Предиктивная аналитика — UBA без детских болячек

1. В компании не появляются новые данные. Все типы важной информации специалистам ИБ всегда известны.
2. Модель угроз не меняется годами. А сотрудники всегда соблюдают правила обращения с информацией.
3. Событий по передаче данных в DLP не так уж и много. Что уж говорить о серьезных нарушениях.
4. Людей в департаменте ИБ хватает с лихвой. Часто приходится придумывать себе дело.
5. Специалистов ИБ хорошо бы завалить информацией для разбора и анализа.

…

Нет.

Данных много, событий много, ресурсов на ИБ не хватает, нагрузка растет

Шутки шутками, но сколько систем кибербезопасности и защиты информации, в которых специалисту ИБ приходится «сидеть» ежедневно? Десяток, а то и десятки? Должного уровня защиты от утечек без DLP не достичь, надеюсь, все согласны. А вот сколько человеко-часов на нее остается? Вы лучше меня знаете, что недостаточно.

Тем временем, в DLP-системе сотни и тысячи инцидентов каждый день, они требуют безотлагательного разбора.

Не добавляет оптимизма и ситуация, когда нет больше никаких внутренних и внешних угроз. То есть, они есть, но понять разницу между ними очень сложно. Например, если внешний недоброжелатель с помощью кибератаки получил способ «достучаться» до важного сотрудника и сподвиг его на слив информации — это внешняя, внутренняя или гибридная атака?

Интенсивность атак и сливов информации не просто набирает обороты, тут уж только успевай считать! Экспертно-аналитический центр InfoWatch фиксирует кратный рост утечек в 2022 году. Как вы считаете, в 2023 что-то поменялось?

А тем, кому атаки из-за внешнеполитического фона не страшны, «веселья» добавляют свои же… Когда ушли западные конкуренты, начался очередной передел рынка со всеми вытекающими — в том числе с усилением недобросовестной конкуренции как за клиентов, так и за поставщиков.

Сфокусироваться на том, что важно

Нужно как-то автоматизировать обработку этого вала информации, сконцентрироваться на сотрудниках и рисках, которые они несут. В идеале — попытаться работать на упреждение, чтобы не «бить по хвостам», а устроить системную профилактическую работу. Это мы слышим от практиков и теоретиков ИБ еще с 2014 года, когда Gartner впервые опубликовал гид по рынку UBA (User Behavior Analytic).

UBA-системы — что пошло не так

Как только гид был опубликован, ведущие производители DLP, в том числе в России, начали разработку своих UBA-систем. Нужно было решить 3 ключевых задачи. Первая — это использование данных, которые ранее накопила DLP-система. Вторая — выявление нетипичного, аномального поведения сотрудников. Третья, финальная — это приоритизация полученных результатов. Вот, что вышло у производителей UBA-систем:

1. Использование данных DLP — сложности

Чтобы первыми вывести что-то новое на рынок, надо действовать быстро. Так некоторые производители UBA принесли количество собираемой информации DLP в жертву богу скорости. Взяли данные только по общению в почте, а через пару лет добавили туда мессенджеры. Бросьте в меня камень, если покажете мне сотрудника, который работает с информацией только в Outlook и Telegram! Как вы считаете, с таким подходом можно говорить об объективности?

2. Выявление аномального поведения — подводные камни

Ну ладно. Допустим, мы собрали все необходимые данные для всеобъемлющего анализа. Как понять, что сотрудник ведет себя как-то не так? Надо иметь, с чем сравнивать — установить границы нормального поведения, задать пороги срабатывания триггера. Самый простой, дешевый и быстрый метод — установить примерные жесткие пороги. Но есть большое НО. При установке жестких порогов всегда есть проблема: какой порог выставить. Если выставим слишком высокий, то много ложно-отрицательных срабатываний — будем пропускать аномальное поведение. Если слишком низкий, то много ложно-положительных срабатываний — всех будем считать потенциальными изменниками Родины и закопаемся в результатах. Нет, конечно, можно не задавать такой порог при создании системы, а отдать такое право специалисту ИБ на месте — он-то лучше знает! Ну тогда поздравляю, дорогой вендор, — вы не облегчили жизнь безопаснику, а усложнили ее. Не просто добавили новый инструмент для работы, а еще заставили постоянно подкручивать пороги, сомневаясь в том, соответствуют ли они нынешним бизнес-процессам и деловой активности.

3. Представление и приоритизация результатов — засада

Ну хорошо, закроем глаза и представим, что производители UBA справились с первыми двумя задачами. Сложно, но представим — анализируются все возможные данные из DLP, система с максимальной точностью определяет, кто из сотрудников ведет себя как-то не так. Что с этим делать? Куда приложить такую информацию? Хорошо, специалист ИБ, у которого много свободного времени может начать строить гипотезы, что может означать такое поведение у сотрудника. Хотя что это я… Откуда у специалиста ИБ лишнее время, особенно сейчас? Если UBA-система не дает конкретного вывода, если она только накидывает информацию для размышления и предлагает «помозговать вместе», то ей и пользоваться никто не будет. Есть же внутреннее чутье, запросы к статистике DLP-системы, да и вообще отстаньте, у меня тут красных событий завались!

