Рустам Фаррахов, директор департамента развития продуктов ГК InfoWatch

Расскажу, что такое технология предиктивной аналитики, что хотят пользователи от современных UBA-решений, и представлю возможности обновленного модуля InfoWatch Prediction с технологией предиктивной аналитики и машинного обучения. Увидим, как сильная технология предиктивной аналитики позволяет сфокусироваться на том, что важно, и получить данные для принятия решений.

Предиктивная аналитика в бизнесе для борьбы с утечками

Предиктивная аналитика в бизнесе для выявления рисков и потенциальных угроз на ранних стадиях является актуальной для большинства ИБ-специалистов. Предиктивная аналитика в бизнесе должна прийти на смену устаревшему подходу, когда нарушения выявляются и фиксируются по факту. В вопросе предотвращения утечек предиктивная аналитика в бизнесе позволяет решать ряд важных задач.

На первый план выходит задача контроля и блокировки каналов передачи информации. Однако это только одна сторона вопроса. У этой задачи есть существенные ограничения:

• Каналов становится много — в результате начинается постоянная гонка и необходимость поддерживать различные протоколы, новые технологии передачи данных.
• Смекалистый нарушитель найдёт способ обойти DLP-систему, остаться незамеченным вывести информацию или совершить какое-то другое нарушение.

Появляется ещё одна сторона вопроса: нарушитель, его поведение и мотивация.

И если попытаться найти в поведении некие признаки готовящегося нарушения — это может дать существенный плюс, потому что может вовремя просигнализировать и дать почву для анализа явления и предотвращения будущей утечки.

Опыт заказчиков InfoWatch подтверждает тезис: в 70% случаев перед нарушением поведение сотрудника меняется.  А значит, анализ поведения может дать серьёзные преимущества в борьбе с утечками.

Задачей предиктивной аналитики является системное выявление рисков

Задачей предиктивной аналитики является поиск ответа, по каким признакам выявить подозрительных сотрудников. В бизнесе задачей предиктивной аналитики является прогнозирование рисков ИБ. Как правило, такой подход дает гораздо лучшие результаты, чем работа специалиста по ИБ, который работает с данными вручную. Но нужно помнить, что задачей предиктивной аналитики является прогнозирование рисков и выявление подозрительных сотрудников в организациях любого размера, а когда в фокусе внимания специалиста ИБ находятся тысячи сотрудников, просматривать массивы данных и пытаться в них что-то выводить становится невыполнимой задачей.

Значит, нужны специализированные решения — они называются UBA (User Behavoir Analytics), и обычно идут как расширения к DLP-системам. Система даёт некую базу, big data, на основе которых можно строить аналитику.

Зачастую пользователи таких систем озвучивают некоторые минусы:

• Неточность в определении тех или иных признаков. Это связано с тем, что используется ограниченный перечень данных. Например, исключительно данные о коммуникациях — это может не давать полной картины того, что происходит с сотрудником, как он действует, как меняется его поведение.
• Зачастую систем построена на какой-то жёсткой логике, а учитывая, что компании достаточно динамичны, в процессе меняются действия сотрудников, сами сотрудники. Значит, необходимо будет постоянно поддерживать актуальность этих логических моделей, а это тоже задача практически невыполнимая. Как правило, в таком варианте система просто умирает, потому что не может адаптироваться к изменениям.
• Система не дает возможности использовать результаты анализов для решения первостепенной задачи.

Предиктивная аналитика: методы InfoWatch Prediction

Предиктивная аналитика — методы анализа данных для прогнозирования будущих событий и рисков ИБ. На практике предиктивная аналитика методы расчета реализует различными способами. Мы учли это в подходе к разработке InfoWatch Prediction и выявили основные точки, на которых нужно было сфокусироваться. Зная, что предиктивная аналитика методы прогнозирования наступления событий реализует на основе анализа данных, мы уделили этому особое внимание.

1. InfoWatch Prediction может использовать на входе любые данные, которые могут быть оцифрованы и из которых можно получить измеримые показатели.
   Сейчас для анализа доступны также данные о коммуникациях и о действиях сотрудников — их получают из системы мониторинга действий сотрудников InfoWatch Activity Monitor. Таким образом, мониторинг расширяется, а чем шире охват, тем выше точность выявления каких-то признаков нарушений.
2. В основе лежат алгоритмы машинного обучения — это позволяет обеспечить максимальную гибкость и адаптируемость системы к изменяющимся процессам в компаниях.
3. Пороги устанавливаются индивидуально для сотрудника, они динамичны и меняются, когда система понимает, что норма изменилась.

Основная задача InfoWatch Prediction — своевременно выявлять потенциальных нарушителей, делать это с нужным уровнем качества и точности.

Интерфейс и юзабилити InfoWatch Prediction

Благодаря хорошо продуманному интерфейсу пользователям легко взаимодействовать с InfoWatch Prediction.

Первоочередная задача этой аналитической системы — минимизировать трудозатраты офицера безопасности и обеспечить режим работы, не требующий постоянного «ручного» мониторинга.

В системе уведомлений реализована возможность настройки правил информирования специалистов по ИБ.

Сами уведомления крайне минималистичные, содержат информацию о том, по каким сотрудникам произошёл скачок уровня риска, скачок рейтинга. Получив такое уведомление, офицеру ИБ остается только проверить информацию.

Для этого ему необходимо перейти в консоль InfoWatch Prediction, где отображается полная картина по компании о том, как распределены уровни риска.

