UEBA жүйелері (немесе UBA жүйелері) - қазіргі уақытта бүкіл әлем бойынша ірі компанияларда белсенді түрде енгізіліп жатқан инновациялық бағдарламалық жасақтама кешендері. Олардың міндеті-белгілі бір ортаға тән мінез-құлық үлгілеріне негізделген пайдаланушылар мен ат нысандарының (серверлер, жұмыс станциялары және т.б.) қалыптан тыс әрекеттерін анықтау.
Пайдаланушылардың мінез-құлқын талдау қауіпсіздік қатерлерін және компания қызметкерлерінің өнімділігінің төмендеу тенденцияларын жылдам анықтауға мүмкіндік береді. Осындай талдау негізінде UEBA-жүйе өз бетінше шешім қабылдайды немесе басшыға есеп жібереді. Төменде біз осындай шешімдердің жұмыс механизмдерін егжей-тегжейлі қарастырамыз.
UEBA-бұл не?
UEBA аббревиатурасы ағылшын тілінен шыққан-оның артында User and Entity Behavioral Analytics мағынасы бар, аудармада-пайдаланушылар мен объектілердің мінез-құлқын талдау. UEBA жүйелерінен басқа UBA жүйелері де бар. Бұл аббревиатурадан "Entity" сөзі алынып тасталды, сондықтан шешім ат жүйелерінің жұмысына әсер етпейтін пайдаланушының мінез-құлқын дәл бағалауға арналған. Бірақ бағалаудың механизмдері мен негізгі принциптері екі жағдайда да ұқсас.
UEBA / UBA – белсенді пайдаланушылардың қалыптан тыс мінез-құлқын анықтау жүйелері. Олар кәсіпорынның ішкі желісіндегі мәліметтер массивтерін талдайды, Машиналық оқыту алгоритмдері мен статистикалық бағалау негізінде қорытынды жасайды. Егер белгілі бір пайдаланушы/объект бойынша нәтиже берілген / типтік мәннен ауытқып кетсе, оның белсенділігі қалыпты емес деп танылады.
Болашақта бағдарламалық жасақтама алдын-ала орнатылады, мысалы, серверді карантинге қою, пайдаланушыға интернетке кіруге тыйым салу немесе тікелей басшысына хабарлама жіберу.
UEBA жүйелерінің негізгі принциптері
Аномальды мінез-құлықты анықтау жүйелері желілік / серверлік компоненттердің журналдарын, қауіпсіздік желілерінің дерекқорларынан, жергілікті бөлім дерекқорларынан және нақты компьютерлерден алынған ақпаратты пайдаланады. Сондай-ақ, мұндай жүйелердің иелігінде әлеуметтік желілерді қоса алғанда, өзге де коммуникативтік арналарды пайдалана отырып, аутентификация, корпоративтік мессенджерлерде, электрондық пошта арқылы хат алмасу бойынша мәліметтер бар.
Осылайша, бағдарлама үшін компанияның желілік инфрақұрылымының оған қол жеткізе алмайтын элементтері жоқ. UEBA/UBA қауіпсіздігі хакерлер мен инсайдерлер үшін еңсерілмейтін арнайы хаттамалармен қамтамасыз етіледі. Қауіпсіздікті бағалаудың жиынтық нәтижелері тек тиісті өкілеттіктерді берген басшыға және мамандарға қол жетімді. User and Entity Behavioral Analytics-инсайдерлік қара өрік пен киберқауіпсіздіктен қорғаудың бірегей әдісі.
Бұл жүйелер класы қандай мәселелерді шешеді
UBA/UEBA технологиясының қалай жұмыс істейтінін түсіну арқылы алынған деректерді қандай мақсатта пайдалануға болатындығын түсіну қиын емес. Бұл технологиялар қос мақсаттағы кәсіпорындарда енгізіліп, жұмыс істейді:
Корпоративтік деректердің ақпараттық қауіпсіздігін қамтамасыз ету. Осы тұрғыдан алғанда, ізделген бағдарламалар SIEM (Security information and event management) және DLP (Data Loss Prevention) әмбебап және әмбебап нұсқасы болып табылады. SIEM инсайдерлік ағызу жағдайларын болдырмауға арналған, олар сонымен қатар деректер ағындарын (кіріс, шығыс, ішкі) бақылайды және мінез-құлық аналитикасындағы қалыптан тыс өзгерістерге жауап береді.
Мамандардың мінез-құлқын бақылауды қамтамасыз ету. Мысалы, UBA / UEBA жүйелері белгілі бір жұмысшының бұғатталған сайтты ашқанын, жұмыс істеу үшін қажет емес қосымшаны іске қосқанын, желінің қол жетімсіз бөлігінде авторизацияланғанын немесе басқа рұқсат етілмеген әрекеттерді жасағанын бірден біледі. Жүйе жұмыс уақытына қатысты мессенджерлер мен әлеуметтік желілерде қызметкердің не туралы және кіммен сөйлесетінін нақты біледі.
Яғни, корпоративтік деректердің қауіпсіздігін қамтамасыз етумен қатар, UBA типті бағдарламалар қызметкерлерді толық бақылау үшін пайдаланылуы мүмкін. Мамандандырылған DLP немесе SIEM шешімдері мұндай тапсырмаларға арналмаған. Олар үшін қауіп-бұлтты қызметке пайдаланушының кенеттен шығуы немесе жұмыс компьютерінен алынбалы ортаға деректерді тасымалдау. Бірақ Telegram-да жұмыс істемейтін тақырыптар бойынша төмендетілген KPI немесе тұрақты байланыс-олар қауіп ретінде көрсетілмейді, мұндай әрекеттер мүлдем орындалмайды.
Достарыңызбен бөлісу: |