UEBA или SIEM. Кто круче? Как объединить лоскутки ИТ-инфраструктуры?

Автор статьи: Алексей Лозиков, мнеджер по развитию бизнеса Softprom

За последние два года стало очевидным, что существующие средства периметральной безопасности и защиты рабочих мест не справляются с задачей обеспечения сохранности наиболее ценного актива любой организации – информации.

Угрозы со стороны собственных сотрудников, намеренные или по причине банальной халатности, скомпрометированные или переданные пароли, представляют собой один из наиболее растущих и опасных векторов угроз сегодня. В теории, со всеми типами угроз призваны бороться SIEM-системы, которые часто воспринимаются как панацея и лекарство от всех проблем.

На самом деле обнаружение таких типов угроз представляет собой достаточно сложную задачу для традиционных SIEM-систем. Существующие SIEM системы отлично справляются с известными угрозами, но практически бессильны, когда сталкиваются с чем-то ранее неизвестным, например, нестандартной направленной атакой или действиями инсайдера – сотрудника организации. 

Почему же выявление угроз со стороны инсайдеров является такой сложной задачей?

В ходе проведения расследования любого громкого ИБ-инцидента последних лет аналитики в конце концов находили всю необходимую информацию и восстанавливали всю цепочку событий. Но почему вся эта информация, которая на самом деле была в распоряжении организации, не была использована для проактивной защиты, для выявления и устранения инцидента на самой ранней его стадии? 

Ответ, как всегда, лежит глубоко в наших логах. 

Логов всегда или очень мало, или, что чаще, слишком много. Департаменты ИБ просто перегружены информацией, которую «выдают» все средства обеспечения ИБ. В лучшем случае этот поток направляется в SIEM, которая выдает в ответ вал оповещений и ложных срабатываний в количествах, которые просто невозможно просмотреть, проанализировать и обработать. 

Еще одной проблемой является «лоскутный» характер как ИТ-инфраструктур, так и средств ИБ. Команда SIEМ живет своей жизнью, DLP – своей, IDM – своей, и так далее. В итоге все необходимые данные теоретически есть, но удобного инструмента, который бы объединил все события, проанализировал их и выдал четкую картинку уровня рисков ИБ в организации, нет. 

По этой причине многие ИБ-аналитики считают традиционный подход SIEM к корреляции событий «переоцененным и более неэффективным».

На смену SIEM приходят новые классы решений, такие как UEBA (User and Entity Behavioral Analytics),

которые могут работать и с «big data», и используют машинное обучение. За почетное звание лидера рынка борются американские компании Securonix и Exabeam. Производители ведущих традиционных SIEM тоже не отстают. НРE, которые до 2017 года предлагали Securonix в качестве решения поведенческой аналитики для HP ArcSight, приобрели стартап Niara и теперь разрабатывают собственный продукт.  IBM планирует реализовать аналогичный функционал на базе своей платформы Watsons. 

Вот несколько причин, почему именно UEBA-решения все чаще и чаще называют next gen SIEM. 

Ограниченность правил корреляции
SIEM решения традиционно IP-ориентированы и им сильно не хватает функционала для распознавания сложных современных угроз. Сценарии угроз, которые поставляются с большинством SIEM, построены на базе логических правил и неплохо справляются с обнаружением несложных угроз (сетевых червей, атак методом перебора и т.п.). Да, есть возможности расширения функционала за счет подключения внешних источников аналитики, коллективной разработки кейсов, развитые сообщества. Но этого недостаточно для того, чтобы обнаружить хорошо подготовленного злоумышленника или осторожного инсайдера. 
 

В случае с UEBA-платформами, например, Securonix SNYPR, все сценарии угроз поставляются в форме специализированных приложений для определения внутренних угроз, внешних атак, корпоративного мошенничества и т.п. Главным отличием является то, что платформа изначально построена таким образом, чтобы эффективно работать с «неизвестными» угрозами. Такая архитектура позволяет значительно сократить время внедрения, так как нет необходимости в создании, настройке и тестировании набора правил корреляции. Вместо этого сотрудники отдела ИБ могут сконцентрироваться на расследовании и проактивном устранении потенциальных угроз. 

Недостаточная масштабируемость и производительность
Большинство SIEM систем построено на основе реляционных баз данных или на базе собственных проприетарных хранилищ информации. Закрытость структур и форматов данных не позволяет эффективно обрабатывать эти данные и выявлять современные угрозы. Кроме этого, у традиционных RDBMS или файловых архитектур есть определенные ограничения по масштабированию и производительности. 
 

В случае с UEBA-решениями, построенными на “big data” платформах, проблем с масштабированием и производительностью нет. Такие системы могут хранить огромное количество информации. И не просто хранить, но и обрабатывать их со скоростью сотни тысяч EPS. Также отсутствует проблема закрытости данных. Открытая архитектура позволяет эффективно разделять  данные с другими приложениями и использовать их без необходимости их передачи и дублирования. При этом Вы сами можете выбрать того провайдера «big data», который Вам подходит, так как тот же Securonix может работать на базе Cloudera, Hortonworks или MAPR.
 

