Анализ поведения сотрудников за компьютером | Как не допустить публикацию конфиденциальных данных в интернете?

Общая информация

UBA (User Behaviour Analytics) — это технология анализа поведения пользователей, на которой основаны как самостоятельные программные решения, так и модули в составе IT-продуктов. Под поведением понимают действия и коммуникации пользователей рабочих станций (персонала).

Анализ действий и коммуникаций персонала начинается с того, что один из компонентов ПО (модуля UBA) агрегирует исходные данные и создает количественные показатели. На их основе другой компонент моделирует поведение пользователей и выявляет аномалии.

Аномалии — это любые резкие отклонения показателей от нормального значения. В зависимости от уровня развития программного обеспечения, количество типов аномалий может превышать несколько десятков.

Собранные в результате мониторинга коммуникаций и действий персонала показатели и аномалии становятся основой для профилирования. Профилирование происходит за счет отнесения пользователей (в том числе и подозрительных сотрудников) к различным паттернам поведения. Итоговый результат выводится в графический интерфейс DLP-системы или отдельного продукта.

Принцип работы

Для анализа действий сотрудников модулю UBA необходимы данные за определенный период — как правило, достаточно архива за несколько месяцев. Источником таких данных может быть отдельный архив или DLP-решение (система предотвращения утечек конфиденциальной информации). При установленном в организации DLP-решении отдельного архива не требуется, потому что вся информация уже есть в ее базах данных.

Основные направления сбора данных — трафик и контакты. В трафик включают все, что передает пользователь: файлы (и другие информационные объекты), пароли, сообщения (почтовая переписка и сообщения в мессенджерах), названия сайтов. В некоторых системах применяется распознавание текста. К контактам относят получателей и отправителей информации.

После сбора информация категорируется по показателям. Ниже указаны основные показатели для проработанного модуля UBA:

  • Интенсивность отправки сообщений

  • Объем отправленных сообщений

  • Индекс популярности

  • Круг общения

  • Уровень риска отдельных сообщений

  • Наполнение сообщений информацией

Подобные показатели — основа математической модели для выявления аномалий. При моделировании используется машинное обучение (частный случай — машинное обучение без учителя, unsupervised learning), теория множеств и теория многомерных нестационарных случайных процессов.

Отдельно выделяют показатели типа индекса уязвимости, который рассчитывается относительно каждого сотрудника и отражает уровень потенциального ущерба для компании в случае компрометации данных.

В результате формирования показателей, построения моделей и выявления аномалий пользователи сегментируются по паттернам поведения. В паттернах можно выявить несколько групп:

  • Активность: ее отсутствие, всплески и интенсивность

  • Общение с неизвестными

  • Необычное поведение

К неординарному поведению относят самое большое количество паттернов, которые учитывают характер обращения с информацией, статус в компании, изменение графика работы и способа взаимодействия с контактами.

Под общением с неизвестными подразумевается формирование закрытых эго-сетей — кластеров из тех контактов, с которыми пользователь общается тет-а-тет.

Помимо работы на программном уровне, есть еще и аспект выбора системы, внедрения и использования. При выборе важен характер лицензий, сроки развертывания, наличие поддержки, издержки и окупаемость. При внедрении — актуальные стандарты, текущая ситуация на рынке труда и сценарии взаимодействия с модулем.

Использование

Модуль, основанный на аналитике поведения пользователей (UBA), используют для профилактики внутренних инцидентов в области информационной, собственной и экономической безопасности. Внедрение модуля митигирует риски мошенничества и утечек,  уменьшает вероятность инсайдов, терактов и проявлений коррупции за счет анализа активности пользователей рабочих станций. Ниже указаны основные возможности модуля:

  • Определение индекса уязвимости сотрудников

  • Выявление аномалий поведения

  • Профилирование сотрудников по паттернам

  • Совмещение событий в SIEM-системе с аномалиями

  • Анализ контактов персонала

  • Поиск, сортировка и фильтрация пользователей

Отдельно выделяется то, что можно выявить с помощью модуля непосредственно в поведении сотрудников:

  • Нетипичное финансовое поведение

  • Личные связи и аффилированность

  • Поиск работы и переработки

  • Риск выгорания и снижение бдительности

Технология UBA способна помочь обнаружить сотрудника, который готовится к реализации мошеннической схемы (допустим, к хищению имущества компании) или же сотрудника, который планирует забрать рабочие документы перед увольнением.

Профилактикой использование модулей UBA не ограничивается. Такие решения используются и для восстановления хода событий при служебном расследовании в отношении работника, при выявлении склонности сотрудников к противоправным действиям, при анализе эффективности работы и контроле соблюдения штатного расписания. Вне зависимости от области применения внедрение UBA сводит на нет:

  • Ложные срабатывания

  • Трату времени и ресурсов на отслеживание тенденций

  • Потери при неоперативном реагировании

Актуальность

72 % уволенных сотрудников уносят с собой те или иные данные. По другой информации, 53 % компаний регулярно сталкиваются с инсайдерами, притом 60 % компаний использует DLP-системы. Можно сделать вывод, что DLP — необходимая, но недостаточная технология и есть смысл расширять набор функций, внедряя более специализированные модули. При внедрении и выборе модулей одним из ключевых становится выбор между профилактикой и реагированием на инциденты.

Когда речь идет об утечках данных (а таких инцидентов среди всех инцидентов безопасности порядка 43 %), то профилактика — дешевле, чем реагирование. С другой стороны, профилактика требует предварительного анализа. Анализ больших объемов данных в ручном режиме затруднителен, и рабочий вариант только один — использовать программное обеспечение, которое бы анализировало информацию и строило математические модели. То есть — решения с поддержкой UBA.