UEBA: как анализ поведения помогает защищать данные

В последние годы утечки данных и торговля украденной информацией стали пугающе обыденными. Компании по всему миру ежедневно сталкиваются с атаками, а взломанные учетные данные и фишинг — уже не исключение, а главный вектор компрометации.

Классические методы защиты, основанные на статических правилах, всё чаще оказываются недостаточными. Здесь на сцену выходит UEBA (User and Entity Behavior Analytics) — технологии, анализирующие поведение ^[1] пользователей, устройств и приложений в сети. Они позволяют обнаруживать аномалии и потенциально вредоносную активность ещё до того, как произойдёт инцидент.

Однако есть нюанс: коммерческие решения UEBA могут стоить дорого. Поэтому всё больше организаций задумываются над тем, как выстроить защиту самостоятельно, адаптируя доступные инструменты и подходы под свои реалии.

Как работают UEBA-системы? Какие есть open-source альтернативы? И можно ли создать собственную систему анализа поведения ^[2] без миллионных бюджетов? Об этом — в моей статье.

Что такое UEBA и зачем оно нужно?

UEBA (User and Entity Behavior Analytics) — аналитика поведения пользователей и устройств. Вместо того чтобы полагаться на заранее заданные правила, такие системы анализируют типичное поведение сотрудников, серверов, приложений и обнаруживают аномалии, которые могут свидетельствовать о взломе.

Простыми словами:
🔹 Если сотрудник обычно заходит в систему в 9 утра из Москвы, но вдруг авторизуется ночью из Вьетнама — это подозрительно.
🔹 Если сервер, который обычно обменивается данными с 5 машинами, внезапно начинает рассылать пакеты сотням неизвестных узлов — это странно.
🔹 Если администратор вдруг скачивает сотни гигабайт данных, хотя раньше так не делал — стоит обратить внимание ^[3].

Почему традиционные системы защиты не справляются?

Большинство SIEM (Security Information and Event Management) систем и стандартных инструментов безопасности работают по принципу “если событие X произошло Y раз — это угроза“. Но современные атаки не всегда соответствуют этим шаблонам.

Например, утечка может выглядеть как вполне нормальный рабочий процесс, если атакующий взломал аккаунт и использует его как обычный пользователь. UEBA решает эту проблему, так как:
✅ Обучается на данных организации — подстраивается под специфику компании.
✅ Использует машинное обучение ^[4] — замечает даже малейшие отклонения.
✅ Не требует жёстких правил — обнаруживает угрозы по поведению, а не по сигнатурам.

Какие угрозы помогает выявлять UEBA?

1️⃣ Компрометацию учетных записей (взлом паролей, атаки сессий).

2️⃣ Внутренние угрозы (недовольные сотрудники, инсайдерские утечки).

3️⃣ Необычные паттерны доступа (авторизация из другого города, смена расписания).

4️⃣ Аномалии в работе систем (подозрительные запросы, скачивание больших объемов данных).

Как работает UEBA: под капотом машинного обучения

В основе UEBA лежит анализ поведенческих паттернов. Но как именно система определяет, что конкретное действие является аномальным?

1. Сбор и анализ данных

UEBA-системы собирают логи из разных источников:
🔹 SIEM (Splunk, ELK, QRadar) – централизованное хранилище событий.
🔹 Active Directory и IAM-системы – информация об учетных записях и входах.
🔹 Сетевые журналы (firewall, VPN, proxy) – кто, куда и когда подключался.
🔹 DLP (Data Loss Prevention) – контроль утечек данных.
🔹 Cloud и SaaS-сервисы – активности в облачных системах.

2. Обучение нормального поведения

После сбора данных система анализирует типичное поведение пользователей, устройств и сервисов. Например:
✅ Время входа: Иван обычно логинится в 9:00–10:00 по Москве.
✅ География: его рабочий регион – Россия.
✅ Доступные ресурсы: он использует Jira, Confluence, Bitbucket.
✅ Запросы к базе: в день – до 100 SQL-запросов.

Эти данные становятся эталоном нормального поведения.

3. Выявление аномалий

Когда система замечает отклонения от нормы, она поднимает тревогу. Например:
🚨 Иван логинится в 3:00 ночи из Китая.
🚨 Он скачал 10 ГБ данных с сервера, хотя раньше – не более 100 МБ.
🚨 Его учетная запись внезапно делает десятки SQL-запросов.

Все эти события могут быть индикаторами атаки.

4. Оценка риска (Risk Scoring)

UEBA использует систему баллов риска. Например:

• Обычные события (низкий риск, 0–30%): Иван вошел в систему в привычное время.

• Подозрительные (средний риск, 30–70%): попытка входа с другого IP.

• Критические (высокий риск, 70–100%): вход с другого континента + скачивание большого объема данных.

Чем выше риск – тем выше приоритет инцидента.

Как внедрить UEBA: российские решения и open-source

Необязательно закупать дорогие западные системы — на российском рынке есть отечественные разработки, а также open-source альтернативы.

Отечественные коммерческие решения

🔹 Ростелеком-Солар (Solar Dozor, Solar Security) – комплексные решения для мониторинга безопасности и анализа поведения пользователей.
🔹 Positive Technologies (MaxPatrol SIEM) – мощная SIEM-система с UEBA-модулем.
🔹 СёрчИнформ (DLP + UEBA) – система контроля действий сотрудников с элементами поведенческого анализа.
🔹 Киберпротект (CyberProtect) – решения для мониторинга и обнаружения аномалий в корпоративной сети.
🔹 Газинформсервис (Гарда UEBA) – UEBA-модуль для анализа аномального поведения пользователей и ИТ-активов.
🔹 Dataplan (NGR SOFTLAB) – аналитическая платформа для решения задач ИБ.

Open-source альтернативы

🔹 ELK + ML (Elastic Stack + Machine Learning) – анализ логов с ML-обработкой.
🔹 Apache Spot – машинное обучение для выявления аномалий в сетевом трафике.
🔹 Hadoop + Spark – кастомные UEBA-модели на больших данных.
🔹 Wazuh (форк OSSEC) – SIEM с UEBA-функционалом на основе лог-анализа.
🔹 YARA + Suricata – комбинация для мониторинга сетевой активности и поиска аномалий.

Сегодня традиционные методы защиты не работают – злоумышленники слишком хорошо маскируются. UEBA позволяет детектировать атаки по поведению, находя аномалии еще до утечки данных.

Но важно помнить: любой UEBA – это всего лишь инструмент. Если сотрудники используют слабые пароли, а админы игнорируют алерты, никакая аналитика не спасет. Поэтому главные принципы кибербезопасности остаются неизменными:

✔ Обучение сотрудников.
✔ Регулярные обновления ПО.
✔ Многофакторная аутентификация.
✔ Контроль привилегий.