Нет поддержки сложных сценариев анализа данных
SIEM ориентированы на мониторинг соответствия и на базовый мониторинг безопасности. Эти системы не могут обрабатывать бизнес информацию или неструктурированную информацию и использовать ее для улучшения возможностей определения угроз. 

В случае с UEBA решениями, можно обрабатывать огромные массивы информации из абсолютно разных источников: бизнес-приложения, облачные среды, IDM/IAM data, неструктурированные контекстные данные. Это дает нам возможность обнаруживать и ранжировать самые изощренные угрозы, которые не были обнаружены традиционным SIEM.

Например, Securonix может анализировать журналы безопасности и net flow для выявления вредоностного кода и шифровальщиков внутри организации, направленных атак и скомпрометированных систем. В системе есть уже готовые коннекторы для интеграции с более чем 300 решениями различных вендоров (Symantec, McAfee, Checkpoint, Palo Alto, Forcepoint, Fortinet, Cisco и десятков других). 

Используя данные IDM/AD, корреляцию событий и групповой анализ мы можем выявлять случаи передачи паролей, несанкционированного доступа к нашим ресурсам.  
Возможность «видеть» и отслеживать операции внутри бизнес приложений, таких как SAP, Oracle, кадровые системы позволяет выявлять случаи корпоративного мошенничества, несанкционированного изменения данных, некорректного использования привилегий и саботажа. 
 

Интеграция со всеми основными облачными провайдерами позволяет расширить нашу зону контроля и на облачные среды тоже. Например, Securonix поддерживает интеграцию с Office365, Google Apps, Box, Salesforce, Workday, Hightail, Netskope, Okta, Ping, AWS, Azure и многими другими.
 

Ограниченные возможности сбора и использования контекстной информации
Традиционные SIEM-системы не используют технологии обогащения событий контекстной информацией, что отрицательно сказывается на возможностях по детектированию угроз. Большинство коллекторов SIEM позволяет выполнить нормализацию данных, что облегчает работу правил корреляции, но данные все равно остаются ограниченными источником их происхождения – логи OS будут содержать только свои поля, логи межсетевого экрана –свои и т.п.
 

UEBA-платформа SNYPR насыщает любое событие в логе контекстными данными в режиме реального времени. Такая информация, как контекст пользователя, метаданные, контекст IP, геолокация, информациях из бизнес-приложений добавляется автоматически к любому событию и позволяет эффективно выявлять и расследовать угрозы в режиме реального времени. 
 

Недостаток гибкости
SIEM-системы часто грешат высоким уровнем false positives и, что гораздо хуже, false negatives. Причина этой печальной ситуации в том, что используемые движки корреляции базируются правилах. Это значит, что системы «заточены» на то, чтобы обнаруживать уже что-то известное. Механизмы определения, построенные на базе правил и сигнатур, не могут эффективно обнаруживать современные угрозы, квалифицированных злоумышленников и осторожных инсайдеров. 
 

UEBA-системы, такие как SNYPR, используют технологии машинного обучения и искусственный интеллект для обнаружения самых сложных, новых атак. Механизмы профилирования поведения пользователей и систем с выявлением аномалий позволяет постоянно совершенствовать и адаптировать заложенные модели угроз к условиям и специфике работы каждой конкретной организации. 
 

Ограниченные возможности проведения расследований
SIEM-системы не обеспечивают в полной мере возможности для активного поиска угроз. Данные о событиях, которые хранятся в SIEM, как правило, плохо структурированы для дальнейшего анализа и сопоставления, что не позволяет аналитикам проводить эффективный поиск внешних и внутренних угроз. 
 

UEBA-системы обеспечивают возможность продвинутого поиска и визуализации данных, что позволяет проводить активный поиск и расследование угроз. Например, платформа Securonix SNYPR использует HDFS и Apache SOLR, что позволяет записывать и анализировать огромные объемы структурированной информации, обогащенной контекстным слоем. 
 

Высокая стоимость
Как правило, база для ценообразования SIEM-решений, это количество событий, которые она может обрабатывать или хранить. За последнее десятилетие объем данных, который генерируется внутри предприятий, вырос экспоненциально. Поэтому значительная часть информации просто не попадает в SIEM именно по причине бюджетных ограничений, что негативно сказывается на возможности применения этих систем для поиска и расследования угроз. 
 

UEBA-системы, например, Securonix, предлагают другие модели ценообразования на базе количества рабочих мест или пользователей в организации. Таким образом, мы можем легко снять ограничения в объёме данных, которые мы подаем для анализа, так как этот объем никак не влияет на цену. Это может до 80% снизить затраты на хранение и управление данными, и одновременно существенно повысить общий уровень ИБ в организации. 

Значит ли это то, что завтра все должны отключить свои SIEM-системы и перейти на UEBA? Конечно же нет. Процесс этого перехода неизбежен, но он будет носить плавный, эволюционный характер. Уже сейчас, например, Securonix можно внедрить как в качестве отдельной системы на платформе Hadoop, так и в качестве дополнительного аналитического on-premise модуля для существующей SIEM-системы, таким образом защищая инвестиции предприятия в средства ИБ и обеспечивая плавный переход к новому классу решений.    

Отправить запрос на демонстрацию