Що таке аналітика поведінки користувачів і сутностей (АПКС)?

За своєю суттю АПКС складається з двох основних компонентів: аналітики поведінки користувачів (АПК) і аналітики поведінки сутностей (АПС).

АПК допомагає організаціям виявляти та запобігати потенційним ризикам безпеки, аналізуючи поведінку користувачів. Це досягається завдяки відстеженню й аналізу закономірностей у діях користувачів для формування базової моделі звичної поведінки. Модель визначає ймовірність виконання конкретним користувачем певної дії на основі цієї поведінкової моделі навчання.

Як і АПК, АПС також може допомогти організаціям виявляти потенційні кіберзагрози, але з боку мережі. АПС відстежує й аналізує дії між такими нелюдськими сутностями, як сервери, програми, бази даних та Інтернет речей (IoT). Це допомагає виявляти підозрілу поведінку, яка може вказувати на порушення, наприклад несанкціонований доступ до даних або нестандартні схеми передавання даних.

Разом АПК та АПС формують рішення, яке порівнює різні артефакти, зокрема географічні розташування, пристрої, середовища, час, частоту, а також поведінку колег чи всієї організації.

АПКС збирає дані користувачів і сутностей з усіх підключених джерел даних у мережі організації. До даних користувачів можуть входити дії з входу в систему, розташування та шаблони доступу до даних, тоді як дані сутностей можуть охоплювати журнали мережевих пристроїв, серверів, кінцевих точок, програм та інших додаткових служб.

АПКС аналізує зібрані дані й використовує їх, щоб визначити базові показники або звичні профілі поведінки для кожного користувача й сутності. Потім базові показники використовуються для створення динамічних поведінкових моделей, які безперервно навчаються й адаптуються з часом на основі вхідних даних.

Використовуючи базові показники як орієнтир для звичної поведінки, АПКС продовжує відстежувати дії користувачів і сутностей у режимі реального часу, щоб допомогти організації визначити, чи уражено ресурс. Система виявляє аномальні дії, які відхиляються від звичної базової поведінки, наприклад ініціювання передавання аномально великого обсягу даних, що активує оповіщення. Хоча аномалії самі по собі не обов’язково вказують на зловмисну або навіть підозрілу поведінку, їх можна використовувати, щоб покращити виявлення, розслідування та відстеження загроз.

Оповіщення, що містять відомості про поведінку користувача, тип аномалії та потенційний рівень ризику, надсилаються команді Центру безпеки. Команда Центру безпеки отримує інформацію та визначає, чи потрібно продовжувати розслідування, залежно від поведінки, контексту й пріоритетності ризику.

Використовуючи АПКС разом із ширшим набором рішень для боротьби з кіберзагрозами, організації формують об’єднану платформу безпеки та в цілому отримують вищий рівень захищеності. АПКС також працює з інструментами керованого виявлення й реагування (MDR) і рішеннями з керування привілейованим доступом (PAM) для відстеження; рішеннями з керування захистом інформації (SIEM); та інструментами реагування на інциденти для вживання заходів і реагування.

Фахівці з відстеження загроз використовують аналіз загроз, щоб визначити, чи виявили їхні запити підозрілу поведінку. Якщо поведінка викликає підозри, аномалії вказують на потенційні шляхи подальшого розслідування. Аналізуючи закономірності серед користувачів і сутностей, АПКС може раніше виявити значно ширший спектр кібератак, зокрема ранні кіберзагрози, внутрішні кіберзагрози, DDoS-атаки та атаки методом підбору, перш ніж вони переростуть у потенційний інцидент чи порушення.

Моделі АПКС ґрунтуються на алгоритмах машинного навчання, які постійно вивчають мінливі моделі поведінки користувачів і сутностей за допомогою аналізу даних. Пристосовуючись до потреб безпеки в режимі реального часу, рішення безпеки можуть залишатись ефективними в умовах мінливого ландшафту безпеки зі складними кіберзагрозами.

Аналітики з питань безпеки використовують аномалії, щоб підтвердити порушення, оцінити його наслідки та надати своєчасну й дієву інформацію про потенційні інциденти безпеки, яку команди Центру безпеки можуть використовувати для подальшого розслідування. Завдяки цьому інциденти усуваються швидше й ефективніше, що зводить до мінімуму загальний вплив кіберзагроз на всю організацію.

