Профилирование активности пользователей для автоматизации выявления инцидентов ИБ

Виктор Сердюк, генеральный директор АО «ДиалогНаука»

Евгений Афонин ведущий архитектор решений по информационной безопасности HP ES

21 апреля этого года на конференции RSA Security было объявлено о появлении нового продукта в портфеле HP Enterprise Security – «User behavior analytics» (HP UBA), который является дополнительным модулем к системе HP ArcSight. Данный продукт позволяет автоматически обнаруживать инциденты информационной безопасности путем профилирования нормальных поведенческих паттернов активности пользователей.

ОПИСАНИЕ

HP UBA позволяет решать следующие задачи:

1. Анализ любых событий пользовательской активности – доступ к базам данных, файловым каталогам, работа со съемными носителями, операции в корпоративных информационных системах (биллинг, платежи, документооборот, работа с персональными данными) и др.;
2. Использование готовых математических моделей по профилированию активности на основе полученных событий – группировка однотипных событий (peer group analysis), выявление аномалий (anomaly detection), определение штатного профиля работы (baseline profiling), определение частоты возникновения событий (event rarity);
3. Применение результатов работы математических моделей к задачам информационной безопасности – выявление инсайдеров, контроль привилегированных пользователей, необычной активности в корпоративных системах: «спящие счета», «доступ к карточкам ВИП-клиентов» и пр.

Кроме того, «User Behavior Analytics» позволяет дополнять события безопасности расширенным контекстом – информации о пользователе, его рабочем окружении, организационных и других атрибутах. Таким образом, даже если в событии содержится только IP-адрес, мы все равно сможем понять ФИО пользователя, который стоял за этой активностью.

Фактически, мы можем создать в системе универсальную карту пользователя, в которой будем автоматически поддерживать актуальными все его атрибуты – даты принятия на работу/увольнения, должность, подразделение, регион и пр. А также, на отдельной вкладке вести журнал всех его учетных записей в наших информационных системах. Обладая этой информацией можно выявлять целый ряд инцидентов безопасности, например:

1. Обнаружение значительного отличия в активности данного пользователя от рассчитанного профиля активности остальных сотрудников данного подразделения, данного региона, данной должности и т.д.;
2. Сумма проведенных транзакций по данному продукту превышает наблюдаемые нормально значения за рассчитанные временные промежутки (час дня, день недели, неделя, день месяца, месяц, выходные и пр.);
3. Ранее не наблюдаемая активность на данном АРМ по работе с административными транзакциями SAP.

При этом важно понимать, что само профилирование выполняется системой автоматически, после того как будут заданы исходные параметры для анализа. Поскольку математические модели универсальны, а использование для сбора событий коннекторов HP ArcSight позволяет привести эту информацию к единому виду, хрупкий баланс между простотой и функциональностью соблюден здесь на все 100%. Хотя часть аналитики и можно выполнить с помощью SIEM системы, HP «User behavior analytics» позволяет это сделать быстрее, проще и с использованием некоторых функций уникальных только для него.

РАБОТА С СИСТЕМОЙ

Хорошо, события мы получили с помощью стандартных коннекторов HP ArcSight, настроили регулярную загрузку данных кадровой информации для формирования универсальной карты пользователя, импортировали и выполнили связывание учетных записей в информационных системах – что дальше?

Интерфейс HP UBA

Дальше система начнет обнаруживать инциденты по тем поведенческим профилям, которые она сформировала автоматически согласно нашим настройкам. Что делать с этим дальше? Для сотрудника ИБ система предлагает встроенный интерфейс анализа и визуализации данных по инцидентам, а также она автоматически выполняет агрегацию выявленных инцидентов согласно их уровня риска. Таким образом мы можем приоритизировать работу аналитика с инцидентами, а также строить аналитику по рискам согласно другим измерениям – пользователям, подразделениям, регионам и пр. Это чрезвычайно важно, поскольку в условиях постоянной нехватки времени в ИБ важно сконцентрироваться над расследованием наиболее важных инцидентов. По итогам расследования и при необходимости система позволяет вводить повышающие и понижающие коэффициенты расчета риска, чтобы адаптировать автоматическую работу системы согласно приоритетам ИБ.

ЗАКЛЮЧЕНИЕ

HP «User behavior analytics» стал важным элементом портфеля решений HP Enterprise Security Products, со своей стороны мы видим к нему большой интерес, как со стороны наших существующих клиентов, использующих HP ArcSight ESM, так и людей, которые только начинают знакомство с решениями HP. HP UBA дает возможность использовать инструменты поведенческого анализа, статистики и анализа «Больших данных», которые раньше были уделом избранных специалистов.

С нашей точки зрения, использование решения HP «User behavior analytics» позволит существенно повысить уровень информационной безопасности компании за счет возможности выявления инцидентов, которые нельзя было обнаруживать существующими методами.