CNews: Какие направления в сфере ИБ набрали силу в 2020 году, а какие ушли на второй план? На какие ИБ-решения бизнес стал больше обращать внимания и почему?

Даниэль Гутман: В этом году появилась новая массовая проблема с точки зрения безопасности. Если раньше бизнесу нужно было защищать один, два или, скажем, пять офисов, то сейчас сотрудники большую часть времени работают из дома — а значит, и количество рабочих площадок увеличилось в сотни и тысячи раз. Периметр размылся: каждому микроофису тоже нужно уделять внимание. Из-за этого набирают силу защищенные технологии удаленного доступа, средства инкапсуляции домашних компьютеров, а концепция BYOD стала распространяться не только на мобильные устройства, но и на ноутбуки и классические ПК.

В то же время начался расцвет киберпреступности. Причин этому сразу несколько. Одна из них — социальная: большое количество людей остались без работы. Другая — из-за размытых периметров бизнес стал более уязвим, и взломы корпоративных систем стали проще.

В новой реальности случилась интересная вещь: люди ушли из офиса и вместо человека, который имеет лицо, имя, отпечаток пальца и другие идентификаторы, в компании стала работать учетная запись — условный «Иван Иванов». На самом деле, проверить, настоящий ли это Иван, пока ты его не видишь, очень тяжело. Кто на самом деле идентифицировался «таблеткой» на его компьютере? Не стоит ли кто-то за его спиной с пистолетом? Или, может быть, кто-то, перехватив его реквизиты доступа, уже давно «работает» с данными вашей компании, а вы об этом даже не подозреваете?

Понять это можно только по тому, что именно сотрудник делает. Дело в том, что любой человек, попадая в незнакомое окружение, ведет себя иначе чем тот, кто ежедневно в нем находится. Найти подобные аномалии помогает поведенческий анализ (UEBA).

CNews: Что такое поведенческий анализ? Как он работает?

Даниэль Гутман: Это понятие появилось в розничной торговле в начале нулевых. Онлайн-ритейлеры тогда поняли, что им нужно как-то таргетировать аудиторию, лучше понимать, кому что предлагать и кто как себя ведет. Они начали собирать огромное количество данных о поведении покупателей — эта статистика накапливалась, требовала все больше емкости СХД, однако реальной пользы в сыром виде не приносила.

Тогда бизнес стал создавать инструменты, которые помогали анализировать, как именно люди потребляют. Вслед за ритейлом технологии поведенческого анализа ушли в телекоммуникации: провайдерам для развития продуктов понадобились данные о географической распределенности звонков, их длительности в разных ситуациях и так далее.

В 2012-13 гг. эти инструменты стали пытаться применить и в кибербезопасности. Первые продукты оказывались не слишком востребованными, и на то было несколько причин: рынок был не готов и бизнес не понимал, что хочет получить от этого анализа, но самое главное — у этих решений было две основных проблемы технического плана.

Первая — все они основывались на уже собранных каким-то другим решением данных. Вторая — у всех были проблемы с корреляционными моделями и точностью анализа. В итоге сложилась ситуация, когда полагаться на надежность собранного аудита и его целостность было тяжело, а анализировать базу с непонятной надежностью данных и еще менее понятной аналитикой стало еще труднее.

Но за несколько лет ситуация изменилась, и технологии очень сильно шагнули вперед. Путем естественного отбора поведенческий анализ мигрировал из отдельной категории в уже существующие решения типа SIEM, DAG, DLP и другие, что решило проблему надежности сбора данных, и стал их частью.

Средства поведенческого анализа сегодня работают следующим образом. Информационная среда разбивается на несколько типов сущностей: это могут быть компьютеры, мобильные устройства, учетные записи, серверы и так далее. Одним компьютером может пользоваться несколько человек, при этом человек может пользоваться несколькими устройствами и так далее. У каждой сущности своя роль: например, бухгалтер работает с финансовой информацией, программист — в среде разработки, даже топ-менеджера можно охарактеризовать определенными параметрами работы. Для каждой из сущностей мы выстраиваем поведенческий профиль. Если сущность начинает вести себя не так как обычно, система об этом сигнализирует. Это может быть легитимное изменение — например, человек перешел в другой департамент, уехал в командировку или у него появились новые обязанности. Тогда можно просто сказать самообучающейся системе: «Это нормально. В следующий раз больше об этом не напоминай». А вот если ненормально, тогда начинается расследование.

