Perėjimas prie „debesų“ jau kurį laiką diktavo naujus saugumo poreikius, iš kurių svarbiausias – galimybė apsaugoti hibridinę IT infrastruktūrą, sudarytą iš įprastų sistemų ir debesų kompiuterijos pagrindu veikiančių, tokių kaip „Office 365“ paslaugos, „Azure“, AWS ir t. t. Karantinas privertė dar aiškiau suvokti, kad dauguma kibernetinių saugumo strategijų, saugumo sprendimai bei politikos veiksmingos tik dirbant organizacijos viduje, o įsigalėjus nuotoliniam darbui pačios svarbiausios sistemos, duomenys ir naudotojai liko beveik be apsaugos. Kaip sprendžiant šį iššūkį gali padėti naujos kartos saugumo informacijos ir įvykių valdymo (SIEM, angl. Security information and event management) ir naudotojų elgsenos analitikos sprendimai (UEBA, angl. User entity and behavior analytic), pasakoja „Blue Bridge“ sistemų inžinierius Gintaras Grybas.

Pavogti slaptažodį lengva, pamėgdžioti naudotoją – neįmanoma

Kaip pasakoja G. Grybas, naujos kartos SIEM lyginant su tradiciniais SIEM skiriasi tuo, kad geba rinkti sisteminius įrašus iš skirtingų duomenų šaltinių, tarp kurių – ir debesijos paslaugų platformos, tokios kaip „Azure“ ar AWS. Tačiau, kaip pabrėžia pašnekovas, vien tik didesnis duomenų šaltinių skaičius nesprendžia pagrindinės problemos – piktavalių kūrybiškumo bandant gauti priėjimą prie svarbių duomenų.

„Visų SIEM sprendimų veikimo pagrindas panašus. Tai – sisteminių įrašų rinkimas, jų normalizavimas, saugojimas ir analizė. Kadangi SIEM veikia pagal paruoštas koreliacijos taisykles, šis sprendimas reaguoja į iš anksto apibrėžtus įtartinus įvykius, pavyzdžiui, naudotojui tris kartus bandant nesėkmingai prisijungi prie sistemos, SIEM tokį elgesį užfiksuoja ir apie jį praneša. Aišku, turint SIEM sprendimą galima sukurti labai sudėtingas elgsenos modelių taisykles, pavyzdžiui, sekti naudotojų prisijungimus prie tam tikros sistemos kiekvieną dieną. Tačiau tai vis tiek bus tik vieno objekto apsauga, o „už kadro“ lieka subtilesnės anomalijos ir priežastiniai ryšiai, kurie, pavyzdžiui, leistų susieti vieno iš darbuotojų ryte gautą „fišingo“ (angl. phishing) laišką su bandymu prisijungti prie duomenų bazės naktį“, – aiškina pašnekovas.

Būtent dėl būtinybės skirti daugiau dėmesio individualiam naudotojo elgesiui, su didėjančiais lūkesčiais žvelgiama į naudotojų elgsenos analitikos arba UEBA sprendimų rinką, kuri įgavo pagreitį.

Būdas atpažinti vidines grėsmes duomenų saugumui

Vis dažniau UEBA tampa vienu iš SIEM funkcionalumų, ir atvirkščiai – UEBA gamintojai papildo šį sprendimą SIEM funkcijomis. „SIEM tarnauja kaip duomenų šaltinis, iš kurio UEBA „pasiima“ duomenis apie naudotojus, išmoksta jų elgesį, veiksmus ir sudaro įprastą individualaus elgesio modelį. Šis modelis nuolat lyginamas su tolimesniais konkretaus naudotojo veiksmais ir net tam tikros naudotojų grupės, pavyzdžiui, kitų įmonės IT administratorių, veiksmais“, – pasakoja G. Grybas ir paaiškina, kad tokio metodo naudos net kelios.

„Pirmiausia, UEBA daug greičiau gali identifikuoti, kad vienas iš naudotojų elgiasi jam nebūdingu būdu, pavyzdžiui, jungiasi prie sistemų ir serverių, prie kurių anksčiau niekada nesijungdavo, dirba naktimis arba iš kitos pasaulio šalies. Antra, UEBA leidžia atpažinti nelojalius darbuotojus, nes jų neįprastą elgesį, pavyzdžiui, duomenų siuntimąsi dideliais kiekiais, iškart lygina su panašių atsakomybių žmonėmis organizacijoje. Visi šie niuansai gali likti nepastebėti tradicinių SIEM sprendimų“, – komentuoja „Blue Bridge“ specialistas.