Пример работы с уведомлениями в InfoWatch Prediction

Офицер ИБ увидел в уведомлении, что произошёл скачок рейтинга по 3 сотрудникам. В уведомлении содержится распределение общего рейтинга по показателям соответствия группам рискам (сейчас их 6: «Аномальный вывод информации», «Подготовка к увольнению», «Нетипичные внешние коммуникации», «Снижение производительности», «Отклонение от бизнес-процессов»).

Чтобы понять, по каким признакам стоит обратить внимание на данных сотрудников, можно посмотреть в разрезе каждой отдельной группы риска на показатель того, насколько пользователь ей соответствует.

Например, один из сотрудников находится в топе рейтинга вывода информации — это означает, что относительно своих коллег она информацию выводит чаще. Это шаблонный паттерн при подготовке к увольнению.

Следующий сотрудник попал в топ по уровню изменения поведения, у него выросло число нетипичных коммуникаций, наблюдается снижение производительности и отклонение от бизнес-процессов. Можно более детально посмотреть, из чего этот показатель сложился и обнаружить использование нетипичных приложений, активность в нерабочее время. Это может быть признаком того, что сотрудник, возможно, предпринимает какие-то мошеннические действия.

Принцип работы InfoWatch Prediction

На практике модуль предиктивной аналитики InfoWatch Prediction работает следующим образом:

• В компании есть определенное число сотрудников, которые генерируют события; из этих событий формируются данные.
• Система каждый час обновляет результаты анализа, то есть каждый час происходит ее обучение, обновление рейтингов и перераспределение сотрудников по группам рисков.
• На выходе формируется топ проранжированных по уровню риска сотрудников.
• В итоге офицер безопасности получает уже более узкую выборку, либо зайдя в консоль и увидев их в топе, либо в почтовом уведомлении.

Из оцифрованных данных выделяются параметры — измеримые показатели, при этом учитываются все варианты: например, частотность, регулярность, временные показатели, главные тренды — что может быть, и что должно быть в будущем, какие действия считать нормальными и нет.

Всего таких параметров 230+, из них образуются комбинации, которые формируют 20 паттернов поведения, из которых складываются 6 групп риска.

В итоге с помощью InfoWatch Prediction решается основная задача оптимизации работы отдела ИБ: офицер безопасности получает сигналы о том, на что оперативно обратить внимание и дальше может проводить более детальное расследование.

Визуально можно сразу понять, какие события нужно изучить подробнее, если этих данных недостаточно — в распоряжении есть система мониторинга активности сотрудника InfoWatch Activity Monitor. Эта система даёт очень глубокое погружение в то, чем сотрудник занимался (статистические показатели по времени работы, запущенные приложения, посещенные веб-ресурсы и т.д.).

Также существует возможность увидеть, что происходило на рабочей станции — изучить скриншоты, записи с микрофонов, записи о файловых операциях. На основании этого можно с очень высоким уровнем детализации понять, что происходило в течение рабочего дня сотрудника.

Если нужно расширить контекст — например, посмотреть, что происходило с какой-то конфиденциальной информацией или с кем взаимодействовал сотрудник, то в распоряжении пользователя есть модуль Vision, который позволяет отследить все коммуникации.

Ключевая ценность использования InfoWatch Prediction в том, что он резко сокращает требуемое на работу время и внимание сотрудника отдела ИБ.

InfoWatch Prediction построен на основе алгоритм машинного обучения. Это означает, что требуются минимальные настройки, минимальное методологическое сопровождение.

Оптимальный срок обучения системы составляет 4 недели (такой период обеспечивает максимально достоверные данные), но возможен вариант продолжительностью и от 2 недель.

Решение учитывает совокупность разных данных из Activity Monitor и позволяет без сложных когнитивных нагрузок на пользователя разбираться в ситуации и предпринимать действия.

Что нового в последней версии InfoWatch Prediction 2.3

Основным изменением InfoWatch Prediction стало существенное повышение производительности и снижение требований к аппаратным ресурсам — теперь быстрее рассчитываются и обрабатываются данные, требуется меньше «железа» для работы.

Появились новые функции:

• В группе риска «Аномальный вывод информации» появился паттерн использования почты на телефоне.

Возможность синхронизации корпоративной почты с мобильного устройства — канал потенциальной утечки, на который не так часто обращают внимание. В компаниях такой способ работы с почтой обычно считается легитимным, но бывают и аномалии, требующие внимания офицера ИБ — например, если обычно сотрудник ежедневно просматривал по 10 писем, а в какой-то момент начинает скачивать всю почту за год со всеми вложениями.

InfoWatch Prediction подсвечивает такую аномалию в группе риска «Аномальный вывод информации», т.к. это можно считать риском утечки (например, сотрудник может это делать, чтобы вывести закрытую информацию и оставить у себя).

• Дашборд с рейтингами стал более информативным: теперь по каждому показателю группы риска можно посмотреть информацию, из каких паттернов сложился риск и какие показатели по каждому из паттернов.

Демонстрация конкретных цифр повышает прозрачность и понимание того, как был рассчитан рейтинг.

• Добавлены визуальные уровни, которые позволяют быстро сориентироваться, на какое событие стоит в первую очередь обратить внимание.

Чего ожидать в ближайших релизах?

Планируется продолжить расширение возможностей настройки дашбордов, добавить инструменты, позволяющие визуально максимально быстро разобраться в ситуации.

В планах — реализация дашборда, где признаки групп риска будут раскладываться на этапы. В основе тут лежит предположение, что нарушению предшествует ряд признаков, которые можно разложить в последовательность.

Главной задачей остается создание инструмента для офицера ИБ, который вовремя подскажет, на каких сотрудников нужно обратить внимание, предоставит для этого конкретные данные и доказательства. И в итоге снизит нагрузку на службу безопасности в целом и позволит работать на опережение.