Как обнаружить злоумышленника, который ведет себя нормально

Компании часто выстраивают защиту информационного периметра, ориентируясь только на внешних злоумышленников. Однако это большое упущение, поскольку источник угрозы может находиться внутри коллектива. Речь о сотрудниках компании, которые имеют умысел навредить, но никак не выдают своих намерений. И все же их можно обнаружить с помощью DLP-системы, призванной предотвращать утечки конфиденциальных сведений. Разберемся, каким образом она поможет найти потенциального злоумышленника и предотвратить инцидент информационной безопасности. 

Как ведут себя злоумышленники

Обычно атаки на информационную инфраструктуру компании ассоциируются с агрессивными попытками несанкционированно взаимодействовать с данными. Однако зачастую внутренние злоумышленники тщательно разведывают обстановку и ждут удобного момента для применения преступной схемы. Что могут предпринять инсайдеры:

• Передать конфиденциальную информацию третьим лицам. Обычно это происходит по заказу конкурентов, из-за недовольства рабочими условиями, перед увольнением.
• Использовать расширенные права доступа к данным с целью совершить несанкционированные действия, например, изменить или удалить важные сведения. 
• Заниматься промышленным шпионажем, выведывая данные, которые относятся к коммерческой тайне. Например, сведения о контрактах, разработки, финансовую информацию. Шпионами могут оказаться как «старые» сотрудники, так и агенты от конкурентов. 

В данном контексте речь о внутренних нарушениях, последствия которых осознаются. Инсайдеры стремятся намеренно причинить ущерб компании, действуя из личной выгоды или в других корыстных целях, например, уронить репутацию или довести организацию до финансового краха. 

Как распознать угрозу, несмотря на нормальное поведение злоумышленника

Можно заподозрить нарушения, если работники предпринимают попытки необычного входа в системы, общаются с неизвестными контактами, не имеющими отношения к работе, задерживаются в офисе и т.д. 

Также может помочь методика профайлинга — «чтение» человека по его жестам, мимике, манере общения и даже чертам лица. Задача — составить психологический портрет и понять, способен ли человек на нарушения, спрогнозировать его поведение. Такая методика чаще используется при приеме новых кадров на работу, но иногда она помогает распознать угрозу, которая кроется за нормальным поведением злоумышленника. 

Самые распространенные методы профайлинга:

• Наблюдение за эмоциональными проявлениями, действиями, особенностями коммуникации, реакциями на те или иные события.
• Анализ нюансов интонации и используемых слов, исследование почерка. 
• Разбор «языка тела», то есть жестов, невербальной коммуникации. 
• Оперативная психодиагностика, то есть совокупность методов, используемых специалистами-профайлерами. 
• Анализ системного мышления человека.
• Трансовые технологии (применяются крайне редко, в основном при прямых подозрениях на нарушения).

Также распознать внутреннего злоумышленника поможет (Data Loss Prevention). Мы уже упоминали, что эта система позволяет предотвращать утечки конфиденциальных данных. Но это не единственная ее функция — также она способны анализировать поведение сотрудников, устанавливать контакты и коммуникации, контролировать основные каналы движения корпоративной информации. 

Как Solar Dozor помогает распознавать злоумышленников

Solar Dozor — многомодульная DLP-система, которая сейчас на шаг впереди конкурентов. Она является достойной альтернативой зарубежным решениям данного класса инструментов. Система позволяет анализировать поведение сотрудников благодаря уникальному алгоритму User Behavior Analytics (UBA). Ключевые преимущества технологии:

• Использование машинного обучения и искусственного интеллекта, благодаря чему минимизируется человеческое участие в исследованиях поведения. 
• Анализ действий работников по двадцати различным паттернам поведения. Есть даже отдельная категория, которая называется «Возможные инсайдеры», куда попадают, в том числе и сотрудники с совершенно обычным на первый взгляд поведением. Офицеры безопасности берут их на особый контроль, чтобы проверить или опровергнуть подозрения.
• Выявление всех контактов сотрудников, включая те, которые не имеют прямого отношения к работе. Система исследует коммуникации и позволяет обнаружить подозрительные диалоги. 

Еще один полезный с точки зрения анализа поведения модуль «Досье». Он позволяет накапливать информацию по сотрудникам, их контактам и действиям, событиям и инцидентам, используемым устройствам.

Как технология User Behavior Analytics, так и «Досье» подразумевают работу с конкретными людьми, а не обезличными идентификаторами, принадлежность которых приходится дополнительно устанавливать. То есть специалисты службы безопасности будут сразу видеть, кто именно может стать потенциальным нарушителем или уже был инициатором инцидента. Это удобно, поскольку расследования проводятся гораздо эффективнее и быстрее. 

Заключение 

Распознать злоумышленников в сети, которые нормально себя ведут, сложно без специализированных средств защиты. Банальные наблюдение и другие методы профайлинга дают возможность сделать предположение о склонности того или иного сотрудника к нарушениям. Но этого недостаточно, чтобы «схватить инсайдера за руку». На помощь придет Solar Dozor — удобное в эксплуатации и администрировании решение, которое выполняет важные функции в контексте защиты конфиденциальных данных. Помимо анализа пользовательского поведения система генерирует подробные отчеты, где собрана статистика по каждому сотруднику. Эти документы могут коррелироваться с отчетностью, предоставленной другими используемыми средствами информационной безопасности.