Журнал "Information Security/ Информационная безопасность" #3, 2020

С переходом на "удаленку" в запросах заказчиков стали лидировать две потребности: 1. Дополнительная защита рабочих мест, поскольку все риски, связанные с утечками информации, мгновенно и мно- гократно возросли (по сути, стали нужны более функциональные агенты). 2. Бизнес обратил внимание на без- опасность с точки зрения эффективности работы удаленных сотрудников. Важный вклад в решение обоих вопро- сов внесла аналитика поведения сотруд- ников на самоизоляции. Но сначала несколько слов об особенностях и архи- тектуре нашего UBA-модуля. Модуль анализа поведения пользователей В качестве основы для анализа в Solar Dozor UBA были выбраны комму- никации пользователей. Если собирать и анализировать всю информацию, которую сотрудник посылает и получа- ет, можно сформировать типовые про- фили поведения для каждого работни- ка. И именно схожесть реального про- филя с эталонным является сигналом для службы ИБ о том, что у человека "все в порядке" или, наоборот, "что-то не так". Еще в процессе разработки решения стало понятно, что профили поведения обогащают досье сотрудника. Они объ- ясняют, почему он совершает те или иные действия. И если проводить рас- следование, то сотрудник с профилем поведения становится более понятным и "объемным" для службы ИБ. Для формирования профиля поведения сотрудника мы используем цифровые коммуникации, пока на базе одного кана- ла – корпоративной почты. Выбор канала был сознательным решением, потому что анализ поведения – это разновидность BI, то есть объемной аналитики. На пер- вом этапе было важно проверить работо- способность самой модели, избежав иска- жений, а для этого нужны качественные данные. Как производитель DLP мы знаем, что самый надежный канал с наиболее достоверными данными – корпоративная почта. Ну а на ближайшее время уже запланировано подключение новых кана- лов и прежде всего мессенджеров. Как строится профиль Профиль поведения в UBA – это общ- ность контактов и особенностей трафика. Контакты разделены на группы. Для ана- лиза важно понимать, пересылает ли человек что-то внутреннему адресату или внешнему и имеет ли их общение постоянный или разовый характер. Боль- шую роль также играет "уникальность контакта". Уникальными контактами мы называем тех сотрудников, с которыми больше никто в компании не контактиру- ет. Чтобы выявить такие контакты, нужно проанализировать все коммуникации всех сотрудников. Это объемная работа, но она дает очень много полезных заце- пок для мониторинга безопасности. Благодаря составлению профилей и категоризации контактов во вкладке "досье" модуля UBA можно увидеть рабочую эго-сеть и приватную эго-сеть для каждого сотрудника. Эго-сеть – это устойчивые коммуникации, которые отражают личные взаимоотношения людей (переписка "один-на-один", без других людей в копии). Помимо профилей, при внедрении модуля UBA были также обнаружены паттерны (модели) поведения, охваты- вающие сразу несколько пользователей. Сотрудники могут быть из разных отде- лов, но по каким-то причинам они ведут себя одинаково. Например, используя паттерны, через UBA можно найти всех сотрудников, которые временно отсут- ствуют около двух недель (что похоже на отпуск). И их профили будут сильно отличаться от профилей так называемых мертвых душ – уже не работающих в компании людей. Паттерны позволяют реализовать дополнительный механизм кластеризации и поиска сотрудников по определенным параметрам. Результат работы модуля UBA Через месяц после того, как все пере- шли на удаленную работу, мы обнару- жили ряд важных тенденций. Очевидные вещи, измеренные в реальных числах и показателях, демонстрируют новые угро- зы и заставляют задуматься о дополни- тельных мерах поддержки сотрудников. 1. Размытие рабочего графика сотрудников Наблюдения показали, что с каждой неде- лей в удаленном режиме люди все больше работают ночью и в выходные. Теоретически в этом нет ничего страшного до тех пор, пока рассинхронизация персонала не при- водит к потере эффективности. 24 • СПЕЦПРОЕКТ Шесть инсайтов, которые показал модуль UBA во время всеобщей самоизоляции едавно во всем мире случился масштабный переход на удаленную работу. В этой статье я расскажу, какие изменения в профилях угроз и поведении сотрудников “увидел” наш модуль анализа поведения пользователей Solar Dozor UBA. Н Галина Рябова, руководитель направления Solar Dozor Рис. 1 Рис. 2

RkJQdWJsaXNoZXIy Mzk4NzYw