Недавно во всем мире случился масштабный переход на удаленную работу. В этой статье я расскажу, какие изменения в профилях угроз и поведении сотрудников “увидел” наш модуль анализа поведения пользователей Solar Dozor UBA.
Автор: Галина Рябова, руководитель направления Solar Dozor
С переходом на "удаленку" в запросах заказчиков стали лидировать две потребности:
Важный вклад в решение обоих вопросов внесла аналитика поведения сотрудников на самоизоляции. Но сначала несколько слов об особенностях и архитектуре нашего UBA-модуля.
В качестве основы для анализа в Solar Dozor UBA были выбраны коммуникации пользователей. Если собирать и анализировать всю информацию, которую сотрудник посылает и получает, можно сформировать типовые профили поведения для каждого работника. И именно схожесть реального профиля с эталонным является сигналом для службы ИБ о том, что у человека "все в порядке" или, наоборот, "что-то не так".
Еще в процессе разработки решения стало понятно, что профили поведения обогащают досье сотрудника. Они объясняют, почему он совершает те или иные действия. И если проводить расследование, то сотрудник с профилем поведения становится более понятным и "объемным" для службы ИБ.
Для формирования профиля поведения сотрудника мы используем цифровые коммуникации, пока на базе одного канала – корпоративной почты. Выбор канала был сознательным решением, потому что анализ поведения – это разновидность BI, то есть объемной аналитики. На первом этапе было важно проверить работоспособность самой модели, избежав искажений, а для этого нужны качественные данные. Как производитель DLP мы знаем, что самый надежный канал с наиболее достоверными данными – корпоративная почта. Ну а на ближайшее время уже запланировано подключение новых каналов и прежде всего мессенджеров.
Профиль поведения в UBA – это общность контактов и особенностей трафика. Контакты разделены на группы. Для анализа важно понимать, пересылает ли человек что-то внутреннему адресату или внешнему и имеет ли их общение постоянный или разовый характер. Большую роль также играет "уникальность контакта". Уникальными контактами мы называем тех сотрудников, с которыми больше никто в компании не контактирует. Чтобы выявить такие контакты, нужно проанализировать все коммуникации всех сотрудников. Это объемная работа, но она дает очень много полезных зацепок для мониторинга безопасности.
Благодаря составлению профилей и категоризации контактов во вкладке "досье" модуля UBA можно увидеть рабочую эго-сеть и приватную эго-сеть для каждого сотрудника. Эго-сеть – это устойчивые коммуникации, которые отражают личные взаимоотношения людей (переписка "один-на-один", без других людей в копии).
Помимо профилей, при внедрении модуля UBA были также обнаружены паттерны (модели) поведения, охватывающие сразу несколько пользователей. Сотрудники могут быть из разных отделов, но по каким-то причинам они ведут себя одинаково. Например, используя паттерны, через UBA можно найти всех сотрудников, которые временно отсутствуют около двух недель (что похоже на отпуск). И их профили будут сильно отличаться от профилей так называемых мертвых душ – уже не работающих в компании людей. Паттерны позволяют реализовать дополнительный механизм кластеризации и поиска сотрудников по определенным параметрам.
Через месяц после того, как все перешли на удаленную работу, мы обнаружили ряд важных тенденций. Очевидные вещи, измеренные в реальных числах и показателях, демонстрируют новые угрозы и заставляют задуматься о дополнительных мерах поддержки сотрудников.
Наблюдения показали, что с каждой неделей в удаленном режиме люди все больше работают ночью и в выходные. Теоретически в этом нет ничего страшного до тех пор, пока рассинхронизация персонала не приводит к потере эффективности.
Однако подобный формат стал размывать триггеры для системы мониторинга. Нетипичное время выхода сотрудника в корпоративную сеть больше не является сигналом об опасности. Раньше, если сотрудник входил в систему ночью или в выходные, возникал повод для расследования. Теперь же угроза несанкционированного доступа имеет больше шансов остаться незамеченной.
