Как технология UEBA с использованием ИИ повышает уровень кибербезопасности крупного бизнеса

Сегодня невозможно представить крупную компанию без ПО, обеспечивающего информационную безопасность. Стек технологий у всех разный и существенно зависит от задач бизнеса. Однако, далеко не все знают и используют возможности искусственного интеллекта для повышения уровня кибербезопасности, а зря. Технология открывает обширные перспективы для предупреждения киберугроз. Как применение ПО с использованием User and Entity Behavior Analytics (UEBA) с ИИ может существенно снизить риски киберугроз, на форуме Smart Oil & Gaz рассказали специалисты "Газинформсервис".

• UEBA – это набор моделей, алгоритмов и методик, в основе которых лежит поведенческий анализ, а объектами наблюдения является всё: пользователи, процессы, сетевые взаимодействия, нагрузки на ресурсы, атаки.

Продукты с использованием UEBA определяют шаблоны типичного поведении пользователей, а затем детектируют отклонения в их действиях и сообщают операторам ИБ систем о нарушениях. Кроме того, системы UEBA могут выявлять нетипичные события в различных сущностях, к которым относят: ПО, рабочие станции, сетевой трафик и т.д. Эти нарушения часто свидетельствуют о попытках нелегитимного доступа к информации, а их ранее обнаружение позволяет предотвратить, например, утечки данных.

Как правило решения UEBA нужны для того, чтобы выявлять те угрозы ИБ, которые невозможно выявить другими способами.

Продукты использующие технологию UEBA позволяют:

- обнаруживать инсайдерские угрозы

создавая профиль риска для пользователя в сети компании (опираясь на информации о доступах, ИТ-активности, должности и т.д.), определяя типичное поведение на основе индивидуальных базовых показателей и базовых показателей тех групп, в которые входит пользователь;

- эффективно обнаруживать фрод

идентифицируя сложные атаки, которые проблематично обнаружить на основе анализа сигнатур;

- детектировать сложные атаки

благодаря поведенческой и контент-аналитике, ориентированной на обнаружение изменений, паттернов и аномалий;

- контролировать доступ к защищенным данным

контролируя, когда и кто просматривает данные даже если он имеет на это право;

- обнаруживать скомпрометированные учетные записи

UEBA же может помочь выявлять скомпрометированные учетки, прежде чем они нанесут реальный вред системе.

ИИ в UEBA

Чаще всего в методологии UEBA используется базовая аналитика: создаются базовые линии, детектируются новые или редкие действия, контролируется соблюдение некоторых заданных правил. Однако, наиболее эффективными решения с применением технологий UEBA становятся, когда базовая аналитика дополняется расширенной, встречается такое не часто, так как использование расширенной аналитики в основном связано с ограничениями, которые накладывают ресурсы и количеством источников, с которыми может работать система.

Такой функционал как:

- анализатор терминальных команд,

- создание цифровой тени и обнаружения аномалий и атак с использованием цифровых теней – уже возможны только с применением ИИ.

• Цифровая тень - система связей и зависимостей, описывающих поведение реального объекта, в стандартных условиях работы.

Некоторые UEBA-системы с ИИ, например, позволяют собирать все данные со всей инфраструктуры, и формировать множество цифровых теней, в режиме реального времени оценивая состояние системы.

Вот как это выглядит

Синтез

Продукты, использующие UEBA предназначены для дополнения более простых систем мониторинга и повышения общей безопасности компании.

Среди систем поведенческого анализа наиболее эффективными и современными можно считать системы с применением алгоритмов ИИ. Они эффективны при работе в крупных компаниях и дают возможность убедиться, что организация обладает высоким уровнем информационной безопасности. Они также заблаговременно помогают выявлять сервисы и пользователей, способных поставить под угрозу всю систему.