2000年代の終わりには、ITに「ビッグデータ」という用語が登場しました。これは、大量の構造化および非構造化データを処理して人間の目に知覚できる結果を得るための一連のアプローチ、ツール、および方法を意味します。
もちろん、これらのアプローチの使用は、情報セキュリティソリューションにまで及ばなければなりません。 2012年頃から、「ビッグデータセキュリティ分析」というフレーズが情報セキュリティの分野で非常に一般的になりました。 情報セキュリティ市場のプレーヤーは、製品に大量のデータを含む分析技術を使用するようになりました。 これと並行して、機械学習アルゴリズムの積極的な使用が始まりました。
この統合の結果、製品の機能が大幅に向上しました。 また、SIEMメーカーは一般に、新世代のソリューションの誕生を発表しています。 これについて議論することは困難です。実際、脅威の検出とリスク評価に関する分析は、まったく異なるレベルに達しました。
UBAとは
この記事では、ユーザー行動分析、UBAというソリューションのクラスを検討します。UBAは、西洋ではすでによく知られていますが、ロシアではまだ広く使用されていません。 ユーザーの行動の分析は、「ビッグデータセキュリティ分析」の使用の良い例と考えることができます。
このクラスのソリューションは、特定のユーザーに関連するすべてのアクションを分析します。これには、ユーザーが処理するデータの分析、ユーザーが使用するデバイスの監視、進行中のプロセスと実行中のアプリケーションの監視、ネットワークユーザーインタラクションのアカウンティングなどが含まれます。 UBAは、すべてのログファイル、認証要求、データアクセス、ワークステーションアクティビティ、およびネットワークアクティビティが特定のユーザーに関連付けられるモデルを構築します。
モデルを取り込む良い例は、UBAとDHCPサーバーの統合です。 一部のシステム、たとえば、許可のないプロキシサーバーは、IPアドレスによってのみユーザーを識別できます。 特定の時間にどのIPアドレスがどのユーザーデバイスに与えられたかを理解すると、特定のリソースにアクセスするときにユーザーが実行した手順をより詳細に再構築することができます。
UBAソリューションの結果は、情報システムの各ユーザーが特定の「信頼性レベル」を受け取ることです。 わかりやすくするために、カラースケールまたはパーセンテージインジケータが使用されます。 信頼性レベルの変化を監視するIS管理者は、UBAによって検出された異常にタイムリーに対応し、情報資産を保護するための措置を迅速に講じることができます。
潜在的な顧客はおそらく次のように言うでしょう。「なぜUBAが必要なのですか? すでにSIEMでユーザーの行動を追跡しています。 ここでは、IdMシステムでも統合が完了しました。」
ここで、ユーザーの動作を監視するための「ログの収集-相関ルールの作成-ダッシュボードの構成」という古典的なアルゴリズムがすでにうまく機能していないことを理解することが重要です。 はい、自作の相関ルールを使用できますが、まず、その作業を開発してからサポートする必要があります。次に、実際には、どこを探して何を探すべきかを理解する必要があります。 UBAを使用すると、さらに一歩進んで、SIEMソリューションの範囲外の疑わしいユーザーの行動を検出できます。 大まかに言って、UBAは「それ、私はまだ自分自身を知らない」ことを見つけるのに役立ちます。
UBAの使用例
UBAの目的と機能を理解するには、その使用シナリオを検討するのが最善です。 シナリオは単純になりますが、これにより、より理解しやすくなります。
侵害されたアカウント
侵害されたアカウントのタイムリーな検出は、情報セキュリティの最も重要なタスクの1つです。 許可されたユーザーが企業システムのリソースを使用している限り、これが彼が主張するユーザーであるかどうかを標準的な手段で判断することはほとんど不可能です。 機械学習と高度な分析テクノロジーにより、UBAは各アカウントのプロファイルを作成し、このプロファイルを動作のベースラインにマッピングして、ユーザーアクションの異常を検出できます。 これは、攻撃者がアカウントを盗まれたユーザーとまったく同じように振る舞わない可能性が高いという考えです。 「典型的な」動作との違いは、UBAの指標です。
情報システムをセットアップするとき、いわゆるサービスアカウントが関係します。 たとえば、インターネット経由でシステムコンポーネントを更新するためのバックアップ手順またはメカニズムを設定します。 かなり頻繁に、これらのアカウントは、実装段階で構成された後、安全に忘れられた、広範で冗長な権限を持っています。 そしてほとんどの場合、そのような記録の活動の監視はありません。 この点で、サービスアカウントの侵害は深刻な問題につながる可能性があります。 UBAを使用すると、このようなアカウントに個別のフラグでフラグを設定し、これらのアカウントの疑わしいアクティビティを監視および検出するための高度なメカニズムを適用できます。
権利の濫用
