Компания «Ростелеком-Солар» представила DLP-систему Solar Dozor 7, оснащенную интегрированным модулем анализа поведения пользователей Solar Dozor UBA. Система предсказывает поведение пользователей, обеспечивая профилактику нарушений и возможность своевременного анализа бизнес-рисков. Алгоритмы нормального поведения и всевозможных отклонений создавались на основе 19-летнего опыта развития системы. В частности, об этом представители «Ростелеком-Солар» рассказали журналистам на пресс-конференции.
При разработке системы защиты Solar Dozor 7 от утечек нового поколения в компании отталкивались от концепции People‑Centric Security, согласно которой приоритет за анализом и выявлением отклонений в поведении сотрудников, а не за мониторингом уведомлений об инцидентах с данными. Этот термин, характеризующий безопасность с фокусом на человека, поведением которого можно управлять, был введен Gartner в 2013 г. Эксперты прогнозируют увеличение расходов на анализ поведения сотрудников с 50 млн долл. в 2015 г. до 352 млн долл. в 2020 г.
Система Solar Dozor 7 решает широкий круг задач безопасности, выходящих за рамки защиты от утечек. Фишкой системы является модуль глубокого анализа поведения пользователей (User Behavior Analysis – UBA), который на ранней стадии помогает по очевидным признакам обнаружить аномалии в поведении сотрудников. Отступления от привычных сценариев действий или коммуникации могут указывать на признаки возможного нездорового замысла, попытку мошенничества, очевидные предпосылки к утечкам информации и т. д. Иными словами, корпоративной службе безопасности становится проще уловить или не пропустить очевидные бизнес-риски, к которым как минимум следует присмотреться.
Методы анализа модуля Solar Dozor UBA основаны на алгоритмах, не требующих предварительной настройки и адаптации системы, достаточно обучения пользователей, утверждают в компании. Поведение сотрудников анализируется по нескольким направлениям. Определен набор показателей, которые изменяются исходя из контекста коммуникаций, роли в коллективе, персональных особенностей работника.
Обновленную систему обкатывали в «боевых» условиях летом в ряде компаний с численностью от тысячи работников. Выяснилось, что в течение нескольких месяцев активности сотрудника на рабочем месте можно сформировать представление о его привычном поведении, круге общения и т. д. Затем с помощью модуля UBA можно будет фиксировать отклонения от устоявшегося сценария и аномалии, если сотрудник, конечно, даст повод для этого или возникнут соответствующие обстоятельства в его окружении.
Еще один вектор развития возможностей модуля – определение уязвимых с точки зрения бизнес-рисков групп сотрудников и работников, для которых характерно подозрительное поведение. На основе наблюдения за ними формируются типовые сочетания их особенностей (паттернов поведения). В настоящее время в системе представлено 19 таких паттернов под условными названиями, в частности, «мертвые души», «аномалии внешних коммуникаций», «теневые личные контакты» (они активные пользователи приватных эго-сетей) и др. По всем предложенным на основе бизнес-опыта паттернам осуществляется контроль тенденций, которые сигнализируют об опасных тенденциях.
Наличие модуля обогатило информационное досье DLP-системы Solar Dozor 7. В совокупности с быстрым сквозным поиском и настроенными срезами данных, возможностью профилировать сотрудников с учетом показателей использования рабочего времени система позиционируется как оптимальный инструмент повышения эффективности служб безопасности, который превосходит аналоги.
Решение задач в сфере безопасности требует комплексного подхода, координации действий нескольких подразделений, занятых в этой сфере, подчеркнула в своем выступлении на пресс-конференции директор центра развития продуктов Solar Dozor компании «Ростелеком-Солар» Галина Рябова. В век автоматизации и цифровизации у сотрудников все больше возможностей своими преднамеренными и даже непреднамеренными действиями причинить ущерб организации. Это можно расценивать как оборотную сторону технологического развития и построения бизнеса в современных условиях. Компании нуждаются в ИТ-инструментах, которые помогут выстроить линию защиты от подобных действий работников.
Поскольку цифровизация в первую очередь затрагивает коммуникации сотрудников, то в системе аккумулируется и анализируется информация обо всех корпоративных коммуникациях. Накапливаемые большие данные характеризуют корпоративное общение, которое представляет собой локальное отражение соцсетей.
Галина Рябова обратила внимание на две тенденции в сегменте DLP. Первая состоит в том, задачи, решаемые с помощью DLP-инструментов, выходят за рамки узкой области информационной безопасности в более широкую сферу – корпоративной безопасности. Сегодня компании сосредоточены уже не только на работе с данными, проведении формальных расследований фактов их утечек как локальных угроз. В корпоративных коммуникациях сосредоточено такое количество угроз по всевозможным другим каналам, что к их анализу вынуждены подключаться службы экономической, внутренней, физической, кадровой безопасности. Сотрудники этих подразделений становятся пользователями DLP-cистем. Такие инструменты в крупных компаниях внедрены. Список рисков, для анализа которых они могут быть применены, расширяется, а сами риски оцениваются в других цифрах.
Вторая очевидная тенденция – службы информационной безопасности «расширяют свой взгляд на мир», перестают работать с техникой, данными, низкоуровневыми событиями, поскольку начинают осознавать, что основной источник угроз – человек, вольно либо невольно совершающий те или иные действиями. С учетом этих тенденций в компании для развития DLP-cистемы взяли за основу концепцию People-Centric Security. Предложенный модуль анализа поведения пользователей стал результатам осмысления подхода к решению задач безопасности с фокусом на человека.