В епоху гібридної або віддаленої роботи сучасні організації зіштовхуються з кіберзагрозами, що постійно розвиваються, тому їхні методи також мають розвиватися. Щоб ефективніше виявляти нові та наявні кіберзагрози, аналітики з питань безпеки шукають аномалії. Одна аномалія не завжди вказує на шкідливу поведінку, тоді як наявність кількох аномалій в етапі кібератаки може вказувати на підвищений ризик. Аналітики з питань безпеки можуть ще більше підвищити ефективність виявлення, додавши оповіщення про виявлену незвичну поведінку. Запровадивши АПКС і розширивши область безпеки завдяки охопленню пристроїв за межами традиційного офісного середовища, організації можуть завчасно покращити безпеку входу в систему, звести до мінімуму ризик кіберзагроз і забезпечити стійкіше й безпечніше середовище загалом.

У законодавчо регульованих галузях, таких як фінансові послуги й охорона здоров’я, правила щодо захисту даних і конфіденційності передбачають стандарти, яких має дотримуватися кожна компанія. Можливості постійного відстеження та звітності АПКС допомагають організаціям відстежувати дотримання цих нормативних вимог.

Хоча АПКС надає організаціям безцінну інформацію, вона також пов’язана з унікальними проблемами, які потрібно враховувати. Нижче зазначено кілька поширених проблем, які потрібно вирішити під час упровадження АПКС.

• Хибнопозитивні та негативні результати
  Іноді системи АПКС можуть помилково класифікувати нормальну поведінку як підозрілу та видавати помилковий результат. АПКС також може випустити з уваги реальні кіберзагрози безпеці, що може призвести до хибнонегативного результату. Щоб точніше виявляти кіберзагрози, організації мають ретельно розслідувати оповіщення.
  
  
• Неузгоджене найменування сутностей
  Постачальник ресурсів може створити оповіщення, яке недостатньо ідентифікує сутність, наприклад ім’я користувача без контексту імені домену. Коли це відбувається, сутність користувача не може бути поєднана з іншими екземплярами того самого облікового запису й потім ідентифікується як окрема сутність. Щоб звести до мінімуму цей ризик, важливо ідентифікувати сутності за допомогою стандартизованої форми та синхронізувати сутності з їх постачальником ідентичностей для створення єдиного каталогу.
  
  
• Проблеми з конфіденційністю
  Посилення операцій безпеки не має здійснюватися через порушення прав окремих людей на конфіденційність. Постійне відстеження поведінки користувачів і сутностей порушує питання, пов’язані з етикою та конфіденційністю, тому дуже важливо відповідально використовувати інструменти безпеки, зокрема на основі ШІ.
  
  
• Кіберзагрози, які швидко розвиваються 
  Хоча системи АПКС розроблені таким чином, щоб пристосовуватися до мінливого ландшафту кіберзагроз, вони все одно можуть зіштовхуватися з труднощами, намагаючись не відставати від кіберзагроз, що швидко розвиваються. Оскільки методи та моделі кібератак змінюються, важливо продовжувати налаштовувати технологію АПКС відповідно до потреб організації.

Майбутнє АПКС виглядає перспективно з огляду на досягнення в галузі машинного навчання, інтеграції ШІ та аналізу даних, які мають розширити можливості цієї технології. Нижче наведено деякі найцікавіші тенденції та подій, які, імовірно, вплинуть на еволюцію АПКС.

• Досягнення в галузі ШІ для кібербезпеки
  Оскільки ШІ та машинне навчання стають усе потужнішими та складнішими, прогностичні можливості АПКС мають продовжувати розвиватися. Очікується, що алгоритми машинного навчання, які безперервно навчаються на основі вхідних даних, дозволять краще виявляти складні закономірності та аномалії, підвищити точність виявлення кіберзагроз і зменшити кількість помилкових результатів.
  
