Документ обсуждает подходы и технологии поведенческой аналитики пользователей (UBA) в контексте безопасности информационных систем. Основное внимание уделяется обнаружению аномалий в действиях пользователей, мониторингу активов и угроз, а также использованию машинного обучения для выявления подозрительной активности. Указывается на важность наличия структурированных данных, источников информации и квалифицированных специалистов для эффективной работы систем UBA.

1. User Behavior Analytics
ПОВЕДЕНЧЕСКАЯ АНАЛИТИКА,
ОБНАРУЖЕНИЕ АНОМАЛИЙ В ДЕЙСТВИЯХ ПОЛЬЗОВАТЕЛЕЙ
Олег Бакшинский
Руководитель направления Security Intelligence
IBM Россия и СНГ

2. 2 IBM Security

3. 3 IBM Security

4. 4 IBM Security
Без чего UBA не взлетит ?
• User Identity System (clean and structured)
• Data sources / Inventory of critical logs
• Security Analysts / People with
organizational knowledge

5. 5 IBM Security
Рейтинг
Риска
Инсайдера
SENSE
ANALYTICSTM
ПОВЕДЕНЧЕСКАЯ
• Паттерны
• Профилирование
• Статистика
• Аномалии
КОНТЕКСТНАЯ
• Бизнес контекст
• Сущность пользователя
• Корреляция с угрозами
ВРЕМЕННАЯ
• Историческая аналитика
• В реальном времени
• Граничные правила
• Выявление угроз
Пользователи
Облачные
сервисы
Приложения
Базы данных
Сервера
DLP
Рабочие станции
Сетевое оборудование
Threat
Intelligence
3rd Party
SIEM feeds
Другая
аналитика
Выявляем подозрительных пользователей
• Конфигурация
• Тюнинг
• Валидация
• Базовая аналитика
• Машинное обучение

6. 6 IBM Security
Зачем нужна UBA ?
• Постоянный мониторинг
пользователей, активов и угроз
• Быстрее получать вводные и
реагировать
• Выстроить процесс расследования
• Упросить работу и улучшить
производительность ИБ

7. 7 IBM Security
Сценарии применения User Behavior Analytics (UBA)
Изменение во времени
Активность пользователя очень
отклоняется от нормальной в
коротком промежутке или постепенно
за длительный промежуток времени
Облачные сервисы
Пользователь обратился к облачным
сервисам или личному облачному
хранилищу для выгрузки важных
данных
Доступ к ценным активам
Пользователь начал обращаться и
скачивать важные данные с ценных
активов с увеличивающейся частотой
UBA Scenarios
Изменение прав уч.записи
Пользователь пытается изменить
права в существующей уч.записи или
создать новую в другой системе
Частота работы с активами
Активность пользователя с активом
резко возросла или доступ к
нескольким активам участился
Отличие поведения от
целевой группы
Паттерн активности пользователя
начинает отклоняться от его целевой
группы
Работа программ под
контролем вредоносного ПО
Атаки bot-сетей или вредоносов на
приложения или доступ к важным
данным
Выявление аномалии через
редкую последовательность
Пользователь совершил
последовательность действий
отличающуюся от всех остальных
Утечка важных данных
Пользователь манипулирует
параметрами запросов - ответов http
для скачивания важных данных

8. 8 IBM Security
Анализ поведения пользователя
Excessive,
suspicious http
activity
Using rarely
used privileges
Change in
account
privileges
Communicating
with malicious
sources on the
internet
Higher than
normal high-
value assets or
server access
Usage of an
account
changes
significantly
over time
Increase in
data transferred
to file sharing
User login
time / space
disagreements
First time
network access
or first-time
account usage
Users
accessing
infrastructure
from an unusual
location
First time
access of high-
value systems
User
accessing more
data from high-
value systems
than normal
Frequency of
privilege
revocation rates
User is an
outlier within
their peer group
Account usage
at unusual
times
Entitlement
anomaly or
user role
change
User HR risk
score or
flight risk
UBA Scenarios
Изменение во времени
Активность пользователя очень
отклоняется от нормальной в
коротком промежутке или постепенно
за длительный промежуток времени
Облачные сервисы
Пользователь обратился к облачным
сервисам или личному облачному
хранилищу для выгрузки важных
данных
Доступ к ценным активам
Пользователь начал обращаться и
скачивать важные данные с ценных
активов с увеличивающейся частотой

9. 9 IBM Security
Скомпрометированные учетки или выявление вредоноса
Detect
unmanaged
accounts
Using rarely
used
privileges
Change in
account
privileges
Accessing
from a jump
or a Tor
server
Internet
communication
with malicious
sources
Higher than
normal high-
value assets or
server access
Excessive,
suspicious
http activity
Usage
frequency of
an account
Login
failures
Access VPN
account from
unusual
location or
times
Users
Accessing
infrastructure
from unusual
location
Abnormal
change in
account
usage /
behavior
Account
usage
deviating from
peer groups
Access
frequency of
an account
Usage of a
canceled,
suspended or
blocked user
privilege
Account
usage at
unusual times
Logins
from multiple
devices,
multiple
places
Dormant
account
accessing
important
assets
UBA Scenarios
Изменение прав уч.записи
Пользователь пытается изменить
права в существующей уч.записи или
создать новую в другой системе
Частота работы с активами
Активность пользователя с активом
резко возросла или доступ к
нескольким активам участился
Отличие поведения от
целевой группы
Паттерн активности пользователя
начинает отклоняться от его целевой
группы

10. 10 IBM Security
Мониторинг интеллектуальной собственности
Dormant
account
accessing
important
assets
Device type
change
Large data
movements
Monitor high
value assets
Application
misuse –
response
parameters
Application
misuse –
session
replaced
Application
misuse by
invalid
sequence of
actions Anomaly in
activity in an
application
Abnormal
asset
access from
a specific
device
Remote
access hole
in corporate
firewall
Anomaly in
accessing
applications
Application
misuse –
sequence
mining Device is
used in a
recent
offense
Exfiltration
of data
Application
misuse –
HTTP
request
UBA Scenarios
Работа программ под
контролем вредоносного ПО
Атаки bot-сетей или вредоносов на
приложения или доступ к важным
данным
Выявление аномалии через
редкую последовательность
Пользователь совершил
последовательность действий
отличающуюся от всех остальных
Утечка важных данных
Пользователь манипулирует
параметрами запросов - ответов http
для скачивания важных данных

11. 11 IBM Security
Помощь аналитику в выявлении отклонений в поведении с течением
времени
• Учетная запись обращается к более ценным активам чем обычно
• Больше чем обычно данных перемещается
на/с серверов и/или внешние локации
• Привилегированная учетная запись имеет
доступ к важным серверам из новой локации
впервые
• Учетная запись используется впервые за
долгий промежуток времени
• Редкая эскалация привилегий
• Учетная запись используется из специфичной локации
• Пользователь проявлял ранее вредоносное
или угрожающее поведение
• Пользователь выделяется из своей группы
• Переход пользователя из группы в группу
Большое Окно Малое Окно
5 часов
2% времени приложение активно
1 час
4% Активности
100% увеличение активности
Большое Окно Малое Окно
Новая активность

12. 12 IBM Security
Какие UBA есть на рынке ?
Отдельный продукт
Часть другого
продукта (функционал)
Source: Gartner (December 2016)

13. ibm.com/security
securityintelligence.com
xforce.ibmcloud.com
@ibmsecurity
youtube/user/ibmsecuritysolutions
© Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind,
express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products
and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service
marks of others.
Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your
enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others.
No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems,
products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products
or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party.
FOLLOW US ON:
СПАСИБО