Сегодня бизнес всё чаще сталкивается с киберугрозами, которые сложно заметить сразу. Атаки становятся тише и хитрее. Например, злоумышленник может долго наблюдать за сотрудником, получить доступ к его учётке и действовать от его имени. Это называется «инсайдерская угроза», и она — одна из самых опасных.
Риски есть у всех: от розничной сети до логистической компании. Даже если вы не храните персональные данные, у вас есть финансовая информация, доступ к платёжной системе, база клиентов или конфиденциальная переписка.
Что такое UEBA (UBA)
UEBA расшифровывается как User and Entity Behavior Analytics, то есть анализ поведения пользователей и других объектов внутри IT-системы.
В более ранних версиях аббревиатура выглядела как UBA — User Behavior Analytics, но со временем технологии начали учитывать поведение не только людей, но и, например, серверов, рабочих станций, сетевых устройств. Поэтому добавили слово Entity — «объект».
Смысл UEBA прост: система следит за действиями пользователей и устройств, накапливает статистику и ищет отклонения от привычного поведения. Если сотрудник всегда работает с 9 до 6, а в один день начинает скачивать файлы ночью — система это заметит. Если бухгалтер вдруг входит в CRM и выгружает базу клиентов — это тоже будет подозрительным. Система подаёт сигнал: здесь что-то не так, проверьте.
Отклонения анализируются, и системе присваивается риск‑скор — условная оценка риска действия. Чем выше скор, тем выше вероятность, что перед нами инцидент.
Чем UEBA отличается от других решений?
- SIEM — системы управления событиями безопасности
Собирают логи с разных систем и анализируют их по заранее заданным правилам. Это похоже на фильтр, который ищет чётко прописанные нарушения. UEBA — более гибкая: она сама учится на реальных действиях сотрудников и может заметить новые, нестандартные угрозы, которых нет в правилах.
- IDS/IPS (системы обнаружения и предотвращения вторжений)
Работают на уровне сети, отслеживают подозрительный трафик: например, резкое увеличение объёма передаваемых данных или доступ к запрещённым адресам. UEBA, в отличие от них, больше сосредоточена на поведении внутри компании — кто что открывал, куда заходил, какие документы отправлял.
Проще говоря, SIEM и IDS/IPS замечают, что произошло, а UEBA — что происходит не так, как обычно. Именно это делает UEBA полезной для отслеживания сложных, скрытых угроз — таких, которые маскируются под обычную работу.
Плюсы внедрения UEBA-системы для бизнеса
- Помогает вовремя заметить угрозу
Основная задача UEBA — выявлять подозрительное поведение, которое не всегда похоже на атаку. Это особенно важно в случае с инсайдерами, то есть сотрудниками или подрядчиками, у которых уже есть доступ к системе. Они не взламывают защиту. Они пользуются своим положением.
- Упрощает выполнение требований регуляторов
Если компания обрабатывает персональные данные, работает с финансовыми или государственными структурами, от неё требуют организовать постоянный контроль за действиями пользователей. Это прописано в российском законодательстве и нормативных документах.
UEBA помогает выполнить эти требования. Система ведёт журнал действий, автоматически фиксирует инциденты и формирует отчёты. На случай проверки можно показать: в компании есть инструмент, который отслеживает подозрительную активность.
- Снижает нагрузку на IT и отдел безопасности
Когда ИБ-специалисты работают вручную, они тратят время на сотни тревог, большая часть которых оказывается ложной. UEBA фильтрует эти события и выделяет только то, что действительно может быть угрозой.
Это особенно важно для компаний, где нет отдельной службы ИБ. Например, в небольшом бизнесе за безопасность отвечает системный администратор. У него и так много задач: настройка доступа, почта, резервное копирование. UEBA помогает ему не тратить время на проверку каждой мелочи.
Как работает поведенческий анализ
UEBA-система устроена как последовательный процесс: от сбора информации до генерации тревоги. Она не просто наблюдает за действиями пользователей, а строит логику — кто, что, когда, где и почему делает.
- Шаг 1 — сбор данных
Вначале система получает данные из разных источников: корпоративной почты, CRM, VPN, сетевых дисков, доменной среды (например, Active Directory) и других систем. Для этого используются специальные модули — агенты или коннекторы. Они передают события в UEBA-систему, не нарушая работу самих сервисов.
Например, когда сотрудник входит в почту, открывает документ или скачивает файл из облака, система получает об этом сигнал. Так накапливаются действия, которые формируют картину поведения.
- Шаг 2 — формирование базового профиля активности
После сбора данных система начинает «запоминать» поведение каждого пользователя или объекта. Она фиксирует, в какие часы обычно работает человек, какие ресурсы использует, откуда подключается, какие файлы открывает.