Nauda priklauso ir nuo to, kiek gerai UEBA gali „apsimokyti“

Pasakodamas apie konkretesnius UEBA sprendimų veikimo principus, G. Grybas neslepia, kad šiems sprendimams dar yra nemažai erdvės tobulėjimui: „Kiek kokybiškai UEBA gali apsimokyti naudotojo elgsenos, kiek lanksčiai galima koreguoti automatiškai sudaryto naudotojo „charakterį“, nurodyti tam tikras leistinas išimtis, kad jos nevirstų pranešimais apie galimą grėsmę – visa tai praktinės problemos, kurių sprendimų gamintojai vis dar ieško.“

Pavyzdžiui, vienas iš naujos kartos SIEM rinkos lyderių „LogRhythm“ šią problemą išsprendė suteikdamas galimybę saugumo analitikams/SIEM administratoriams padėti UEBA apsimokyti, pavyzdžiui, nurodyti, kad IT administratorius vieną kartą per mėnesį jungiasi prie tam tikro serverio, ir tai normalus, nors ir retas, šio naudotojo elgesys.

Kita problema – kaip susieti skirtingas paskyras skirtingose sistemose su tuo pačiu naudotoju, nes įprastai tokiam susiejimui tenka skirti nemažai rankinio darbo sugrupuojant skirtingus el. paštus ir prisijungimo vardus su jų tikraisiais savininkais. „Jau minėtas „LogRhythm“ šią problemą išsprendė per Identity funkcionalumą, kuris leidžia SIEM apjungti visas darbuotojo paskyras po vienu identitetu. Tai padeda ir SIEM, ir UEBA susidaryti tikslesnį naudotojo „portretą“, – pasakoja G. Grybas.

Pašnekovas apibendrina, kad praktinė tokių, iš pažiūros, nedidelių patobulinimų, nauda – didžiulė. Pavyzdžiui, tai leidžia iškart pastebėti, kad Vardas.Pavardė, kurio prisijungimo vardu jungtasi prie sistemos, ir Vardas.Pavarde@imonespavadinimas.lt, kuris gavo el. laišką su kenksminga nuoroda, yra vienas ir tas pats naudotojas.

Vienas iš pliusų – SIEM trūkumų kompensacija

Apibendrindamas UEBA sprendimo naudas, pašnekovas atkreipia dėmesį, kad UEBA iš esmės kompensuoja tam tikrus SIEM sprendimo ribotumus.

„Pavyzdžiui, turint nedidelius IT resursus, sunku kokybiškai naudotis SIEM, nes koreliacijos taisyklių rašymas ir tobulinimas yra daug laiko reikalaujantis procesas. Be to, šių taisyklių rašymas ir pildymas yra nesibaigiantis procesas. Tad tokioje situacijoje turint savaime „apsimokantį“ UEBA tiek daug laiko šių taisyklių rašymui skirti nebereikia, tad geri rezultatai gaunami gana greitai ir įdėjus minimalias pastangas“, – pasakoja „Blue Bridge“ atstovas. Jis priduria, kad yra gamintojų, kurie savo UEBA modulį apmokestina pagal naudotojų skaičių, tad iš karto nereikia pridėti visų darbuotojų. Tai reiškia, kad pažintį su UEBA galima pradėti nuo IT skyriaus, buhalterijos ar kitų skyrių, kuriuose darbuotojai turi didesnes prieigos teises ir taip startuoti su minimaliomis investicijomis į šį sprendimą.

SIEM galimybių išplėtimas su UEBA funkcija taip pat aktualus didesnėms organizacijoms, jei jos ne pirmus metus naudoja SIEM ir jaučia, kad visapusei apsaugai, nelojalių darbuotojų ir kitų vidinių grėsmių nustatymui tik SIEM koreliacijos taisyklių nepakanka.

„Blue Bridge” kibernetinio saugumo auditas, įsilaužimų testavimas, saugumo mokymai ir naujos kartos saugumo sprendimai – susisiekite: