SIEM
Современные злоумышленники всеми силами пытаются выдать свою активность за какие-либо нормальные процессы. Они используют легитимные инструменты, организовывают связь между зловредом и серверами управления через публичные сервисы, маскируют запуск вредоносного кода под действия пользователя. С точки зрения традиционных защитных решений такая активность практически незаметна. Однако если анализировать поведение конкретных пользователей или, например, служебных учетных записей, то можно выявить определенные аномалии. Именно в этом и заключается метод выявления киберугроз под названием UEBA — User and Entity Behavior Analytics (поведенческий анализ пользователей и сущностей). И именно он реализован в последней версии нашей SIEM-системы Kaspersky Unified Monitoring and Analysis Platform.
Как работает UEBA в рамках SIEM
Согласно определению, UEBA, или «поведенческий анализ пользователей и сущностей», это технология выявления киберугроз, основанная на анализе поведения пользователей, а также устройств, приложений и иных объектов в информационной системе. В принципе, такая технология может работать в рамках любого защитного решения, однако, на наш взгляд, наиболее эффективно ее использование на уровне SIEM-платформы. Используя машинное обучение для установления «нормального поведения» пользователя или объекта (машины, сервиса и так далее), SIEM-система, оснащенная правилами детектирования UEBA, может анализировать отклонения от типичного поведения. Это, в свою очередь, позволит своевременно обнаруживать APT, целевые атаки и инсайдерские угрозы.
Именно поэтому мы оснастили нашу SIEM-систему KUMA пакетом правил UEBA, предназначенным для комплексного выявления аномалий в процессах аутентификации, в сетевой активности и при запуске процессов на рабочих станциях и серверах, работающих под управлением Windows. Это позволило сделать систему умнее в плане выявления новых атак, которые сложно обнаружить с помощью обычных правил корреляции, сигнатур или индикаторов компрометации. Каждое правило в пакете правил UEBA основано на профилировании поведения пользователей и объектов. Сами правила делятся на два типа.
- Статистические правила, которые рассчитываются с использованием межквартильного размаха для выявления аномалий на основе данных о текущем поведении.
- Правила на основе исторических данных, которые фиксируют отклонения от нормального поведения, определяемого путем анализа опыта предыдущей работы учетной записи или объекта.
При обнаружении отклонений от исторических норм или статистических ожиданий происходит генерация алертов, а также повышается риск-оценка соответствующего объекта (пользователя или хоста). О том, каким образом наше SIEM-решение использует ИИ для риск-оценки объектов, можно прочитать в одной из прошлых статей.
Структура пакета правил UEBA
Формируя блоки правил, мы постарались сфокусироваться на тех сферах, где технология UEBA будет наиболее эффективна: защите аккаунтов, мониторинге сетевой активности, безопасной аутентификации и многом другом. В данный момент в пакет правил UEBA входят следующие блоки.
Блок контроля аутентификации и разрешений
Служит для выявления необычных методов входа, резких всплесков количества ошибок авторизации, добавления учетных записей в локальные группы на чужих компьютерах, а также попыток аутентификации вне рабочего времени. Каждое из этих отклонений фиксируется и приводит к повышению риск-оценки пользователя.
Блок DNS-профилирования
Осуществляет анализ DNS-запросов, формируемых компьютерами в корпоративной сети. Правила данного блока собирают исторические данные для выявления аномалий, таких как запросы на неизвестные типы записей, чрезмерно длинные доменные имена, необычные зоны или нетипичная частота запросов. Также контролируется объем данных, возвращаемых по DNS. Любое из этих отклонений рассматривается как потенциальная угроза и приводит к увеличению риск-оценки хоста.
Блок профилирования сетевой активности
Отслеживает соединения между компьютерами (как внутри сети, так и с внешними ресурсами). Блок фиксирует первые подключения к новым портам, установление контактов с ранее неизвестными хостами, необычные объемы исходящего трафика и обращения к управляющим службам. Все действия, выходящие за рамки привычного поведения, вызывают генерацию алертов и повышение риск-оценки.
Блок профилирования процессов
Осуществляет мониторинг запуска программ из системных папок Windows. Если на конкретном компьютере впервые происходит запуск нового исполняемого файла из каталогов System32 или SysWOW64, событие классифицируется как аномалия, что приводит к повышению риск-оценки пользователя, осуществившего запуск.
Блок профилирования PowerShell
Контролирует источники запуска сценариев PowerShell. Если скрипт впервые запускается из нестандартного каталога (не из Program Files, Windows или других типичных мест), такое действие фиксируется как подозрительное и приводит к увеличению риск-оценки пользователя.
Блок VPN
Анализирует все VPN-подключения, выявляя входы из стран, ранее не связанных с профилем пользователя, слишком быстрое географическое перемещение, необычные объемы трафика через VPN, смену VPN-клиента или множественные неудачные попытки входа. Каждое из этих событий приводит к повышению риск-оценки учетной записи.
Использование этих правил UEBA позволяет не только своевременно выявлять сложные атаки, но и снизить количество ложных срабатываний (false positives) за счет использования поведенческого контекста. Это значительно повышает точность анализа и снижает нагрузку на аналитиков ИБ. При этом присвоение уровня риска какому-либо объекту на основе UEBA-анализа и ИИ-технологий позволяет повысить скорость и точность реагирования каждого аналитика, так как у него появляется возможность более точно приоритизировать инциденты. Все это, наряду с автоматическим формированием типичного поведения, значительно повышает эффективность ИБ-команд в целом, так как освобождает их от рутинных задач и предоставляет более точную, обогащенную поведенческим контекстом, информацию для обнаружения угроз и реагирования на них.
Мы продолжаем повышать удобство нашей SIEM-системы KUMA. Следите за обновлениями Kaspersky Unified Monitoring and Analysis Platform на официальной странице продукта.
Советы