Prediction укажет, с кем из сотрудников есть проблема
Степан Дешевых, руководитель отдела развития продуктов ГК InfoWatch
Prediction не требует накопления данных и может быть адаптирован под деятельность любого заказчика.
— UBA – это новый стандарт работы в ИБ? Какой путь прошла InfoWatch в эту модную и уже востребованную область?
В области поведенческой аналитики только ленивый пока не отметился. Чтобы получить сколько-нибудь объективную картину, куда идут мировые тренды, мы проделали масштабное патентное исследование. Результаты отрезвляют. Аномальное поведение и клавиатурный почерк – вот два направления, в которых с конца 2000-х развиваются инновации, а вот, скажем, с психотипированием картина противоположная: несмотря на шум вокруг, реального развития технологий нет. Чуть ли не единственная методика, которая показывает результаты, пригодные к использованию бизнесом, это MMPI, пришла в ИБ из области психодиагностики. О том, как использовать MMPI для задач информационной, кадровой и экономической безопасности мы рассказывали на одном из вебинаров. Применимость всего остального, что есть на рынке – слишком уж спорна.
Мы изучили тренды вдоль и поперек, посмотрели под новым углом на наши технологии и поняли, что можем быть в разы полезнее для решения задач бизнеса со своей DLP-системой, чем все то, что видим сейчас на рынке. У нас есть преимущество – это технологии анализа контента и контекста.
— Про изменения, которые происходят с контентом и контекстом давайте подробнее. Решения каких задач мы ожидаем от технологий?
У нас на глазах разворачивается картина с удаленкой. Сотрудники оказались оторваны от компании. Государство велело их вывести за пределы офиса, прерывать бизнес-процессы при этом нельзя – работа идет. Представьте, что вы какая-нибудь крупная страховая компания, у вас все данные персональные, все данные финансовые, и вы отдаете это клерку домой, а кто там на самом деле работает – не известно. В условиях удаленки людям потребовались дополнительные инструменты коммуникации. И если еще несколько лет назад их было несколько, то сегодня это Microsoft Teams, Zoom, Slack. Кроме того, люди для работы используют Telegram, Viber, What’sApp – очень много мессенджеров, в то время как старые инструменты еще используются, но потихоньку отходят. Как разработчики систем DLP мы не можем просто сидеть на месте и смотреть на это, нам надо реагировать. Это значит, что мы покрываем все больше информационных каналов своей системой, мы их мониторим и это генерирует все больше событий. А какой профит в этом для клиента? Он получает большие данные, в них можно копаться, можно смотреть, можно что-то интересное и важное находить, то есть работать с ними «по-взрослому».
— Как InfoWatch Prediction работает с этими данными?
Огромное море событий в DLP-системе происходит каждый день. Как понять, что на самом деле важно из тех данных, что мы собрали? Мы проанализировали опыт клиентов, опыт эксплуатации наших систем и обнаружили, что в современной системе DLP реализующаяся угроза не выглядит как одно событие. Она выглядит как целая цепочка событий. Эти цепочки более-менее регулярные и повторяющиеся, когда процессы идут нормально, и они начинают отличаться от нормальных, когда что-то идет не так. Часто угрозы похожи между собой в одной и той же компании, реализуются не одинаково, но похожим образом. Что решили с этим делать? Мы накапливаем знания в InfoWatch Prediction о типичных угрозах. Собираем их из нашего опыта эксплуатации, мы собираем их из клиентского опыта и постепенно закладываем в систему. Здесь есть два подхода глобальных, которые используются – это машинное обучение и анализ характерных цепочек информации. Соответственно, Prediction как продукт позволяет в потоке данных выявить самые главные события, на чем стоит сфокусироваться, где это можно приложить. Это информационная безопасность, это экономическая безопасность и, если мы смотрим на вопрос более широко, то это в целом выявление аномалий. Здесь уже заход в сторону не просто безопасности, а в более бизнес-ориентированную историю, когда мы помогаем бизнесу понять, что что-то идет не так.
— Как работает выявление аномалий?
Мы используем целый ряд алгоритмов. От самых простых вроде счета статистик и цепочек событий до Machine Learning. И последние, самые продвинутые алгоритмы, мы используем для выявления характерных паттернов поведения увольняющихся сотрудников. Если какой-то сотрудник вдруг начинает вести себя так же, как те, кто увольнялся ранее, то Prediction привлекает внимание офицера безопасности к этому сотруднику. Сейчас мы достигаем определенной точности, показывая 4 сотрудников из 10, но зато уж если мы на кого-то показали, то с этим сотрудником точно есть какая-то проблема. Другая история – это информационная безопасность. При анализе цепочек событий мы можем выявить, например, как сотрудник небольшими порциями выводил информацию на протяжении продолжительного времени. Есть свои цепочки событий и для экономической безопасности. К примеру, можно выявлять фирмы-«прокладки», за счет которых ваши сотрудники могут зарабатывать.
— Как работают цепочки событий?
В первую очередь мы просто описываем события, которые должны происходить друг за другом или не должны происходить. Например, есть какой-то «карманный» контрагент. Чем он отличается от «некарманного»? Тем, что владелец этого контрагента как-то аффилирован с компанией, хорошо знает внутренние правила и, в общем, никогда не ошибается, когда подает документы. Соответственно, если у нас по бизнес-процессу положен обмен письмами, к примеру, неоднократный запрос-ответ, то у «карманной» компании этот бизнес-процесс всегда будет выполняться строго аккуратно. «Некарманная», которая не аффилирована с внутренним сотрудником или которая только начинает там работать, делает ошибки. И отсутствие ошибок – это всегда повод посмотреть. Мы описываем в терминах DLP-системы, что упало письмо от такого-то контрагента туда, вернулось обратно и так далее строго 5 раз. Произошел обмен – мы знаем, что это ненормально, так как известно, что обычно обмен занимает больше писем. Это пример цепочки. Или, наоборот, что происходить должно и не происходит: «карманный» контрагент не будет поздравлять аффилированного сотрудника с Новым годом. Соответственно, мы ожидаем от всех «некарманных» какой-то активности предпраздничной, а от «карманной» не ожидаем. Такого рода события могут вылавливаться и превращаться в описание цепочки событий.
— Т.е. с цепочками событий можно работать, не дожидаясь, когда соберутся большие данные и система обучится на них?
Да, накопления данных не требуется, это паттерны, которые можно использовать прямо сейчас из коробки. Цепочки могут быть специфичными, поэтому мы можем переложить на клиента настройки системы, чтобы вы меньше занимались ручной работой и рутиной и больше внимания уделяли планированию – то есть тому, для чего человек предназначен. В решении внутренних вопросов, связанных с безопасностью бизнеса и управлением людьми, продукт Prediction находит широкое применение.
Полное или частичное копирование материалов возможно только при указании ссылки на источник — сайт www.infowatch.ru или на страницу с исходной информацией