Более продвинутые инструменты позволяют анализировать цепочки событий — в частности, выявлять классические этапы развития кибератаки. Это еще более ценно, так как они позволяют выявлять противоправные действия с минимальными ложными срабатываниями.

CNews: Какие задачи решает поведенческий анализ пользователей в информационной безопасности? Как это сказывается на расследовании инцидентов ИБ?

Даниэль Гутман: Современная киберпреступность, как правило, нацелена на получение конфиденциальных данных компаний, нарушение их целостности и непрерывности бизнес-процессов. Делается это, чаще всего, с целью извлечения прибыли атакующей стороной и/или для нанесения финансовых потерь. Реализовываться атаки могут разными способами. Это может быть кража данных, шифрование, нарушение доступности сервиса или непрерывности бизнес-процесса. Примеры использования информации могут быть такими: украсть патент или похитить разработки конкурентов, чтобы ускорить вывод на рынок собственного продукта, получение конкурентного преимущества на основе планов развития, цен, договоров поставки и т.д.

Самая простая ситуация, в которой помогает поведенческий анализ — когда пользователь скачивает себе или пытается получить доступ к каким-то данным, которые он не должен видеть. Например, система поведенческого анализа могла бы сделать невозможной расследования Эдварда Сноудена: она бы с большой вероятностью отреагировала на то, что сотрудник, отвечая за определенный географический регион, по совершенно непонятной причине работает с данными по другим регионам. Если бы эти технологии существовали несколько лет назад, вероятно, мы бы даже не услышали о проекте WikiLeaks, так как сбор данных для него был бы замечен и остановлен на ранней стадии.

CNews: Каких последствий позволяет избежать поведенческий анализ на практике? Есть ли примеры?

Даниэль Гутман: Отличный пример — известная атака Sunburst, которая была проведена по системе цепи поставок, то есть не на непосредственного заказчика, конкретную компанию, а на поставщика, решения которого используются сразу несколькими компаниями. Тысячи компаний по всему миру использовали систему ИТ-мониторинга Orion от Solarwinds, в механизм апдейтов которой был вставлен зловредный код — в результате, бэкдор попал ко всем клиентам, использующим систему, и в дальнейшем был использован злоумышленникам.

Кроме того что эта атака отличалась очень высоким уровнем исполнения, в ней был использован оригинальный механизм попадания в организации. Дальнейшее развитие атак происходило по типичной схеме: сбор информации, разведка, установка контактов, вывод этой информации и так далее — такого рода атаки как раз можно отловить и остановить с помощью инструментов поведенческого анализа.

CNews: Почему технологии UEBA стали вызывать интерес у бизнеса в последнее время? Влияет ли на это расширение арсеналов киберпреступников?

Даниэль Гутман: Бизнесу очень важно контролировать, что происходит внутри — особенно в условиях фактической потери контроля при удаленной работе, последствия которой уже ощутили менеджеры высшего и среднего звена. Технологии поведенческого анализа стали достаточно зрелыми и эффективными для того, чтобы обеспечить такую возможность. В частности, если говорить о системе Varonis, она помогает проводить мониторинг множества платформ и источников данных, и ИБ-департамент сразу получает наглядную картину.

Например, человек не просто зашел в первый раз с нового девайса из другой геолокации, а начал смотреть данные, с которыми он никогда до этого не работал — в том числе, конфиденциальные. Потом он по какой-то причине залогинился со своей рабочего компьютера на сервисную учетную запись, непонятным образом получив к ней пароль. С ее помощью скачал к себе на рабочую станцию конфиденциальные данные, с которыми никогда до этого не работал. Пользуясь уже другой учетной записью, он попытался отправить эти данные в зашифрованном файле к себе на личную почту или вывести их через DNS.