Информационные активы, ключевая информация компании, стали предметом передачи на постоянной основе, что увеличивает риск утечки. Информация, которая раньше никогда не отправлялась в сеть, в режиме удаленных коммуникаций стала пересылаться регулярно. Например, бизнес-схемы и результаты планерок всегда рисовались на доске и стирались, а теперь хранятся в цифровом виде... Но где? UBA показал, что к большему количеству информационных активов появился удаленный доступ и люди активно этим пользуются (см. рис. 1).
Информационных активов в профилях сотрудников стало больше и по количеству, и по разнообразию. В трафике появились деликатные документы, которые находятся под наблюдением систем DLP. Увеличился и объем пересылаемых данных.
В новой реальности всеобщей работы из дома использование облаков стало неизбежным. И хорошо, если в компании пользуются корпоративными облачными хранилищами с защищенным доступом. Многие, не имея альтернатив, переходят на публичные сервисы, потому что нужно обмениваться файлами. Впрочем, то же самое делают пользователи компаний, у которых есть хранилище, если оно недоступно или, например, пропал доступ к VPN.
Во многих компаниях сотрудники проводят десятки конференций в день, используя ZOOM и т.п. В этих приложениях можно выкладывать файлы, делиться ими. И это еще один потенциальный канал утечки.
Картину дополняет использование сервисов визуализации. То, что раньше рисовали вручную на доске, клеили карточки, теперь оформляется в основном на бесплатных веб-сервисах. И естественно, этот контент никто не защищает.
UBA оказалcя полезен в решении кадровых вопросов. Дело в том, что внутри одной группы у всех ее членов обычно наблюдается приблизительно одинаковая активность. Но, как видно на рис. 2, в нашем примере у одного сотрудника – полная "тишина". Он не отвечает ни на какие сообщения, а остальные только шлют ему письма в надежде на реакцию.
Обычно так ведут себя те, кто не смог самоорганизоваться. Если активность снизилась почти до нуля, значит, нужно вмешаться руководителю. Визуализированная разница в интенсивности работы сотрудников в одной группе является поводом для оценки эффективности своих отделов линейными руководителями.
Наш опыт показал, что в условиях удаленной работы особого внимания заслуживают:
Обычно самыми активными генераторами информационных объектов в компании являются руководители или ключевые сотрудники. Но в пилотной версии у заказчика модуль UBA выявил пользователя "Наталья", не относящегося ни к тем, ни к другим.
Показатели "Натальи" значительно отличались от показателей других сотрудников того же подразделения, что подтолкнуло службу ИБ к анализу.
Анализ показал: все сообщения, которые приходят сотруднику на служебный ящик, перенаправляются на личный e-mail. Да, люди часто отправляют на личный ящик что-то друзьям, родным, но не в таком объеме.
В результате в почтовом трафике оказалось много данных, которые интересны конкурентам: справочники по поставщикам, логистические данные, информация о лицензиях и сроках. Потеряет ли сотрудник доступ к почте? Вполне возможно, потому что ящик заведен на домене list.ru. Налицо массовая утечка служебной информации на неконтролируемый почтовый адрес в режиме переадресации. Без UBA это сложно было бы выявить в условиях удаленной работы.
В целом UBA позволяет увидеть у сотрудников первые признаки как организационных, так и ИБ-проблем, пока они не успели навредить бизнес- процессам компании.
Производитель: "Ростелеком-Солар"
Сертификат: № 3706, выдан ФСТЭК России
Назначение: DLP-система корпоративного класса с функциями анализа поведения пользователей, контроля рабочего времени и объединения филиалов в единую структуру Особенности: MultiDozor связывает все филиальные инсталляции Solar Dozor в единую систему с управлением из центра
100/1000 Мбайт подключение к сетевому оборудованию. Интерфейс RJ45
Ориентировочная цена: по запросу
Время появления на российском рынке: май 2020 г.
Подробная информация: https://rt-solar.ru/products/solar_dozor/
Фирма, предоставившая информацию: "Ростелеком-Солар"
125009, Москва, Никитский пер., 7, стр. 1
Тел.: +7 (499) 755-0770 (офис), +7 (499) 755-0220 (техническая поддержка)
E-mail: info@rt-solar.ru
www.rt-solar.ru