  
• Інтеграція з розширеним виявленням і реагуванням (XDR) та протидією загрозам у кінцевих точках (EDR) 
  Очікується, що АПКС ще тісніше інтегрується з рішеннями з протидії загрозам у кінцевих точках і розширеного виявлення й реагування. Рішення з протидії загрозам у кінцевих точках розширюють область безпеки, забезпечуючи кросплатформну видимість кінцевих точок. Рішення розширеного виявлення й реагування ще більше розширюють цю область, пропонуючи безпеку для ширшого спектру продуктів, зокрема мереж, серверів, хмарних програм і кінцевих точок. Упровадження АПКС у XDR та EDR розширює можливості аналізу загроз, що надаються цими рішеннями, дозволяючи організаціям ефективніше виявляти кіберзагрози й реагувати на них у багатохмарному, багатоплатформному середовищі.
  
  
• Автоматизація реагування на інциденти 
  У поєднанні з даними АПКС автоматизоване реагування на інциденти стане швидшим, досконалішим і ефективнішим, що дасть змогу зменшити загальні наслідки інцидентів із безпекою.
  
  
• Проактивніші можливості безпеки 
  АПКС й надалі впроваджуватиметься в рішення з виявлення ідентичностей і кінцевих точок, а також у захисні рішення. В умовах все складніших кібератак АПКС розвиватиметься разом із додатковими захисними рішеннями, щоб забезпечити ще досконаліше виявлення загроз і швидке реагування на інциденти. Наприклад, кероване розширене виявлення та відгук (MXDR) поєднує в собі керовані служби моніторингу, відстеження й виправлення рішення керованого виявлення та реагування (MDR) з розширеним захистом XDR для забезпечення швидкого, ефективного й випереджувального реагування на кіберзагрози за межами кінцевої точки. Ці нові можливості АПКС дадуть командам Центру безпеки можливість завчасно виявляти кіберзагрози в ширшому спектрі ІТ-середовищ, що дозволить організаціям випереджати нові кіберзагрози.

Аналіз трафіку – це підхід до кібербезпеки, який на практиці багато в чому схожий на АПКС, але відрізняється за спрямованістю, застосуванням і масштабом. Під час формування комплексного рішення з кібербезпеки обидва підходи добре працюють разом.

• Основна увага приділяється розумінню й відстеженню поведінки користувачів і сутностей у мережі за допомогою машинного навчання та ШІ.
• Збирає дані з джерел користувачів і сутностей, до яких можуть входити дії з входу в систему, журнали доступу та дані про події, а також взаємодії між сутностями.
• Використовує моделі або базові показники, щоб виявляти внутрішні загрози, уражені облікові записи та незвичну поведінку, що може призвести до потенційного інциденту.

• Основна увага приділяється розумінню та відстеженню потоку даних у мережі через вивчення пакетів даних і виявлення закономірностей, які можуть вказувати на потенційну загрозу.
• Збирає дані з трафіку, до яких можуть входити мережеві журнали, протоколи, IP-адреси та шаблони трафіку.
• Використовує шаблони трафіку, щоб виявляти мережеві загрози, такі як DDoS-атаки, шкідливе програмне забезпечення, крадіжки та ексфільтрація даних.
• Чудово працює з іншими інструментами й технологіями мережевої безпеки, а також з АПКС.

Оскільки кіберзагрози продовжують стрімко розвиватися, рішення АПКС стають як ніколи важливішими для стратегії захисту організації. Ключем до кращого захисту підприємства від майбутніх кіберзагроз є підтримка розширення знань, проактивності та обізнаності.

Якщо ви хочете зміцнити позицію вашої організації у сфері кібербезпеки за допомогою можливостей АПКС нового покоління, дослідіть найновіші варіанти. Об’єднане рішення для безпечних операцій поєднує можливості SIEM і АПКС, допомагаючи організації виявляти складні кіберзагрози та запобігати їм у режимі реального часу – і все це на одній платформі. Прискорюйте темп завдяки уніфікованій безпеці та видимості в усіх хмарних середовищах, службах кінцевих точок і на всіх платформах. Отримайте повний огляд захищеності, об’єднавши дані безпеки з усього технологічного стека, і використовуйте ШІ, щоб виявляти потенційні кіберзагрози.