В таких условиях главной задачей становится автоматизация процессов определения и реагирования на инциденты и угрозы. Решить ее помогают системы поведенческого анализа класса User Behavioral Analytics (UBA). Они на основе массивов данных от различных источников с помощью алгоритмов машинного обучения и статистического анализа позволяют строить модели базового (нормального) поведения пользователей и определять отклонения от этих моделей. Например, если определенный сотрудник, регулярно скачивающий файлы небольшого размера, внезапно загрузит гигабайты данных, то система заметит эту аномалию и немедленно предупредит о ней администратора информационной безопасности.
Так какие же задачи позволяют решать системы поведенческого анализа? В качестве основных я бы выделил следующие:
- Быстрая идентификация атак и других нарушений, большинство из которых не определяются классическими средствами защиты.
- Приоритизация событий, консолидированных из разных источников, для более оперативного реагирования со стороны администраторов информационной безопасности.
- Более эффективная реакция на события за счет предоставления расширенной информации об инциденте, включающей все объекты, которые были вовлечены в аномальную активность. Расширенная информация формируется на основе данных из различных источников с использованием методов машинного обучения, как в режиме реального времени, так и с определенной периодичностью.
Всё это помогает проводить непрерывный мониторинг активности пользователей, а также своевременно определять скомпрометированные аккаунты пользователей и предотвращать инсайдерские угрозы.
В заключении, как всегда, совет руководителю.
Системы поведенческого анализа — это шаг в будущее в определении неизвестных типов угроз, целенаправленных атак и внутренних нарушителей. Эти системы способны выявлять аномалии и неочевидные взаимодействия корпоративных пользователей с информационными ресурсами и системами, что в конечном итоге позволяет администраторам безопасности видеть расширенную картину безопасности предприятия и оперативно реагировать на инциденты информационной безопасности.
Выпуск подготовил директор департамента проектирования компании «Газинформсервис» Александр Калита.
Держитесь безопасного курса и берегите себя!