Галина Рябова, 05/08/20
Недавно во всем мире случился масштабный переход на удаленную работу. В этой статье я расскажу, какие изменения в профилях угроз и поведении сотрудников “увидел” наш модуль анализа поведения пользователей Solar Dozor UBA.
Автор: Галина Рябова, руководитель направления Solar Dozor
С переходом на "удаленку" в запросах заказчиков стали лидировать две потребности:
- Дополнительная защита рабочих мест, поскольку все риски, связанные с утечками информации, мгновенно и многократно возросли (по сути, стали нужны более функциональные агенты).
- Бизнес обратил внимание на безопасность с точки зрения эффективности работы удаленных сотрудников.
Важный вклад в решение обоих вопросов внесла аналитика поведения сотрудников на самоизоляции. Но сначала несколько слов об особенностях и архитектуре нашего UBA-модуля.
Модуль анализа поведения пользователей
В качестве основы для анализа в Solar Dozor UBA были выбраны коммуникации пользователей. Если собирать и анализировать всю информацию, которую сотрудник посылает и получает, можно сформировать типовые профили поведения для каждого работника. И именно схожесть реального профиля с эталонным является сигналом для службы ИБ о том, что у человека "все в порядке" или, наоборот, "что-то не так".
Еще в процессе разработки решения стало понятно, что профили поведения обогащают досье сотрудника. Они объясняют, почему он совершает те или иные действия. И если проводить расследование, то сотрудник с профилем поведения становится более понятным и "объемным" для службы ИБ.
Для формирования профиля поведения сотрудника мы используем цифровые коммуникации, пока на базе одного канала – корпоративной почты. Выбор канала был сознательным решением, потому что анализ поведения – это разновидность BI, то есть объемной аналитики. На первом этапе было важно проверить работоспособность самой модели, избежав искажений, а для этого нужны качественные данные. Как производитель DLP мы знаем, что самый надежный канал с наиболее достоверными данными – корпоративная почта. Ну а на ближайшее время уже запланировано подключение новых каналов и прежде всего мессенджеров.
Как строится профиль
Профиль поведения в UBA – это общность контактов и особенностей трафика. Контакты разделены на группы. Для анализа важно понимать, пересылает ли человек что-то внутреннему адресату или внешнему и имеет ли их общение постоянный или разовый характер. Большую роль также играет "уникальность контакта". Уникальными контактами мы называем тех сотрудников, с которыми больше никто в компании не контактирует. Чтобы выявить такие контакты, нужно проанализировать все коммуникации всех сотрудников. Это объемная работа, но она дает очень много полезных зацепок для мониторинга безопасности.
Благодаря составлению профилей и категоризации контактов во вкладке "досье" модуля UBA можно увидеть рабочую эго-сеть и приватную эго-сеть для каждого сотрудника. Эго-сеть – это устойчивые коммуникации, которые отражают личные взаимоотношения людей (переписка "один-на-один", без других людей в копии).
Помимо профилей, при внедрении модуля UBA были также обнаружены паттерны (модели) поведения, охватывающие сразу несколько пользователей. Сотрудники могут быть из разных отделов, но по каким-то причинам они ведут себя одинаково. Например, используя паттерны, через UBA можно найти всех сотрудников, которые временно отсутствуют около двух недель (что похоже на отпуск). И их профили будут сильно отличаться от профилей так называемых мертвых душ – уже не работающих в компании людей. Паттерны позволяют реализовать дополнительный механизм кластеризации и поиска сотрудников по определенным параметрам.
Результат работы модуля UBA
Через месяц после того, как все перешли на удаленную работу, мы обнаружили ряд важных тенденций. Очевидные вещи, измеренные в реальных числах и показателях, демонстрируют новые угрозы и заставляют задуматься о дополнительных мерах поддержки сотрудников.
1. Размытие рабочего графика сотрудников
Наблюдения показали, что с каждой неделей в удаленном режиме люди все больше работают ночью и в выходные. Теоретически в этом нет ничего страшного до тех пор, пока рассинхронизация персонала не приводит к потере эффективности.
Однако подобный формат стал размывать триггеры для системы мониторинга. Нетипичное время выхода сотрудника в корпоративную сеть больше не является сигналом об опасности. Раньше, если сотрудник входил в систему ночью или в выходные, возникал повод для расследования. Теперь же угроза несанкционированного доступа имеет больше шансов остаться незамеченной.
2. Резкий рост передачи информационных активов
Информационные активы, ключевая информация компании, стали предметом передачи на постоянной основе, что увеличивает риск утечки. Информация, которая раньше никогда не отправлялась в сеть, в режиме удаленных коммуникаций стала пересылаться регулярно. Например, бизнес-схемы и результаты планерок всегда рисовались на доске и стирались, а теперь хранятся в цифровом виде... Но где? UBA показал, что к большему количеству информационных активов появился удаленный доступ и люди активно этим пользуются (см. рис. 1).
