Полагаться только на сложные пароли и локальные средства защиты аккаунтов — недостаточно. Злоумышленники постоянно добывают данные через фишинг, вредоносные программы-собиратели информации или из-за небрежности самих пользователей, которые повторяют пароли на разных сервисах. Поскольку учетные данные это слабое звено безопасности, необходимо усиливать защиту в этом направлении
Большинство современных кибератак начинаются с угона учетных записей. Преступники часто покупают логины и пароли сотрудников на теневом рынке, что значительно упрощает им начальную стадию вторжения. Широкое использование средств удаленного доступа (VPN, RDP и др.) лишь играет им на руку. При этом первые действия злоумышленника в системе могут выглядеть как обычная работа сотрудника и долго не обнаруживаться традиционными средствами защиты.
Для эффективного противодействия нужны инструменты, которые могут не только искать известные шаблоны атак, но и анализировать поведение, выявляя отклонения от нормы для каждого пользователя и системы. В SIEM-платформе Kaspersky Unified Monitoring and Analysis Platform (KUMA) для этой задачи используется пакет правил UEBA (анализ поведения пользователей и объектов). Теперь он усилен с помощью искусственного интеллекта. Система строит «цифровой профиль» нормального поведения каждого пользователя: когда, откуда и как он обычно заходит в систему. ИИ отслеживает любые аномалии: входы в нестандартное время, необычные последовательности действий или подозрительные попытки доступа. Это позволяет находить как попытки входа с украденными данными, так и случаи, когда атакующий уже получил контроль над аккаунтом, включая сложные многоэтапные атаки.
Такой подход смещает фокус с поиска единичных угроз на анализ целостной картины, что помогает обнаруживать сложные инциденты раньше и с меньшим числом ложных срабатываний. Это, в свою очередь, снижает нагрузку на команды SOC. Технически это стало проще: в новой версии для детектирования угона учетной записи достаточно одного специализированного правила, а не набора сложных конструкций. Также был сделан акцент на производительности, управлении и удобстве работы в условиях растущих объемов данных и сложности инфраструктуры. Гибкое управление доступом - появилась возможность создавать собственные роли с тонкой настройкой прав. Это позволяет точно распределять обязанности между аналитиками, администраторами и руководителями, следуя внутренним процессам компании и минимизируя риски из-за избыточных привилегий. Новый корреляционный движок обеспечивает более высокую скорость обработки событий при меньшем потреблении ресурсов. Это повышает стабильность платформы под нагрузкой и позволяет обрабатывать больше данных без срочного масштабирования оборудования. Расширенное покрытие с помощью базы правил обнаружения: KUMA теперь покрывает более 60% тактик и техник из этой общепризнанной матрицы угроз. Каждое правило сопровождается рекомендациями по реагированию, помогая выстраивать защиту в соответствии с лучшими отраслевыми практиками.
Из дополнительных улучшений можно назвать резервное копирование и восстановление событий, что критично для расследований, аудита и соответствия требованиям. А так же фоновые поисковые запросы, благодаря чему аналитики могут запускать сложные поиски по большим данным в фоне, не прерывая текущую работу, что ускоряет расследования.
По материалам Касперский