Журнал "Information Security/ Информационная безопасность" #3, 2020

Однако подобный формат стал раз- мывать триггеры для системы монито- ринга. Нетипичное время выхода сотруд- ника в корпоративную сеть больше не является сигналом об опасности. Рань- ше, если сотрудник входил в систему ночью или в выходные, возникал повод для расследования. Теперь же угроза несанкционированного доступа имеет больше шансов остаться незамеченной. 2. Резкий рост передачи информационных активов Информационные активы, ключевая информация компании, стали предметом передачи на постоянной основе, что уве- личивает риск утечки. Информация, кото- рая раньше никогда не отправлялась в сеть, в режиме удаленных коммуника- ций стала пересылаться регулярно. Например, бизнес-схемы и результаты планерок всегда рисовались на доске и стирались, а теперь хранятся в цифровом виде... Но где? UBA показал, что к боль- шему количеству информационных акти- вов появился удаленный доступ и люди активно этим пользуются (см. рис. 1). Информационных активов в профилях сотрудников стало больше и по количеству, и по разнообразию. В трафике появились деликатные документы, которые находятся под наблюдением систем DLP. Увеличился и объем пересылаемых данных. 3. Появление новых уязвимостей В новой реальности всеобщей работы из дома использование облаков стало неизбежным. И хорошо, если в компании пользуются корпоративными облачными хранилищами с защищенным доступом. Многие, не имея альтернатив, переходят на публичные сервисы, потому что нужно обмениваться файлами. Впрочем, то же самое делают пользователи компаний, у которых есть хранилище, если оно недоступно или, например, пропал доступ к VPN. Во многих компаниях сотрудники про- водят десятки конференций в день, используя ZOOM и т.п. В этих приложе- ниях можно выкладывать файлы, делить- ся ими. И это еще один потенциальный канал утечки. Картину дополняет использование сер- висов визуализации. То, что раньше рисо- вали вручную на доске, клеили карточки, теперь оформляется в основном на бес- платных веб-сервисах. И естественно, этот контент никто не защищает. 4. "Выпадение" отдельных сотрудников UBA оказалcя полезен в решении кад- ровых вопросов. Дело в том, что внутри одной группы у всех ее членов обычно наблюдается приблизительно одинаковая активность. Но, как видно на рис. 2, в нашем примере у одного сотрудника – полная "тишина". Он не отвечает ни на какие сообщения, а остальные только шлют ему письма в надежде на реакцию. Обычно так ведут себя те, кто не смог самоорганизоваться. Если активность снизилась почти до нуля, значит, нужно вмешаться руководителю. Визуализиро- ванная разница в интенсивности работы сотрудников в одной группе является поводом для оценки эффективности своих отделов линейными руководителями. 5. Внимание к самым нагруженным отделам Наш опыт показал, что в условиях удаленной работы особого внимания заслуживают: l отделы продаж, у которых происходит резкий рост концентрации информа- ционных активов; l группы техподдержки, для которых характерно колоссальное увеличение объема трафика; l линейные руководители: у них сильно увеличился рабочий день и растет интен- сивность нагрузки. Через две недели переработок по 16 часов в сутки без выходных человек может "перегореть", и его нужно остановить; l топ-менеджеры: у них резко измени- лось качество работы с информацион- ными активами, им нужно помочь усле- дить за возможными утечками. 6. Перенаправление корпоративной почты на личный ящик Обычно самыми активными генерато- рами информационных объектов в ком- пании являются руководители или ключевые сотрудники. Но в пилотной версии у заказчика модуль UBA выявил пользователя "Наталья", не относяще- гося ни к тем, ни к другим. Показатели "Натальи" значительно отличались от показателей других сотрудников того же подразделения, что подтолкнуло службу ИБ к анализу. Анализ показал: все сообщения, кото- рые приходят сотруднику на служебный ящик, перенаправляются на личный e-mail. Да, люди часто отправляют на личный ящик что-то друзьям, родным, но не в таком объеме. В результате в почтовом трафике ока- залось много данных, которые интересны конкурентам: справочники по поставщи- кам, логистические данные, информация о лицензиях и сроках. Потеряет ли сотруд- ник доступ к почте? Вполне возможно, потому что ящик заведен на домене list.ru. Налицо массовая утечка служебной информации на неконтролируемый поч- товый адрес в режиме переадресации. Без UBA это сложно было бы выявить в условиях удаленной работы. В целом UBA позволяет увидеть у сотрудников первые признаки как организационных, так и ИБ-проблем, пока они не успели навредить бизнес- процессам компании. l • 25 DLP www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Реклама