Если в компании внедрен эффективный механизм поведенческого анализа, то офицер безопасности сразу будет знать о таких процессах и сможет среагировать — например, отключить учетную запись или наоборот продолжать наблюдать за действиями злоумышленника.

CNews: Для каких предприятий и из каких отраслей поведенческая аналитика является must have?

Даниэль Гутман: Я думаю, что здесь большую роль играет не вертикаль рынка, а размер компании и сложность ее взаимосвязей внутри: количество пользователей и компьютеров, их взаимосвязи внутри компании и так далее. Для компании, у которой больше нескольких сотен пользователей — от 300 и выше — это становится суперактуальным. До этого рубежа можно знать всех в лицо и по фамилии, после нужны автоматические средства анализа безопасности.

Очень влияет также, насколько высока цена тех данных, которые есть у бизнеса, и цена их утечек. То есть мы знаем очень небольшие компании, которые вкладывают огромные деньги в кибербезопасность только потому, что их данные — это все, что у них есть. К ним относятся, например, аналитические компании, исследующие экономику стран, статистику предвыборных кампаний и консалтинг, а также исследовательские организации — например, которые проводят геодезические исследования, поиск месторождений и т.д.

CNews: Необходимо ли интегрировать такие решения с более крупными ИБ-платформами? Возможна ли такая интеграция в принципе?

Даниэль Гутман: Технологии поведенческого анализа начали активно осваивать производители других инструментов — в частности, SIEM (систем управления информацией и событиями безопасности) и DLP (решений для предотвращения утечек данных). Это связано с тем, что рынок становится более зрелым, бизнес движется в сторону создания операционных центров безопасности (SOC), которые призваны и поддерживать работоспособность всех устройств компании, и оповещать обо всех событиях в инфраструктуре.

Такие центры собирают от миллионов до сотен миллионов событий каждый день. Но что делать с этими данными? В самом большом SOC работают не более 10-20 офицеров безопасности, и каждый из них может качественно обработать около 10 оповещений в день. Если таких оповещений 50, они копятся в очереди, которая в какой-то момент просто обнуляется. Поэтому все, кто сегодня работают в области ИБ и поведенческой аналитики, хотят получать оповещения с наименьшим количеством ложных срабатываний.

Интеграция самой системы поведенческой аналитики с другими платформами, разумеется, также возможна. Сегодня нет какого-то одного решения в области кибербезопасности, которое бы покрывало все нужды бизнеса. В основе ИБ каждой крупной компании будет набор из порядка 8-15 платформ, которые будут закрывать с большой вероятностью более 90% потребностей. Например, в системе поведенческой аналитики Varonis DatAlert по умолчанию есть возможности интеграции с QRadar, ArcSight, Splunk и другими решениями.

CNews: Как поэтапно происходит процесс внедрения UEBA-решений? Сколько времени он занимает?

Даниэль Гутман: Любая поведенческая аналитика зависит от момента, когда начинается сбор данных. После этого некоторое время уходит на выстраивание поведенческих профилей. Многие модели начинают корректно работать через 30 дней с момента первого сбора данных, через 60 дней корректно действует около 80%, а через 90 дней почти все оповещения и важные алерты приходят с высокой степенью точности.

Однако важно помнить, что эффективность ИБ в компании сильно зависит от уровня «гигиены» каждой из платформ. Например, если мы мониторим файловый сервер, то было бы очень полезно параллельно мониторингу и поведенческому анализу навести на нем порядок. Нужно почистить глобальные разрешения доступа, прямые разрешения, унаследованные права и так далее. Важно понять, где хранится конфиденциальная информация, разместить ее в правильных местах, сократить разрешения доступа до минимально необходимых. То же самое надо сделать с Active directory: оценить риски, найти пользователей с «вечными» паролями и без паролей вообще, учетные записи с мощными привилегиями. Все это в разы сокращает вероятность того, что инфраструктура будет взломана, а бизнес попадет в СМИ с печальным инфоповодом.