28.04.2023Надежная защита компании еще никогда не была столь важна, поскольку развитие и совершенствование технологий продолжает открывать все новые возможности для реализации угроз безопасности. Компании должны быть предельно осторожны и выстраивать свою защиту как от внешних, так и от внутренних угроз.
В некоторых случаях внутренние угрозы могут представлять даже больший риск, чем внешние, так как их обычно сложнее обнаружить и они скрыты от посторонних глаз. С ростом популярности удаленной работы и широкое использование мобильных устройств в повседневной деятельности ослабевает контроль безопасности данных, что потенциально открывает двери для намеренных или случайных утечек конфиденциальной информации.
Чтобы снизить угрозы утечек ценных данных со стороны инсайдеров и повысить уровень безопасности, компаниям необходимо сочетать традиционные средства предотвращения потери данных с аналитикой поведения пользователей. Более целостный подход к предотвращению утечек данных имеет решающее значение для обеспечения безопасности и защиты ценной и важной информации.
Что такое User Behaviour Analytics?
UBA (User Behaviour Analytics) – это технология, которая позволяет компаниям обнаруживать потенциальные угрозы со стороны внутренних работников. Она основана на анализе поведения пользователей и выявлении необычных или подозрительных действий (аномалий), которые могут указывать на наличие угрозы. Под поведением понимают действия и коммуникации пользователей рабочих станций (персонала). На базе этой технологии работают как самостоятельные программные решения, так и модули, которые интегрированы в различные системы безопасности.
Собранные в результате мониторинга коммуникаций и действий персонала показатели ложатся в основу профилирования пользователей (в том числе подозрительных сотрудников), которое предполагает их распределение по различным группам в зависимости от поведенческих паттернов, опираясь на анализ их повседневного рабочего поведения и сравнивая его со средними (нормальными) показателями. Если поведение сотрудника выбивается из нормы, он попадает в группу риска, и офицер информационной безопасности получает об этом уведомление.
Зачем UBA нужна бизнесу?
Продвинутую аналитику поведения пользователей (UBA) используют для профилактики внутренних инцидентов в области информационной, собственной и экономической безопасности, а также для проведения расследований и восстановления хода событий. Внедрение технологий поведенческого анализа позволяет работать с рисками превентивно, выявляя злоумышленников до того, как будет реализована утечка. Например, UBA способна помочь выявить личные связи и аффилированность, а также обнаружить сотрудника, который планирует забрать рабочие документы перед увольнением или использовать свое служебное положение для получения дополнительного заработка.
UBA решает следующие задачи:
1. Выявление и предотвращение внутренних нарушений, связанных с утечками данных
Ошибки людей остаются одной из главных угроз для любых компаний. UBA проводит автоматический анализ моделей поведения работников. При помощи математических алгоритмов и статистического анализа система выявляет аномалии в этих моделях, которые представляют возможную опасность. Вместо того чтобы заниматься сбором и проведением анализа информации об используемых устройствах и происходящих событиях, UBA концентрируется на сведениях о людях, пользующихся этими устройствами. Например, если пользователь начинает отправлять конфиденциальную информацию в облачное хранилище, чего ранее за ним не наблюдалось, UBA определит его действия как нестандартную для этой персоны активность и обратит на это внимание офицера ИБ.
2. Профилирование активности пользователей
UBA анализирует поведение работников и на основе этой информации строит профиль поведения каждого пользователя. Как правило, свойства их обычного поведения сами по себе не интересуют специалистов по безопасности. Однако они направляют на них свое внимание, когда это поведение начинает выбиваться из нормы (или отличаться от нормального). Характер поведенческих действий чаще всего соотносится с бизнес-функциями, которые выполняет работник. Значительное несоответствие между предполагаемым и реальным поведением может свидетельствовать об угрозе.
3. Мониторинг и выявление поведенческих отклонений, массовых опасных тенденций, а также ранее неизвестных рисков
Отслеживание в динамике показателей стандартного и нестандартного поведения пользователей дает возможность выявить тенденции различного рода, включая негативные и опасные. Это позволяет организациям реагировать на инциденты, выявлять злонамеренных инсайдеров, а также превентивно принимать необходимые меры для предотвращения угроз безопасности данных.
4. Расследование инцидентов
UBA также помогает компаниям проводить расследования инцидентов, связанных с внутренними угрозами. Это можно осуществить благодаря поиску взаимосвязей между событиями ИБ и поведенческими аномалиями.
5. Повышение качества работы сотрудника службы безопасности за счет устранения негативного влияния человеческого фактора
Системы безопасности накапливают большое количество различных типов данных, поэтому на их анализ вручную может уйти большое количество времени. Кроме того, не всегда можно точно идентифицировать, какая информация свидетельствует о потенциальной угрозе утечки. Технологии UBA опираются на поведенческие паттерны и аномалии, которые являются весомыми признаками увеличения риска. Работники службы безопасности получают сообщения об угрозах и рисках безопасности данных, а также отдельный перечень особенно сомнительных и подозрительных работников. Обладая этими сведениями, офицер безопасности может быстро предпринять действия профилактического характера и устранить риск.