В компании отмечают, что модуль подходит для применения в трех направлениях: профилактика угроз поведения и оценки рисков; реагирование на изменение поведения сотрудника; расширение возможностей проведения расследований. Собранная модулем UBA информация позволяет быстро среагировать на это изменение поведение, особенно резкое, выяснить, чем именно оно вызвано (обстоятельствами, намерениями и т. д.). Такие проактивные действия службы безопасности дают возможность оценить, несут ли зафиксированные изменения риски для компании. В первую очередь это касается персон из «воронки безопасности» – сотрудников, действия которых контролируются особенно тщательно.
«Начинка» модуля UBA состоит из четырех слагаемых. Первое – портрет персоны, который определяется на основе анализа коммуникаций по контролируемым каналам (контекст для расследования). Второе – профиль поведения, который формируется на основе характера коммуникаций с другими персонами, группами и подразделениями (у большинства сотрудников, за исключением представителей ряда подразделений, каналы коммуникаций стабильны, повторяются, что и отражено в профиле нормального поведения). Резкое отклонение от привычного поведения может указывать, например, на то, что у сотрудника человека расширился круг обязанностей, появился новый проект, изменились психологические обстоятельства. Третье слагаемое модуля – аномалии поведения, или отклонения от профиля поведения. Четвертое – паттерны поведения (формируются на основе выборки аномалий поведения, которая составляется исходя из анализа большого массива данных).
Представители компании «Ростелеком-Солар» пояснили, что при определении профиля поведения изучаются профиль контактов (внутренние или внешние, единичные или устойчивые, регулярные, неизвестные) и профиль трафика (что именно передает человек). Особое внимание для сотрудников безопасности представляют неизвестные контакты (коммуникации с персонами, с которыми в компании общается только конкретный сотрудник). Опыт подсказывает, что обнаружение в переписке таких контактов – как правило, ключ к анализу обстоятельств инцидента. В то же время большой список контактов со многими подразделениями компании может свидетельствовать об осведомленности работника. Чем больше подразделений – тем выше риск, что сотрудник имеет доступ к разнородной информации и затем ее агрегирует.
Что касается трафика, то система позволяет оценить, содержится ли в нем чувствительная информация об объекте защиты, в частности, анализируются форматы передаваемых документов.
Сейчас в компании работают над формализацией паттернов поведения, т. е. основных поведенческих особенностей, профилей, характерных для многих сотрудников, которых что-то объединяет. Представители «Ростелеком-Солар» не исключают, что в дальнейшем, по мере изучения обратной связи, их список будет расширяться.
В ходе демонстрации системы ведущий аналитик внедрения компании «Ростелеком—Солар» Виталий Петросян показал, как с помощью модуля UBA осуществляется мониторинг совершаемых работником действий, каким образом оценивается объем получаемой и отправляемой корреспонденции, передаваемого трафика, как это отражается в виде графиков по результатам сравнительного анализа. В отсутствие такого инструмента представители службы безопасности, как правило, разбирают уже произошедшие инциденты, контролируют ключевых персон в организации, сотрудников, попавших под подозрение, работников, в отношении которых поступило поручение от руководства, и т. п. При этом действовать на опережение удается далеко не всегда.
Модуль UBA следует рассматривать как механизм заблаговременного и оперативного уведомления об изменениях в поведении конкретной персоны из числа всех, находящихся под контролем. Поскольку данный инструмент подсчитывает качественные и количественные показатели всех активностей работников, можно сформировать запрос о профилактических действиях активности подразделения в целом. Виталий Петросян продемонстрировал это на примере конструкторского бюро, из которого в скором времени может уволиться сотрудник. Руководителю не составит труда предположить, кого из коллег он может увести с собой.
По мере наблюдения за применением данного модуля, по первому впечатлению ничто не указывало на то, что его пользователю понадобятся специальные технические знания. Сложная логика, заключенная в простой интерфейс. По словам представителей компании, достаточно пройти обучение, чтобы сотрудник службы экономической безопасности смог осуществлять мониторинг коммуникаций по ключевой сделке (что актуально, например, для предприятия ОПК, заключившего контракт на производство нового вида изделия). К слову, когда зашла речь о применении модуля в сфере оборонно-промышленного комплекса, то возникло предложение назвать данный инструмент «Ива» (с учетом любви разработчиков в сегменте ОПК к таким наименованиям, как «Тополь», «Черемуха», «Акация»).
Журналисты поинтересовались эффективностью модуля в условиях, когда большой объем коммуникаций проходит через личные устройства сотрудников, которые могут вывести их из контролируемого DLP-инструментами поля. Представители компании отметили, что организация неправомерных схем – сложный комплексный процесс, который невозможно координировать исключительно через мобильный телефон. Кроме того, у мошенников тоже есть проблемы с кадрами, которым не всегда хватает системного мышления, чтобы осознавать, где и как они могут «наследить», несмотря на то, что стараются подстраховать свои злонамеренные действия. И пилотные проекты с внедрением DLP-системы позволили выявлять их намерения – «все как на ладони».
В штатах служб безопасности, как правило, нет аналитиков, которые могут адаптировать и настраивать такую систему. Поэтому при создании модуля его разработчики придерживались принципа: пусть меньше функций, но они доступны из «коробки». Инструмент должен обеспечить решение задач безопасности, которые компания-разработчик считает актуальными исходя из своего опыта.
Директор по развитию компании «Ростелеком-Солар» Валентин Крохин отметил зрелость данного решения, которое отличается потенциалом для модернизации. В компании размышляли над тем, что важнее: первыми выйти на рынок с новинкой либо доработать идею с учетом изучения слабых звеньев аналогичных решений. Предпочли второй вариант, заложив возможности непрерывного улучшения инструмента на основе обратной связи. В компании создан закрытый клуб, на заседаниях которого специалисты в сфере безопасности делятся с разработчиками ценной информацией. В начале следующего года представитель компании пообещал сообщить об очередном «козыре», реализованном в Solar Dozor.