Сюрпризы акционерного общества, или как UBA обогащает DLP
Метод анализа поведения применяется в самых разных сферах нашей жизни, от медицины и защиты природы до спорта и автомобилестроения. Действительно, о нас многое можно сказать по нашим поступкам. В информационной безопасности (ИБ) этот метод реализован в системах анализа поведения пользователей (UBA), появившихся на рынке около 5-ти лет назад. Эти технологии востребованы, поскольку основным источником угрозы в сфере ИБ считаются именно действия человека. Пока на российском рынке существую единицы подобных систем с подтвержденной практикой успешной эксплуатации. О том, как они устроены и что могут, можно прочитать здесь. А ниже аналитик данных Центра продуктов Dozor «РТК-Солар» Анастасия Тимошина расскажет, как UBA помогает специалистам служб безопасности успешнее расследовать запутанные инциденты, дополняя возможности современных средств защиты от внутренних угроз.
Однажды в акционерном обществе
Этот случай произошел в карантинные годы, от генерального директора пришел запрос к модулю Dozor UBA нашей системы защиты от утечек (DLP) Solar Dozor на поиск выгорающих сотрудников. Та история, о которой пойдет речь ниже, была выявлена как бы побочно, но она очень показательна, так как актуальна во многих организациях (особенно в акционерных обществах).
Руководитель компании проводил поиск сотрудников, которые, с одной стороны, демонстрируют аномалию в поведении, выражающуюся в выражающуюся в резком и продолжительном снижении внутренней активности, а с другой стороны, имели критические события, зарегистрированные DLP-системой. Такой поиск можно осуществить в паттерне «Риски», обладающем широким набором удобных фильтров. Таким образом, из 800 сотрудников организации генеральный директор отобрал 3 человека.
Одна из них — сотрудница департамента по связям с общественностью Александра — имела в своем профиле много зарегистрированных событий безопасности именно за последние 3 недели. Частая проблема использования DLP-систем заключается в том, что зарегистрированные события безопасности (которые, например, могут быть как ложноположительными, так и ложноотрицательными срабатываниями) отрабатываются специалистами служб безопасности по одиночке, и никто не ведет статистику, сколько событий было зафиксировано у каждого сотрудника компании. Благодаря применению технологии UBA выяснилось, что за сотрудницей Александрой числится слишком много событий безопасности.
Специалисты службы безопасности знали Александру и сказали, что для этого сотрудника такая картина нормальна в связи с профессиональной спецификой: она периодически публикует различные документы в СМИ и соцсетях. Однако если бы события регистрировались постоянно в ходе выполнения служебных обязанностей, то они бы обнаружились на протяжении всей её работы, а не за последние 3 недели. Углубившись в изучение её коммуникаций, сотрудники службы безопасности установили, что Александра сливала ценную информацию, например, содержание внутренней документации PR-службы компании, сопровождающей подготовку к тендерам PR-агентств. Сотрудница начала себя так вести, потому что собиралась увольняться и решали таким образом подзаработать.Догнать и перегнать: Российские ВКС прирастают новыми функциями 
Второй человек, попавший в настроенные фильтры, — юрист Анна. Как правило, юристам в организации очень сильно доверяют — чувствительность политик DLP-системы для их отделов снижена, так как они постоянно отправляют и получают важную информацию. Увидев Анну в списке отобранных системой сотрудников, специалисты службы безопасности не удивились, сославшись на то, что для юристов такая картина активности нормальна. Однако если бы это было так, то фильтр показал бы несколько юристов, а не одного. Тем более, что для такой должности не характерно резкое продолжительное снижение внутренней активности.
Когда стали изучать действия Анны, то обнаружили факт раскрытия ценной информации о досрочном погашении биржевых облигаций — для акционерных обществ это очень чувствительная информация. 13 августа Анна сначала отправила имеющуюся у неё информацию на согласование 15 законным инсайдерам, а через несколько минут переслала её на личную почту. И только через 4 дня Анна официально отправила эту информацию на раскрытие.
