Предпосылки интереса компаний к инструментам UBA
Когда мы говорим о предотвращении утечек, то прежде всего подразумеваем мониторинг каналов передачи информации: чем больше из них мы контролируем и умеем при необходимости блокировать, тем лучше. Для решения этой задачи предназначены DLP-системы. Но каналов становится всё больше, возникает необходимость поддерживать различные протоколы, новые технологии передачи данных. Кроме того, и нарушитель становится более «продвинутым»: при определенных обстоятельствах (желание и настойчивость, техническая подкованность, пассивность службы безопасности) он нередко находит способ обойти DLP-систему и, оставшись незамеченным, вывести ценную информацию из корпоративного периметра.
За каждым нарушением ИБ в компании всегда стоит некий субъект, который совершает зловредные действия или потенциально способен их совершить – осознанно или по неосторожности. Анализируя его поведение, можно найти признаки готовящегося нарушения, вовремя отреагировать на сигнал и предотвратить утечку. Если нарушение не намеренное и сотрудник, например, просто проявляет халатность, это можно отследить по его повседневным недочетам. Если же злоумышленник готовится к тому, чтобы вывести данные, как правило, это сопровождается некими подготовительными процедурами: например, использованием специальных средств. По статистике клиентов InfoWatch, в 70% случаев перед нарушением сотрудник ведет себя как-то иначе – не нормально относительно своих же действий в прошлом или относительно группы, в которой находится (департамент, отдел, сотрудники, выполняющие одни и те же функции).
Изображение предоставлено компанией InfoWatch
Таким образом, анализ поведения сотрудников может дать офицерам ИБ серьезное преимущество в борьбе с утечками. Возникает вопрос: по каким признакам выявить подозрительное поведение? Что может стать триггером для того, чтобы обратить внимание на того или иного сотрудника?
«У каждого опытного офицера ИБ есть собственные подходы, которые позволяют по тем или иным показателям в потоке событий находить некие корреляции и паттерны. Это хорошо работает, когда в фокусе его внимания сравнительно небольшой перечень сотрудников. Но при росте компании, как правило, количество специалистов службы безопасности не растет пропорционально расширению штата. Когда сотрудников становятся сотни и тысячи, «вручную» просматривать огромные массивы данных, пытаясь в них что-то выявить, становится невыполнимой задачей», – замечает директор департамента развития продуктов InfoWatch Рустам Фаррахов.
Изображение предоставлено компанией InfoWatch
Для автоматизации анализа поведения персонала в корпоративной ИТ-инфраструктуре и существует класс решений UBA. Как правило UBA-системы разрабатываются как расширение к системам, которые обеспечивают сбор данных для аналитики – DLP, SIEM и другим.
InfoWatch Prediction: новый подход к качеству UBA
В целом все UBA-системы используют общие принципы работы: на основе большого массива данных, которые актуализируются в постоянном режиме, с использованием различных алгоритмов выявляются корреляции, паттерны, то есть шаблоны, отклонения от норм. Пользователю-офицеру безопасности предоставляются инструменты для управления результатами анализа: оповещения, дашборды, отчеты и т. д.
Недостатки таких UBA-систем тоже более-менее одинаковы. Во-первых, это неточность в определении тех или иных признаков в связи с использованием ограниченного перечня данных. Например, если система анализирует исключительно данные о коммуникациях, это может не дать полной картины действий сотрудника.
Во-вторых, зачастую UBA-система построена на жесткой логике, когда нормы задаются фиксированными пороговыми значениями. Например, чтобы выявлять сотрудников, которые проявляют активность в нерабочее время, это рабочее время задается с 9:00 по 18:00. Такие модели необходимо всегда поддерживать в актуальном состоянии, с учетом динамичных изменений процессов в компании, различных рабочих графиков, их смены. Не каждая UBA-система может хорошо адаптироваться в таких условиях.
В-третьих, не все UBA-системы готовы анализировать данные в такой степени, чтобы у пользователя была возможность сразу использовать их для решения первостепенной задачи – вовремя и с нужным уровнем точности определить потенциального или активного нарушителя. Иногда, чтобы интерпретировать предоставленные UBA-системой отчеты, разрезы данных, от специалиста требуются дополнительные усилия.
Изображение предоставлено компанией InfoWatch
Подход InfoWatch к построению системы InfoWatch Prediction отличается от классического. При ее разработке были учтены указанные выше недостатки и предложены эффективные способы их устранения.
InfoWatch Prediction может использовать на входе любые оцифрованные данные, которые выражаются в каких-то измеримых показателях: это не только данные о коммуникациях, предоставляемые DLP, но и, например, данные о действиях сотрудников из системы мониторинга Activity Monitor. Чем шире охват, тем выше точность выявления признаков нарушений.
В основе InfoWatch Prediction лежат алгоритмы машинного обучения. Они позволяют обеспечить максимальную гибкость и адаптируемость системы к изменяющимся в компании процессам. Упомянутые выше пороговые значения устанавливаются индивидуально для каждого сотрудника и могут автоматически изменяться, если система понимает, что норма изменилась.
Наконец, InfoWatch Prediction гарантированно закрывает основную задачу офицера ИБ по своевременному выявлению потенциальных нарушителей с достаточным уровнем качества и точности – благодаря хорошо продуманному интерфейсу и инструментам взаимодействия с системой.