Допустим, менеджер по закупкам обычно заходит с одного компьютера, работает по будням с 9 до 18 и использует только Excel и браузер. Это — его базовый профиль. Система накапливает такую информацию за несколько недель, чтобы понять, что является нормой.
- Шаг 3 — поиск отклонений от нормы
Как только появляется что-то нестандартное — система это замечает. Например, сотрудник вдруг подключается в 3 часа ночи с нового устройства, скачивает в три раза больше файлов, чем обычно, или начинает использовать сервисы, которые раньше не трогал.
Такие действия не всегда означают угрозу. Может быть, человек просто задержался на работе или получил новую задачу. Но UEBA не делает поспешных выводов. Она просто фиксирует, что поведение изменилось и это стоит внимания.
- Шаг 4 — вычисление рисков и генерация инцидента
Каждое отклонение получает оценку — так называемый риск-скор. Это числовой показатель, который отражает, насколько действия отличаются от обычных. Чем выше риск-скор, тем больше оснований полагать, что ситуация требует вмешательства.
Например, если сотрудник подключился ночью — это может быть просто нестандартное время. Но если при этом он использовал чужой логин и отправил архив на внешний адрес — система поднимет приоритет. Когда риск-скор превышает заданный порог, создаётся инцидент. Это уже не просто наблюдение, а повод для проверки.
- Шаг 5 — расследование
После генерации инцидента специалист по информационной безопасности (или системный администратор, если ИБ-команды нет) может зайти в карточку события и увидеть полную картину. Система покажет, какие действия были совершены, с каких устройств, в какой последовательности.
UEBA также может предложить рекомендации: заблокировать учётку, временно ограничить доступ к ресурсам или передать событие в службу ИБ. Это помогает не просто выявить проблему, но и быстро на неё среагировать.
Такой алгоритм позволяет не реагировать на каждый подозрительный шаг вручную, а автоматически отслеживать потенциальные угрозы, не перегружая команду и не теряя времени.
Функциональные блоки UEBA-систем
UEBA-система работает как единый механизм, в котором каждая часть отвечает за свой участок. Чтобы система могла выявлять аномалии и предупреждать о рисках, она должна сначала собрать данные, обработать их, сопоставить с поведением пользователя, а потом — понятно показать, что именно произошло.
— Сбор и хранение логов
Вся работа UEBA начинается с получения данных. Система подключается к источникам внутри компании: доменной среде (например, Active Directory), корпоративной почте, файрволам, VPN, CRM, облачным хранилищам и другим системам, в которых пользователи что-то делают.
Каждый клик, вход в систему, загрузка файла или изменение документа — это событие. Такие события называются логами. UEBA забирает их в реальном времени и хранит в базе. Это как видеорегистратор, который фиксирует всё, что происходит, только в цифровом виде.
— Нормализация и корреляция событий
Когда события приходят из разных источников, у них может быть разный формат. Где-то указано время в одной системе координат, где-то — в другой. Где-то имя пользователя пишется полностью, а где-то — только логин.
Чтобы система могла понять, что все эти действия относятся к одному человеку, она приводит данные к единому виду. Этот процесс называется нормализацией. Затем начинается корреляция — система сопоставляет события между собой. Например, сначала пользователь вошёл в систему, потом открыл файл, а через минуту отправил его на внешний адрес. По отдельности — это не вызывает тревоги. Вместе — это может быть сигнал, что началась утечка.
— Анализ поведения на основе профиля
После того как данные приведены в порядок, включается поведенческий движок. Он строит профиль активности для каждого сотрудника, устройства или сервиса. То есть система понимает, кто что делает в обычной ситуации. Кто-то всегда работает днём с одного компьютера, кто-то заходит с ноутбука в командировках, кто-то — регулярно выгружает отчёты.
Когда действия выходят за пределы этого привычного сценария, система это фиксирует. Если, к примеру, сотрудник бухгалтерии вдруг начинает массово скачивать договоры клиентов — это отклонение. Система определяет, насколько поведение отличается от нормы, и выставляет риск-скор — оценку потенциальной угрозы.
— Формирование тревог с учётом контекста
UEBA не реагирует на каждое подозрительное движение. Она анализирует, насколько действия опасны в контексте. Например, если сотрудник зашёл в систему в 3 часа ночи — это само по себе странно. Но если он работает в ИТ и у него ночное дежурство — система это учтёт и не будет тревожить без причины.
Это помогает избежать лишнего «шума» и сосредоточиться на действительно важных сигналах. В итоге тревоги, которые появляются в системе, уже отсортированы по приоритету.