Внедрение UBA сводит на нет ложные срабатывания, временные и ресурсные затраты на отслеживание тенденций и угроз безопасности данных, неизбежные при анализе в ручном режиме, а также потери при неоперативном реагировании.
На чем основаны методы аналитики и принцип работы User Behaviour Analytics?
Аналитика – важный элемент UBA. Методы аналитики UBA (User Behavior Analytics), которые основаны на машинном обучении, а также теориях вероятности, графов, случайных процессов и математической статистике, используются для обеспечения безопасности компьютерных систем путем выявления необычных или потенциально вредоносных действий пользователей. И если аналитика будет несовершенной, то офицеры безопасности будут получать огромное количество ложных оповещений.
Для анализа действий сотрудников системе UBA необходимы данные за определенный период – как правило, достаточно архива за несколько месяцев. Источником таких данных может быть отдельный архив или DLP-решение (система предотвращения утечек конфиденциальной информации). При установленном в организации DLP-решении отдельного архива не требуется, потому что вся информация уже есть в ее базах данных.
Система UBA строит профиль поведения, собирая и обрабатывая данные по активности сотрудника в рабочей почте (в модуле UBA Solar Dozor источниками являются электронная почта и мессенджеры). Например, в процессе работы система изучает общее количество сообщений, соотношение входящих и исходящих сообщений, почтовый трафик, который выходит за пределы компании, время отправки сообщений, круг общения (внешние, внутренние, неизвестные контакты) и адресатов.
Далее, опираясь на сведения из историй коммуникаций, алгоритмы машинного обучения позволяют системе UBA определить типичное поведение пользователей и выявить отклонения от него (аномалии), которые могут указывать на угрозу безопасности. Увеличение коммуникационной активности, просьбы о предоставлении различных документов от коллег, появление большого количества электронных писем с вложениями – все это может свидетельствовать о планируемой утечке информации. Более того, с помощью поведенческого анализа могут быть выявлены также экономические преступления, например нарушения, касающиеся порядка проведения тендеров.
Сочетание показателей поведения (в том числе аномалий) и характера зарегистрированных событий безопасности позволяют UBA распределять пользователей по паттернам поведения – определенным особенностям поведения сотрудников компании. Среди паттернов можно выделить несколько групп:
-
Поведение: аномальное, специфическое
-
Контакты и общение с неизвестными
-
Отсутствие активности и другие
В целом методы анализа UBA являются эффективным способом обеспечения безопасности данных благодаря выявлению необычных или потенциально вредоносных действий пользователей.
Как выбрать свою UBA?
Итак, вы решили, что UBA – это хорошая инвестиция в защиту ваших данных, но как же понять, какая UBA будет удовлетворять вашим потребностям в анализе поведения пользователей и защите данных от утечек. Перед покупкой UBA важно задать правильные вопросы и получить на них ответы:
-
Какие у вас потребности?
-
О каких поставщиках технологии UBA на рынке вам известно и какая у них репутация?
-
Предоставляет ли решение необходимый функционал и аналитику данных?
-
Соответствует ли UBA вашим потребностям?
-
Может ли UBA интегрироваться с существующими системами? Насколько хорошо?
-
Сколько времени займет внедрение?
-
Какая часть внедрения ложится на вас? Сможете ли вы это осуществить своими силами?
-
Смогут ли внутренние пользователи, не обладающие техническими навыками, работать с данными?
Очень важно получить ответы на эти вопросы на первых этапах выбора системы UBA, так как если один из этих вопросов останется без ответа, то компания сможет не получить необходимой пользы от использования системы.
Актуальность User Behaviour Analytics
Для успешного преодоления и профилактики современных быстро меняющихся угроз требуется надежное управление безопасностью данных, и аналитика поведения пользователей играет важную роль в защите конфиденциальной информации. Благодаря выявлению аномального поведения пользователей организации могут более эффективно бороться с угрозами и внедрять улучшения, необходимые для создания устойчивой безопасности организации. Кроме того, профилактика обходится компаниям значительно дешевле, чем устранение последствий утечек данных, ведь утекают не только ценные данные, но при этом наносится и ущерб репутации, теряется доверие клиентов и конкурентные преимущества.
Модуль UBA в DLP-системе Solar Dozor – это уникальная, запатентованная и самообучаемая система анализа поведения с фокусом на человеке, которая выполняет функции детектирования сотрудников с подозрительным поведением, соотнося их с 20 комбинациями поведенческих особенностей и аномалий. Так, большие массивы данных, которые собираются DLP-системой Solar Dozor, обретают новое практическое применение за счет технологий предиктивной аналитики и машинного обучения, фактическая польза которых заключается в том, что они сокращают объем ручного труда, помогают превентивно избежать потенциальных внутренних угроз и выводят защиту данных на совершенно новый уровень.
