• CIS Magazine

Что же значит буква «Е»?



Ни для кого не секрет, что в настоящее время существующая реальность ИБ связана с аналитикой колоссального объёма данных. Рынок инструментов аналитика растет, появляются всё новые и новые решения «Next Generation» (следующее поколение). В классе решений UBA (User Behavior Analysis) следующим поколением являются системы класса UEBA (User & Entity Behavior Analysis).


Решения UBA, как правило, опираются на статическую модель поведения конкретного пользователя. Это ваша учётная карточка, в которой обозначены «имя, фамилия, рост и вес». Но в данной анкете нет данных о вашем взаимодействии. Нет данных о процессах, о среде, в которой вы работаете.

В свою очередь, решения UEBA позволяют построить динамическую модель поведения пользователей. Данная модель строится с учётом изменения среды, в которой находится пользователь. Предполагается, что система работает по принципу превентивности.


Рассмотрим пример. Поисковый запрос: повышение привилегий в ОС Ubuntu.

Для системы класса UBA данный запрос останется строкой в логах, конечно же, если пользователь не начнет использовать советы из результатов поискового запроса. Но решения класса UEBA учтут, что пользователь не эксплуатирует ОС Ubuntu, что данному пользователю не требуется привилегий для исполнения служебных обязанностей, и на основе этой информации создадут предупреждение.


Примерами в частном случае могут послужить запросы следующего характера: повышение привилегий в ОС, удаление логов в ОС и тому подобные. В данном случае ОС и является той самой средой, той самой Entity.

Вам остаётся решать, важна ли буква «E» для вашей компании, а Next-Generation SIEM это уже совсем другая история…


______________________________


Эдуард Яровой, независимый эксперт

Просмотров: 0

© 2020, СIS (Современные Информационные Системы).     info@sovinfosystems.ru     Журнал предназначен для лиц старше 16 лет.