Всем известен классический сюжет фильмов ужасов: герои спешно запирают двери и окна, но обнаруживают, что чудовище уже в доме. Специалистам по ИТ-безопасности полезно пересмотреть эти кадры и поразмышлять о том, какое отношение они имеют к их работе. Сейчас многие компании тратят миллионы долларов, укрепляя периметр защиты, чтобы не допустить проникновения злоумышленников в свою сеть, но не уделяют достаточного внимания пользователям, которые уже находятся внутри компании. Опасность уже внутри, независимо от того, знаете вы об этом или нет. Согласно документу Cyber Security, внутренние угрозы составляют 60% всех атак. Насколько быстро вы можете обнаружить и блокировать действия сотрудника или подрядчика, злоупотребляющего своими привилегиями? Использует ли взломщик учетные данные, полученные в результате фишинга? Программа-шантажист шифрует ваши ценные файлы? Проходят минуты, а риск сопряженных с серьезными убытками потерь данных резко увеличивается. Насколько серьезными? Поданным исследования Ponemon 2017 Cost of Data Breach Study, средний размер убытков от одного взлома достигает величины в 25 млн рублей.

На рынке представлено много решений, разработчики которых обещают помочь. Но в большинстве из них используется простой подход на основе правил, и пользователь тонет в потоке предупреждений (в основном ложных), проанализировать которые совершенно невозможно. Например, пытаясь обнаружить атаку методом подбора, программа будет предупреждать вас всякий раз, когда какой-либо пользователь вводит неверный пароль семь раз, хотя в большинстве случаев это просто ошибки ввода с клавиатуры со стороны сотрудников, вернувшихся из отпуска. Для точного определения реальных угроз необходимо принимать во внимание более широкий контекст поведения пользователя и текущей последовательности действий, а не отдельно взятое событие.

На внутренние угрозы приходится 60% всех атак. Насколько быстро вы можете обнаружить сотрудника, злоупотребляющего своими привилегиями, или взломщика, использующего скомпрометированные учетные данные?

Change Auditor Threat Detection

Change Auditor Threat Detection — необычный продукт. В нем используется машинное обучение и анализ поведения пользователей и сущностей User and Entity Behavioral Analytics (UEBA), позволяющий выделить из огромного массива данных аудита активность, указывающую на настоящего злоумышленника или скомпрометированную учетную запись. Затем выявляются наиболее подозрительные пользователи и выдаются предупреждения, чтобы можно было быстро и эффективно среагировать на опасность. В частности, данное решение определяет базовый уровень нормального поведения каждого пользователя— обычное время регистрации в системе, к каким папкам и файлам он обращается, типы изменений, вносимых им в Active Directory (AD) и т. д. Затем машинное обучение без управления, анализ поведения пользователя, SMART-корреляция и набор заранее определенных индикаторов угрозы используются для анализа последующего поведения пользователя в реальном времени и обнаружения истинных угроз. Например, в одной реально существующей среде с 7000 пользователей описываемое решение за 45 дней выделило 42 потенциально опасных пользователя на основе 46 млн исходных событий (см. рисунок).угрозы внутренней безопасности

Далее в статье будет описано девять самых важных шаблонов подозрительного поведения, которые может обнаружить Change Auditor Threat Detection.

  1. Ненормальная активность в службе каталогов AD.
  2. Атака методом подбора.
  3. Пользователь, ведущий наблюдение.
  4. Несанкционированное копирование, передача, извлечение или уничтожение данных.
  5. Повышение прав.
  6. Использование привилегированной учетной записи на основе сценариев.
  7. Необычный доступ к системе.
  8. Вредоносные программы.
  9. Боковое смещение.