Что произошло за это время? Оказывается, Анна продала информацию о раскрытии, так как мечтала погасить свою ипотеку за 3 года, а не за 30 лет, третьи лица с использованием этих данных смогли отыграть торги ценных бумаг, из-за чего организация, в которой работала Анна, понесла большие убытки. Руководство организации не обращалось по этому поводу в правоохранительные органы, так как было очевидно, что в компании внутренние проблемы, а для акционерного общества признать такое — удар по репутации. После проведения расследования с применением Dozor UBA ситуация прояснилась, и менеджмент смог выдохнуть.
Почему Анна так себя повела? На самом деле, она на протяжении длительного времени нарушала сначала менее критичные внутренние регламенты организации, потом — более критичные. И постепенно поняла, что такие действия остаются незамеченными и безнаказанными, поэтому окончательно осмелела и осуществила раскрытие очень ценной информации. Как правило, такие проблемы часто возникают в крупных организациях, где очень много регламентов, а требования политик DLP для некоторых отделов смягчены, чтобы не дёргать сотрудников службы ИБ каждый день по поводу отправки и получения информационных объектов.
Чем эти расследования оказались полезны сотрудникам службы безопасности? Во-первых, так как инциденты не регистрировались, заметить махинации с ценными бумагами без Dozor UBA было бы невозможно. Во-вторых, Dozor UBA позволила сотрудникам службы безопасности обратить внимание на тех сотрудников, которые на основании одной лишь DLP-системы никаких подозрений не вызывали.
Кроме того, при сливе ценной информации (о партнерстве со СМИ, досрочном погашении биржевых облигаций) не регистрировались события, то есть эти сливы прошли мимо DLP-системы из-за неточностей в настройках политик. Такое бывает, потому что регламенты и типы документов в компании постоянно изменяются, о чём службу безопасности уведомляют не всегда. Благодаря обнаруженным инцидентам в организации были изменены настройки действующих DLP-политик, чтобы они стали более точными и чувствительными. Все это — отличная демонстрация того, как анализ поведения пользователей обогащает DLP-систему.
Как правильно работать с UBA
Опираясь на реальный кейс, попробуем выделить оптимальную стратегию работы с модулем поведенческого анализа Dozor UBA, работающего в синергии с DLP-системой Solar Dozor.
Сначала следует выделить крупные факторы риска, такие как всплеск отправки информационных объектов или всплеск внешней активности. По ним вы получите выборку объемом примерно в 50 человек. Сделать это можно с помощью паттернов или досье. Например, в кейсе, который мы обсудили в рамках этой статьи, был использован паттерн «Риски» — очень удобный и многофункциональный инструмент модуля Dozor UBA.
Затем нужно провести фильтрацию по специальным, более узким рискам. Например, по рискам в области HR — используя анализ активности и популярности персон, или по рискам в области экономической безопасности — используя анализ особых контактов персон. Это ограничит выборку примерно до 10-15 человек, которых следует поставить на некоторое время на контроль. Сделать это можно с помощью настройки дополнительных фильтров. Например, в кейсе, который мы обсудили ранее, использовались фильтры «Исчезновение внутренней активности» и усиливающий факто «зарегистрированы критические события».
И, наконец, следует найти самых выделяющихся сотрудников и провести расследование выявленных у них аномалий, сопоставить их с зарегистрированными инцидентами — это позволит сузить круг угроз до 1-3 человек. Данный шаг уже требует ручного изучения суточной активности наиболее опасных с точки зрения безопасности сотрудников. В кейсе, о котором рассказывалось в этой статье, сотрудники службы безопасности просматривали исходящую коммуникацию сотрудницы департамента по связям с общественностью Александры и юриста Анны.
Подводя итоги, можно сказать, что модуль Dozor UBA — это ценный инструмент обеспечения безопасности, аналитические возможности которого сфокусированы на человеке. Свыше 40 российских компаний с числом пользователей более 36000 в настоящий момент успешно используют его для анализа поведения пользователей. Кроме того, модуль Dozor UBA — единственная на рынке запатентованная технология в этой области. Она позволяет:
- полностью контролировать перемещение информации с ограниченным доступом, в том числе отслеживать неочевидные пути её движения;
- контролировать внутренний климат в коллективе в рамках отдельных подразделений и в организации в целом, а значит, прогнозировать увольнения, замечать выгорание сотрудников и другие кадровые риски;
- выявлять среди сотрудников мошенников, участников сговора, инсайдеров и другие опасные группы.