特権アカウントの不正使用を特定することもUBAのタスクです。 一部の部分では、その機能は別のクラスのソリューションである特権ユーザー監視(PUM)の機能と交差しています。 しかし、PUMがすべてのセッションの追跡に従事し、高い権限を持つユーザーアクションのその後の分析ツールとして機能する場合、UBAはそのようなユーザーの動作の逸脱を事前に検出して警告するように設計されています。 管理者には通常すべてが許可されていることを考えると、難しい作業ですが、何らかの方法で解決する必要もあります。 たとえば、Active Directoryオブジェクトを管理するための毎日のタスクの代わりに、ドメイン管理者が従業員のコンピューターに大量に接続し、そこからファイルをダウンロードし始めると、事実が疑わしい場合があります。 高度な分析機能を備えたUBAは、このような異常を検出します。
過度の好奇心
インサイダーは遅かれ早かれどの組織にも現れ、企業システム内の機密情報やその他の貴重な情報を探します。 これは、ネットワークへの許可されたアクセスを不法に取得し、販売またはその他の目的で使用できる情報を見つけてアクセスすることを期待して、リソースをスキャンするハッカーかもしれません。 UBAの分析機能を使用すると、各ユーザーの通常の動作のベースラインを設定できます。 ある時点で従業員がネットワークドライブのコンテンツをあまりにも積極的に検索し始めた場合、これは少なくとも注意を払う理由です。 UBAがACSシステムについて統合されている場合、従業員が以前に疑わしいことをする必要がなかった施設を訪れたという事実でさえ、疑わしくなります。
漏れ検出
UBAが扱うもう1つのタスクは、データリークの試行を識別することです。 厳密に言えば、これには情報セキュリティ市場で別のクラスのソリューションがあります。 しかし、ご存知のように、データ転送の方法がより複雑で洗練されているほど、DLPソリューションがすべての潜在的な漏洩チャネルを制御することは難しくなります。 どういうわけか、この問題は各ユーザーの使用帯域幅を制御することで解決できますが、これでは十分ではありません。 また、データ使用量のベースラインが有効になり、ユーザーの行動の異常が再び明らかになります...基準は、たとえば、外部メールアドレスに送信される大きな添付ファイル付きの文字数の急激な増加などです。
間違った時間、間違った場所
UBAの動作のかなり一般的な例は、疑わしいユーザー接続とジオロケーション時間の検出です。 たとえば、組織では、すべてのユーザーがリモートサイト、自宅、ホテル、顧客の地域から本社への24時間のリモート接続を許可されています。 誰でも許可されていますが、誰もがそれを必要としているわけではありません。 そして、チーフアカウンタントが夜間に突然動作中のコンピューターに接続すると(理由は関係なく)、アカウントの侵害の可能性としてUBAによってすぐに検出されます。
3つのアカウント
UBAが対処するために求められるもう1つの重要なタスクは、いわゆる「共有」特権の発見です。 この状況の簡単な例:従業員は、ユーザー名とパスワードを同僚と共有して情報システムにアクセスします。 この従業員が特権アカウントを持っていると、セキュリティ侵害のリスクが何度も高まります。 この状況で最も明らかな問題は、説明責任の喪失、つまり、誰がアカウントを正確に使用したかを明確に決定できないことです。 認証およびアクセス制御システムと同様にSIEMシステムからのデータを使用するUBAは、複数の従業員による資格情報の同時使用の事実を明らかにすることを可能にします。
アクセス設定エラー
ご存じのとおり、人的要因の影響を受けないシステムはありません。 たとえば、アクセスルールを設定するときに、人事サービスの従業員が誤ってプログラムコードの機密ソースコードを表示または編集する機会を与えられます。 ユーザーがリソースにアクセスすると、UBAはそのような異常を明らかにします(「そのようなアクセスは不可能であるため、不可能です」)。
退職者
多くの組織にとって、従業員の退職は大きな頭痛の種になります。 まれに、組織に従業員が辞表を書いた直後に「管理」できるようにするメカニズムがあります。 UBAには、そのような従業員を「マーク」してから、企業リソースの使用をより厳密に監視し、データ漏洩、妨害行為、およびその他のトラブルを示す動作の異常を検出する機能があります。
UBAの進化
最近、別の略語が情報セキュリティ市場で点滅し始めています:UEBA、User and Entity Behavior Analytics。 概して、これはUBAの新しい名前です。
新しい単語「エンティティ」の出現により、ユーザーの行動を完全に分析するには、そのアクティビティのみを追跡するだけでは不十分であるという認識がようやく強化されました。 非常に有用な情報の多くは、会社全体、その組織構造、構成されたアクセスグループなどに関する知識によってもたらされます。 さらに、UBAソリューションのクラス名をUEBAに置き換えると、金融詐欺を検出するように設計された製品が同時になくなりました。
2015年9月にガートナーによってリリースされた比較的最近のユーザーおよびエンティティ行動分析の市場ガイドには、さまざまな程度の成功を収めてUEBA市場に参入しようとしている20社の情報が含まれています。 これらの企業の名前(3〜4を除く)は、ロシア市場では事実上不明です。 UEBAの市場へのより積極的な浸透は、おそらく時間の問題です。 この技術は有望であり、顧客がいます。