Только не везде эта проблема, а только там, где музыку заказывают не специалисты, а дилетанты.

3. А основы чего ты можешь дать? Работы с цисками, методам организации, поиском вирусов.....чего? Все это ит-ные "заклепки" (тут не сомневаюсь), но к ИБ отношения все это не имеет НИКАКОГО!!! Ты же не делал боевую систему настиоящей ИБ - не внедрение ит-го функционала для обеспечения бесперебойной работы ИТ инфраструктуры, а системмы безопасности для сотрудников!!! Тогда как ты можешь этому научить? Я слушал множество руководителей так называемых служб ИБ крупных компаний на форумах. И чего? Они все придаток ИТ, а никак не ИБ!!! Такие менторы ничему хорошему не научат - вот это тоже печально. А подход - научу тому, что знаю, а дальше твои проблемы. Не хочешь - не приходи...(((

Это было бы смешно, если бы не было так печально.

up
1 user has voted.
Аватар пользователя riskmn

Грмотный в чем?

up
0 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.