UBA так и не взлетела

Многие вендоры, как мне кажется, поторопились. Боясь упустить модный тренд, предложили своим клиентам решения, слабо применимые в жизни. На ограниченных входных данных неаккуратно принимаются решения об аномальности поведения, и вся эта информация вываливается на специалиста ИБ, и так перегруженного работой. Но с лихим позиционированием и с ценой, как чугунный мост.

Так, у одного вендора, за 3 года случилось лишь 10 реальных продаж UBA-системы.

Мы прислушались к вашим отзывам, сделали выводы и сформировали стратегию развития UBA-решения, которое применимо и приносит реальную пользу.

Предиктивная аналитика — сфокусироваться на важном и спрогнозировать нарушения

Как исправить недочеты UBA?

1. Все-таки собирать максимум данных для анализа из DLP-системы. Не только информацию о переписке в почте и мессенджерах, но и о сохранении данных на флешку, в облако, отправки на печать, данные кейлоггера, обнаружении объектов защиты и нарушении политик безопасности. А еще пригодятся данные о действии сотрудника за рабочим местом — когда пришел и ушел с работы, какими приложениями пользовался, на какие сайты ходил, сколько было рабочей активности, а сколько человек развлекался или бездельничал.
2. Да, даже на одного сотрудника данных соберется много — в районе 500–700 событий в день. Если в компании под контролем 20–50 сотрудников, то по статистике вручную еще как-то можно найти тех, кто ведет себя не так. А если больше — 100, 500, 1000, 10000+? То уже не обойтись без специализированных алгоритмов для обработки большого количества данных.

И какой обработки? В этом соль. Если жесткие пороги не подходят, то нужны интеллектуальные:

• Автоматические — определяются без участия специалиста ИБ;
• Индивидуальные — рассчитываются для каждого отдельного сотрудника;
• Адаптивные — подстраиваются под изменение ситуации и процессов;
• Интервальные — одновременно учитывается и верхний, и нижний порог;
• Комбинируемые — могут работать в сочетании с классическими жесткими порогами.

А еще хорошо бы учитывать медленные изменения и регулярность…

3. И все равно нужен конечный результат. Информация, которая не просто даст специалисту ИБ «почву для размышлений». Итогом работы UBA-системы должна стать конкретная информация, которая позволит принимать конкретные решения. Специалист ИБ должен понимать, что происходит, что может произойти и что сделать, чтобы нежелательное событие не произошло. Например, взять сотрудника на контроль, провести профилактическую беседу или срочно отрубить доступ к базе знаний. И здесь никак не обойтись без разнесения сотрудников по группам риска и без ранжирования уровня этого самого риска. Простыми словами — определения варианта исходов и понимания, на кого обратить внимание в первую очередь.

Таким образом, заезженный термин UBA-система уточняется, и на арену выходит более совершенная технология — предиктивная аналитика. Она предоставляет ИБ-департаменту не просто текущую картину, а дает точные подсказки для профилактики и предотвращения возможных будущих инцидентов.

InfoWatch Prediction — UBA-система с предиктивной аналитикой с применением технологий машинного обучения

Prediction собирает максимум информации о сотрудниках. Коммуникации — из DLP-системы Traffic Monitor. Действия за ПК — из Activity Monitor. И тут же строит динамические индивидуальные рейтинги сотрудников по более чем 230 параметрам. Специализированные алгоритмы в реальном времени рассчитывают аномалии по каждому сотруднику на основе его коммуникаций и действий.

Автоматически анализ поведения учитывает изменения частотности действий, отклонения от принятых в компании процессов и расхождения с типичными моделями поведения других сотрудников.

На основании этих данных система предиктивной аналитики распределяет сотрудников по группам риска, например, «Подготовка к увольнению», «Снижение производительности», «Отклонение от бизнес-процессов», «Аномальный вывод информации», «Нелояльные сотрудники».

С этими данными и подсказками уже может адресно работать офицер ИБ.

InfoWatch Prediction уже сейчас помогает в реальном времени понять, на кого стоит обратить внимание, а в ближайшем релизе механизм усовершенствуется. Будут реализованы цепочки событий, подсказывающие, что может произойти в ближайшем будущем, исходя из прошлого и настоящего.

Предиктивная аналитика от InfoWatch — обновления релиза Prediction 2.3

Теперь InfoWatch Prediction фиксирует аномальное использование корпоративной почты, в том числе на личных смартфонах. А расширенные возможности паттерна «Недовольство работой» теперь позволяют учитывать личную переписку без вложений.

Теперь всплывающие окна-подсказки отображают распределение по группам риска с процентным соотношением, а также содержат список из 5 паттернов подозрительного поведения конкретного сотрудника.

Цветовая дифференциация аномалий по уровню также упрощает работу ИБ-специалиста, делая подачу информации максимально наглядной.

Оптимизация производительности, позволившая на 40% снизить требования к «железу», стала еще одним приятным обновлением InfoWatch Prediction.