31.12.2020Анализ поведения сотрудников за компьютером | Как не допустить публикацию конфиденциальных данных в интернете?
Общая информация
UBA (User Behaviour Analytics) — это технология анализа поведения пользователей, на которой основаны как самостоятельные программные решения, так и модули в составе IT-продуктов. Под поведением понимают действия и коммуникации пользователей рабочих станций (персонала).
Анализ действий и коммуникаций персонала начинается с того, что один из компонентов ПО (модуля UBA) агрегирует исходные данные и создает количественные показатели. На их основе другой компонент моделирует поведение пользователей и выявляет аномалии.
Аномалии — это любые резкие отклонения показателей от нормального значения. В зависимости от уровня развития программного обеспечения, количество типов аномалий может превышать несколько десятков.
Собранные в результате мониторинга коммуникаций и действий персонала показатели и аномалии становятся основой для профилирования. Профилирование происходит за счет отнесения пользователей (в том числе и подозрительных сотрудников) к различным паттернам поведения. Итоговый результат выводится в графический интерфейс DLP-системы или отдельного продукта.
Принцип работы
Для анализа действий сотрудников модулю UBA необходимы данные за определенный период — как правило, достаточно архива за несколько месяцев. Источником таких данных может быть отдельный архив или DLP-решение (система предотвращения утечек конфиденциальной информации). При установленном в организации DLP-решении отдельного архива не требуется, потому что вся информация уже есть в ее базах данных.
Основные направления сбора данных — трафик и контакты. В трафик включают все, что передает пользователь: файлы (и другие информационные объекты), пароли, сообщения (почтовая переписка и сообщения в мессенджерах), названия сайтов. В некоторых системах применяется распознавание текста. К контактам относят получателей и отправителей информации.
После сбора информация категорируется по показателям. Ниже указаны основные показатели для проработанного модуля UBA:
-
Интенсивность отправки сообщений
-
Объем отправленных сообщений
-
Индекс популярности
-
Круг общения
-
Уровень риска отдельных сообщений
-
Наполнение сообщений информацией
Подобные показатели — основа математической модели для выявления аномалий. При моделировании используется машинное обучение (частный случай — машинное обучение без учителя, unsupervised learning), теория множеств и теория многомерных нестационарных случайных процессов.
Отдельно выделяют показатели типа индекса уязвимости, который рассчитывается относительно каждого сотрудника и отражает уровень потенциального ущерба для компании в случае компрометации данных.
В результате формирования показателей, построения моделей и выявления аномалий пользователи сегментируются по паттернам поведения. В паттернах можно выявить несколько групп:
-
Активность: ее отсутствие, всплески и интенсивность
-
Общение с неизвестными
-
Необычное поведение
К неординарному поведению относят самое большое количество паттернов, которые учитывают характер обращения с информацией, статус в компании, изменение графика работы и способа взаимодействия с контактами.
Под общением с неизвестными подразумевается формирование закрытых эго-сетей — кластеров из тех контактов, с которыми пользователь общается тет-а-тет.
Помимо работы на программном уровне, есть еще и аспект выбора системы, внедрения и использования. При выборе важен характер лицензий, сроки развертывания, наличие поддержки, издержки и окупаемость. При внедрении — актуальные стандарты, текущая ситуация на рынке труда и сценарии взаимодействия с модулем.
Использование
Модуль, основанный на аналитике поведения пользователей (UBA), используют для профилактики внутренних инцидентов в области информационной, собственной и экономической безопасности. Внедрение модуля митигирует риски мошенничества и утечек, уменьшает вероятность инсайдов, терактов и проявлений коррупции за счет анализа активности пользователей рабочих станций. Ниже указаны основные возможности модуля:
-
Определение индекса уязвимости сотрудников
-
Выявление аномалий поведения
-
Профилирование сотрудников по паттернам
-
Совмещение событий в SIEM-системе с аномалиями
-
Анализ контактов персонала
-
Поиск, сортировка и фильтрация пользователей
Отдельно выделяется то, что можно выявить с помощью модуля непосредственно в поведении сотрудников:
-
Нетипичное финансовое поведение
-
Личные связи и аффилированность
-
Поиск работы и переработки
-
Риск выгорания и снижение бдительности
Технология UBA способна помочь обнаружить сотрудника, который готовится к реализации мошеннической схемы (допустим, к хищению имущества компании) или же сотрудника, который планирует забрать рабочие документы перед увольнением.
Профилактикой использование модулей UBA не ограничивается. Такие решения используются и для восстановления хода событий при служебном расследовании в отношении работника, при выявлении склонности сотрудников к противоправным действиям, при анализе эффективности работы и контроле соблюдения штатного расписания. Вне зависимости от области применения внедрение UBA сводит на нет:
-
Ложные срабатывания
-
Трату времени и ресурсов на отслеживание тенденций
-
Потери при неоперативном реагировании
Актуальность
72 % уволенных сотрудников уносят с собой те или иные данные. По другой информации, 53 % компаний регулярно сталкиваются с инсайдерами, притом 60 % компаний использует DLP-системы. Можно сделать вывод, что DLP — необходимая, но недостаточная технология и есть смысл расширять набор функций, внедряя более специализированные модули. При внедрении и выборе модулей одним из ключевых становится выбор между профилактикой и реагированием на инциденты.
Когда речь идет об утечках данных (а таких инцидентов среди всех инцидентов безопасности порядка 43 %), то профилактика — дешевле, чем реагирование. С другой стороны, профилактика требует предварительного анализа. Анализ больших объемов данных в ручном режиме затруднителен, и рабочий вариант только один — использовать программное обеспечение, которое бы анализировало информацию и строило математические модели. То есть — решения с поддержкой UBA.
