Solar 7/16/20 2:39 PM Page 24
СПЕЦПРОЕКТ
Шесть инсайтов, которые показал модуль UBA во время всеобщей самоизоляции Галина Рябова, руководитель направления Solar Dozor
Н
едавно во всем мире случился масштабный переход на удаленную работу. В этой статье я расскажу, какие изменения в профилях угроз и поведении сотрудников “увидел” наш модуль анализа поведения пользователей Solar Dozor UBA.
С переходом на "удаленку" в запросах заказчиков стали лидировать две потребности: 1. Дополнительная защита рабочих мест, поскольку все риски, связанные с утечками информации, мгновенно и многократно возросли (по сути, стали нужны более функциональные агенты). 2. Бизнес обратил внимание на безопасность с точки зрения эффективности работы удаленных сотрудников. Важный вклад в решение обоих вопросов внесла аналитика поведения сотрудников на самоизоляции. Но сначала несколько слов об особенностях и архитектуре нашего UBA-модуля.
Для формирования профиля поведения сотрудника мы используем цифровые коммуникации, пока на базе одного канала – корпоративной почты. Выбор канала был сознательным решением, потому что анализ поведения – это разновидность BI, то есть объемной аналитики. На первом этапе было важно проверить работоспособность самой модели, избежав искажений, а для этого нужны качественные данные. Как производитель DLP мы знаем, что самый надежный канал с наиболее достоверными данными – корпоративная почта. Ну а на ближайшее время уже запланировано подключение новых каналов и прежде всего мессенджеров.
Модуль анализа поведения пользователей
Как строится профиль
В качестве основы для анализа в Solar Dozor UBA были выбраны коммуникации пользователей. Если собирать и анализировать всю информацию, которую сотрудник посылает и получает, можно сформировать типовые профили поведения для каждого работника. И именно схожесть реального профиля с эталонным является сигналом для службы ИБ о том, что у человека "все в порядке" или, наоборот, "что-то не так". Еще в процессе разработки решения стало понятно, что профили поведения обогащают досье сотрудника. Они объясняют, почему он совершает те или иные действия. И если проводить расследование, то сотрудник с профилем поведения становится более понятным и "объемным" для службы ИБ.
Рис. 1
24 •
Профиль поведения в UBA – это общность контактов и особенностей трафика. Контакты разделены на группы. Для анализа важно понимать, пересылает ли человек что-то внутреннему адресату или внешнему и имеет ли их общение постоянный или разовый характер. Большую роль также играет "уникальность контакта". Уникальными контактами мы называем тех сотрудников, с которыми больше никто в компании не контактирует. Чтобы выявить такие контакты, нужно проанализировать все коммуникации всех сотрудников. Это объемная работа, но она дает очень много полезных зацепок для мониторинга безопасности. Благодаря составлению профилей и категоризации контактов во вкладке "досье" модуля UBA можно увидеть рабочую эго-сеть и приватную эго-сеть для каждого сотрудника. Эго-сеть – это
Рис. 2
устойчивые коммуникации, которые отражают личные взаимоотношения людей (переписка "один-на-один", без других людей в копии). Помимо профилей, при внедрении модуля UBA были также обнаружены паттерны (модели) поведения, охватывающие сразу несколько пользователей. Сотрудники могут быть из разных отделов, но по каким-то причинам они ведут себя одинаково. Например, используя паттерны, через UBA можно найти всех сотрудников, которые временно отсутствуют около двух недель (что похоже на отпуск). И их профили будут сильно отличаться от профилей так называемых мертвых душ – уже не работающих в компании людей. Паттерны позволяют реализовать дополнительный механизм кластеризации и поиска сотрудников по определенным параметрам.
Результат работы модуля UBA Через месяц после того, как все перешли на удаленную работу, мы обнаружили ряд важных тенденций. Очевидные вещи, измеренные в реальных числах и показателях, демонстрируют новые угрозы и заставляют задуматься о дополнительных мерах поддержки сотрудников.
1. Размытие рабочего графика сотрудников Наблюдения показали, что с каждой неделей в удаленном режиме люди все больше работают ночью и в выходные. Теоретически в этом нет ничего страшного до тех пор, пока рассинхронизация персонала не приводит к потере эффективности.