— Визуализация и отчёты
Чтобы понять, что происходит, в UEBA-системе есть дашборды — это удобные панели с графиками, списками событий и ключевыми показателями. Через них можно быстро увидеть, где возникли аномалии, кто вёл себя нестандартно, и какие риски сейчас под контролем.
Также система формирует отчёты — как регулярные, так и по запросу. Например, если нужно показать ИБ-активность по отделу за месяц или подготовить данные для внутреннего аудита. Эти документы можно выгрузить в привычных форматах и передать проверяющим или использовать для внутренней аналитики.
Отечественные UEBA/UBA-решения
Ростелеком-Солар — Solar Dozor
UEBA-система — доступна как самостоятельный продукт и модуль для SIEM и DLP.
Функции:
- анализ поведения пользователей и объектов ИТ-инфраструктуры;
- машинное обучение для выявления аномалий;
- интеграция с SIEM и DLP;
- защита от инсайдерских угроз и утечек данных.
DLP-система для контроля работы сотрудников за компьютером. Доступна в облачной и локальной версиях. Есть в реестре отечественного ПО.
Функции:
- мониторинг активности — от запуска программ и нажатия клавиш до печати документов;
- учёт рабочего времени, включая хронометраж дня, опоздания, ранние уходы, сверхурочные;
- анализ поведения и его продуктивности;
- скриншоты, запись экрана, звука с микрофона и видео с веб-камеры;
- блокировка сайтов, программ, файлов, и устройств;
- анализ рисков инсайдерских угроз, настройка правил.
Российская разработка для анализа поведения пользователей и объектов.
Функции:
- создание типовых моделей поведения;
- обнаружение отклонений и инцидентов;
- интеграция с системами SIEM, DLP, CMDB;
- поддержка расследований и аудита.
Оценка эффективности и ROI от UEBA
Внедрение UEBA — это инвестиция. Чтобы она была оправданной, важно понимать, как измерить результат: какие показатели улучшатся, где именно бизнес сэкономит и как быстро решение себя окупит. Что можно измерить?
— MTTR (mean time to respond)
Среднее время реагирования на инциденты. Чем быстрее система помогает отследить подозрительное поведение и передать его в работу, тем меньше потенциальный ущерб.
Если раньше на анализ и проверку инцидента уходили часы, то с UEBA это может занять минуты. Например, раньше администратору приходилось вручную смотреть логи, чтобы понять, кто ночью подключился к серверу. Теперь UEBA сразу показывает: кто, откуда и что делал — с указанием уровня риска.
— Количество предотвращённых инцидентов
Их можно посчитать по тревогам, которые привели к действиям: блокировке учётной записи, изменению прав доступа, остановке подозрительной активности. Это реальные кейсы, где система помогла избежать утечки данных, заражения оборудования или внутренней ошибки.
Оценить окупаемость просто: нужно сравнить стоимость внедрения системы с потенциальными потерями, которых удалось избежать.
Допустим, компания хранит персональные данные клиентов. Утечка таких данных — это штраф от Роскомнадзора, возможные иски, потери из‑за потока негативных отзывов. Один инцидент может обойтись в сотни тысяч рублей.
Если UEBA позволяет предотвратить хотя бы один серьёзный случай в год, она уже себя оправдывает. При этом затраты не обязательно высокие: многие решения позволяют начать с пилотного проекта или по модели подписки, что удобно для малого и среднего бизнеса.
KPI для команды и руководства
Чтобы зафиксировать результат и на уровне ИБ-команды, и для топ-менеджмента, можно использовать простые показатели:
- количество инцидентов, обнаруженных до вмешательства человека;
- доля ложных срабатываний до и после внедрения;
- среднее время реагирования (в рабочих часах или минутах);
- процент аномалий, получивших подтверждение после проверки;
- снижение нагрузки на ИБ-команду по сравнению с ручной обработкой.
Если у бизнеса нет отдельной службы ИБ, достаточно сравнить время, которое администратор тратил на проверку подозрительных действий до и после внедрения. Это сразу покажет, насколько эффективнее стала работа.
Такие метрики позволяют показать результат в цифрах. Это важно для принятия решений о масштабировании, продлении лицензии и выстраивании ИБ-стратегии в целом.
Попробуете систему в деле? (это бесплатно)
👉 Щелкните здесь, чтобы создать аккаунт 👈
Пробная версия доступна сразу же после создания аккаунта + мы пришлем письмо с подробными инструкциями.
Похожие записи:
Утечки информации в компании: откуда они берутся и как их остановить
Обзор программ для перехвата электронной почты
Обновление СпрутМонитор: 31 Марта 2025
Топ-7 программ для слежения за ПК: как контролировать офисных и удалённых сотрудников
Endpoint Protection: зачем нужна защита конечных точек. Топ-3 российских системы
Типы данных и их классификация в компании для защиты от киберугроз