Информационных активов в профилях сотрудников стало больше и по количеству, и по разнообразию. В трафике появились деликатные документы, которые находятся под наблюдением систем DLP. Увеличился и объем пересылаемых данных.
Рис. 1
3. Появление новых уязвимостей
В новой реальности всеобщей работы из дома использование облаков стало неизбежным. И хорошо, если в компании пользуются корпоративными облачными хранилищами с защищенным доступом. Многие, не имея альтернатив, переходят на публичные сервисы, потому что нужно обмениваться файлами. Впрочем, то же самое делают пользователи компаний, у которых есть хранилище, если оно недоступно или, например, пропал доступ к VPN.
Во многих компаниях сотрудники проводят десятки конференций в день, используя ZOOM и т.п. В этих приложениях можно выкладывать файлы, делиться ими. И это еще один потенциальный канал утечки.
Картину дополняет использование сервисов визуализации. То, что раньше рисовали вручную на доске, клеили карточки, теперь оформляется в основном на бесплатных веб-сервисах. И естественно, этот контент никто не защищает.
4. "Выпадение" отдельных сотрудников
UBA оказалcя полезен в решении кадровых вопросов. Дело в том, что внутри одной группы у всех ее членов обычно наблюдается приблизительно одинаковая активность. Но, как видно на рис. 2, в нашем примере у одного сотрудника – полная "тишина". Он не отвечает ни на какие сообщения, а остальные только шлют ему письма в надежде на реакцию.
Обычно так ведут себя те, кто не смог самоорганизоваться. Если активность снизилась почти до нуля, значит, нужно вмешаться руководителю. Визуализированная разница в интенсивности работы сотрудников в одной группе является поводом для оценки эффективности своих отделов линейными руководителями.
Рис. 2
5. Внимание к самым нагруженным отделам
Наш опыт показал, что в условиях удаленной работы особого внимания заслуживают:
- отделы продаж, у которых происходит резкий рост концентрации информационных активов;
- группы техподдержки, для которых характерно колоссальное увеличение объема трафика;
- линейные руководители: у них сильно увеличился рабочий день и растет интенсивность нагрузки. Через две недели переработок по 16 часов в сутки без выходных человек может "перегореть", и его нужно остановить;
- топ-менеджеры: у них резко измени- лось качество работы с информационными активами, им нужно помочь уследить за возможными утечками.
6. Перенаправление корпоративной почты на личный ящик
Обычно самыми активными генераторами информационных объектов в компании являются руководители или ключевые сотрудники. Но в пилотной версии у заказчика модуль UBA выявил пользователя "Наталья", не относящегося ни к тем, ни к другим.
Показатели "Натальи" значительно отличались от показателей других сотрудников того же подразделения, что подтолкнуло службу ИБ к анализу.
Анализ показал: все сообщения, которые приходят сотруднику на служебный ящик, перенаправляются на личный e-mail. Да, люди часто отправляют на личный ящик что-то друзьям, родным, но не в таком объеме.
В результате в почтовом трафике оказалось много данных, которые интересны конкурентам: справочники по поставщикам, логистические данные, информация о лицензиях и сроках. Потеряет ли сотрудник доступ к почте? Вполне возможно, потому что ящик заведен на домене list.ru. Налицо массовая утечка служебной информации на неконтролируемый почтовый адрес в режиме переадресации. Без UBA это сложно было бы выявить в условиях удаленной работы.
В целом UBA позволяет увидеть у сотрудников первые признаки как организационных, так и ИБ-проблем, пока они не успели навредить бизнес- процессам компании.
Solar Dozor 7.2 с модулем MultiDozor
Производитель: "Ростелеком-Солар"
Сертификат: № 3706, выдан ФСТЭК России
Назначение: DLP-система корпоративного класса с функциями анализа поведения пользователей, контроля рабочего времени и объединения филиалов в единую структуру Особенности: MultiDozor связывает все филиальные инсталляции Solar Dozor в единую систему с управлением из центра
Возможности
- Анализ и обработка в режиме онлайн данных о событиях безопасности по компании в целом и по каждому филиалу
- Сквозные расследования инцидентов в масштабе всей компании вне зависимости от степени децентрализации ИТ-инфраструктуры и пропускной способности каналов связи
- Централизованный мониторинг групп особого контроля с помощью единого досье с сотрудниками всех филиалов
- Создание единой для всей компании политики с настройкой изменений под каждый филиал
Характеристики
100/1000 Мбайт подключение к сетевому оборудованию. Интерфейс RJ45
Ориентировочная цена: по запросу
Время появления на российском рынке: май 2020 г.
Подробная информация: https://rt-solar.ru/products/solar_dozor/
Фирма, предоставившая информацию: "Ростелеком-Солар"
125009, Москва, Никитский пер., 7, стр. 1
Тел.: +7 (499) 755-0770 (офис), +7 (499) 755-0220 (техническая поддержка)
E-mail: info@rt-solar.ru
www.rt-solar.ru