Функциональность InfoWatch Prediction
Сотрудники компании в ходе своей деятельности постоянно генерируют различные события. Как уже было отмечено, InfoWatch Prediction использует для аналитики данные DLP-системы InfoWatch Prediction (коммуникации, печать документов, отправка файлов на съемный носитель или в облака), а также данные об активности пользователя из инструмента Activity Monitor (время работы, использование приложений, посещение веб-сайтов). Всё это учитывается в совокупности, то есть данные аккумулируются и формируются в некие комбинации, которые представляют собой паттерны.
При этом InfoWatch Prediction каждый час обновляет результаты анализа. Таким образом происходит, во-первых, дообучение системы, а во-вторых, – обновление распределения персонала по группам риска. В итоге офицер ИБ постоянно может видеть в консоли актуальный рейтинг сотрудников по уровню риска, а также получать уведомления об изменении статистики, на которое стоит обратить внимание.
Изображение предоставлено компанией InfoWatch
Система берет для составления статистики классические измеримые показатели, такие, как количество отправленных писем или объем переданных данных, а также косвенные – такие, как частотность и регулярность действий. Оценивая поведение пользователя, она формирует тренды, благодаря которым понимает, какие действия в дальнейшем можно считать нормальными, а какие нет. Всего анализируется более 230 параметров, которые складываются в 20 комбинаций – паттернов поведения, а из них складываются группы риска. На данный момент таких групп шесть: «Аномальный вывод информации», «Подготовка к увольнению», «Нетипичные внешние коммуникации», «Отклонение от бизнес-процессов», «Снижение производительности», «Нелояльные сотрудники». Соответственно, пользователи получают визуализацию распределения сотрудников по паттернам и группам риска в достаточно простой форме. Отображение событий на таймлайне сопровождается индикаторами уровня критичности каждого события: зеленый цвет – всё в порядке, желтый – нужно обратить внимание, красный – высокая степень риска. Заметив такое событие, специалист ИБ может изучить его более подробно.
В дополнение к данным, которые предоставляет интерфейс InfoWatch Prediction, в распоряжении пользователя есть система мониторинга активности сотрудника InfoWatch Activity Monitor. Она позволяет более глубоко погрузиться в разбор инцидента: помимо статистических показателей о времени работы, запуске приложений и посещении веб-ресурсов, она предоставляет подробную информацию о том, что происходило на рабочей станции в течение рабочего дня сотрудника: скриншоты, записи с микрофона, записи о файловых операциях.
Изображение предоставлено компанией InfoWatch
Также, если нужно расширить контекст и проследить движение конфиденциальной информации, существует инструмент InfoWatch Vision. Здесь на графе связей отображаются все коммуникации сотрудника и есть возможность с помощью фильтров и разных способов визуализации отследить, например, по какому маршруту перемещался конкретный файл.
«Ключевая ценность InfoWatch Prediction заключается в том, что наша система значительно сокращает время, требующееся для выявления потенциальных утечек. Достаточно включить и настроить уведомления – система будет мониторить поведение сотрудников и вовремя сигнализировать офицеру безопасности о тех или иных изменениях. Такой сигнал служит отправной точкой для того, чтобы пользователь, уже более детально разобрался в ситуации и предпринял соответствующие действия», – резюмирует Рустам Фаррахов.
Особенности внедрения и «дорожная карта» InfoWatch Prediction
Поскольку в основе InfoWatch Prediction лежат алгоритмы ML, при внедрении системы заказчику потребуется время на то, чтобы обучить систему на массиве актуальных данных. Разработчик заявляет, что минимальный срок обучения системы составляет две недели, а оптимальный – четыре. Этого будет достаточно для того, чтобы модель проанализировала повторяющиеся действия сотрудников, определила нормы поведения и могла далее выявлять отклонения от них.
Изображение предоставлено компанией InfoWatch
В феврале 2023 года Infowatch выпустила на рынок новые версии своих систем, получившие ряд важных улучшений: InfoWatch Traffic Monitor 7.6, а также обновила InfoWatch Prediction 2.2 и InfoWatch Vision 2.8.
В июне этого года вышла версия InfoWatch Prediction 2.3, которая на данный момент является последней. Главные изменения, которые произошли в системе, – повысилась ее производительность и снизились требования к аппаратным ресурсам. Также в ней появились новые функции. В частности, в группе риска «Аномальный вывод информации» появился новый паттерн – использование почты на телефоне. Дашборд системы стал более информативным: теперь по каждому показателю группы риска можно посмотреть, из каких паттернов сложился риск и какие показатели учитываются по каждому из паттернов. На таймлайне добавлены визуальные уровни («светофор»), которые позволяют быстро сориентироваться, на какое событие во временном ряду стоит в первую очередь обратить внимание.
Изображение предоставлено компанией InfoWatch
В ближайших релизах разработчик планирует произвести ряд других доработок системы. В частности, в InfoWatch Prediction будет добавлен дашборд событий. Паттерны поведения и признаки групп риска будут разложены на некую последовательность, по которой можно будет, например, последовательно проследить действия сотрудника, готовящегося к нарушению. Также в системе появится еще один инструмент визуальной аналитики – виджет сравнения в форме звезды, наглядно показывающий, по каким параметрам отличаются паттерны поведения конкретного сотрудника от поведения его коллег.
