Технология предиктивной аналитики в модуле InfoWatch Prediction
Рустам Фаррахов, директор департамента развития продуктов ГК InfoWatch
Расскажу, что такое технология предиктивной аналитики, что хотят пользователи от современных UBA-решений, и представлю возможности обновленного модуля InfoWatch Prediction с технологией предиктивной аналитики и машинного обучения. Увидим, как сильная технология предиктивной аналитики позволяет сфокусироваться на том, что важно, и получить данные для принятия решений.
Предиктивная аналитика в бизнесе для борьбы с утечками
Предиктивная аналитика в бизнесе для выявления рисков и потенциальных угроз на ранних стадиях является актуальной для большинства ИБ-специалистов. Предиктивная аналитика в бизнесе должна прийти на смену устаревшему подходу, когда нарушения выявляются и фиксируются по факту. В вопросе предотвращения утечек предиктивная аналитика в бизнесе позволяет решать ряд важных задач.
На первый план выходит задача контроля и блокировки каналов передачи информации. Однако это только одна сторона вопроса. У этой задачи есть существенные ограничения:
- Каналов становится много — в результате начинается постоянная гонка и необходимость поддерживать различные протоколы, новые технологии передачи данных.
- Смекалистый нарушитель найдёт способ обойти DLP-систему, остаться незамеченным вывести информацию или совершить какое-то другое нарушение.
Появляется ещё одна сторона вопроса: нарушитель, его поведение и мотивация.
И если попытаться найти в поведении некие признаки готовящегося нарушения — это может дать существенный плюс, потому что может вовремя просигнализировать и дать почву для анализа явления и предотвращения будущей утечки.
Опыт заказчиков InfoWatch подтверждает тезис: в 70% случаев перед нарушением поведение сотрудника меняется. А значит, анализ поведения может дать серьёзные преимущества в борьбе с утечками.
Задачей предиктивной аналитики является системное выявление рисков
Задачей предиктивной аналитики является поиск ответа, по каким признакам выявить подозрительных сотрудников. В бизнесе задачей предиктивной аналитики является прогнозирование рисков ИБ. Как правило, такой подход дает гораздо лучшие результаты, чем работа специалиста по ИБ, который работает с данными вручную. Но нужно помнить, что задачей предиктивной аналитики является прогнозирование рисков и выявление подозрительных сотрудников в организациях любого размера, а когда в фокусе внимания специалиста ИБ находятся тысячи сотрудников, просматривать массивы данных и пытаться в них что-то выводить становится невыполнимой задачей.
Значит, нужны специализированные решения — они называются UBA (User Behavoir Analytics), и обычно идут как расширения к DLP-системам. Система даёт некую базу, big data, на основе которых можно строить аналитику.
Зачастую пользователи таких систем озвучивают некоторые минусы:
- Неточность в определении тех или иных признаков. Это связано с тем, что используется ограниченный перечень данных. Например, исключительно данные о коммуникациях — это может не давать полной картины того, что происходит с сотрудником, как он действует, как меняется его поведение.
- Зачастую систем построена на какой-то жёсткой логике, а учитывая, что компании достаточно динамичны, в процессе меняются действия сотрудников, сами сотрудники. Значит, необходимо будет постоянно поддерживать актуальность этих логических моделей, а это тоже задача практически невыполнимая. Как правило, в таком варианте система просто умирает, потому что не может адаптироваться к изменениям.
- Система не дает возможности использовать результаты анализов для решения первостепенной задачи.
Предиктивная аналитика: методы InfoWatch Prediction
Предиктивная аналитика — методы анализа данных для прогнозирования будущих событий и рисков ИБ. На практике предиктивная аналитика методы расчета реализует различными способами. Мы учли это в подходе к разработке InfoWatch Prediction и выявили основные точки, на которых нужно было сфокусироваться. Зная, что предиктивная аналитика методы прогнозирования наступления событий реализует на основе анализа данных, мы уделили этому особое внимание.
- InfoWatch Prediction может использовать на входе любые данные, которые могут быть оцифрованы и из которых можно получить измеримые показатели.
Сейчас для анализа доступны также данные о коммуникациях и о действиях сотрудников — их получают из системы мониторинга действий сотрудников InfoWatch Activity Monitor. Таким образом, мониторинг расширяется, а чем шире охват, тем выше точность выявления каких-то признаков нарушений. - В основе лежат алгоритмы машинного обучения — это позволяет обеспечить максимальную гибкость и адаптируемость системы к изменяющимся процессам в компаниях.
- Пороги устанавливаются индивидуально для сотрудника, они динамичны и меняются, когда система понимает, что норма изменилась.
Основная задача InfoWatch Prediction — своевременно выявлять потенциальных нарушителей, делать это с нужным уровнем качества и точности.
Интерфейс и юзабилити InfoWatch Prediction
Благодаря хорошо продуманному интерфейсу пользователям легко взаимодействовать с InfoWatch Prediction.
Первоочередная задача этой аналитической системы — минимизировать трудозатраты офицера безопасности и обеспечить режим работы, не требующий постоянного «ручного» мониторинга.
В системе уведомлений реализована возможность настройки правил информирования специалистов по ИБ.
Сами уведомления крайне минималистичные, содержат информацию о том, по каким сотрудникам произошёл скачок уровня риска, скачок рейтинга. Получив такое уведомление, офицеру ИБ остается только проверить информацию.
Для этого ему необходимо перейти в консоль InfoWatch Prediction, где отображается полная картина по компании о том, как распределены уровни риска.
Пример работы с уведомлениями в InfoWatch Prediction
Офицер ИБ увидел в уведомлении, что произошёл скачок рейтинга по 3 сотрудникам. В уведомлении содержится распределение общего рейтинга по показателям соответствия группам рискам (сейчас их 6: «Аномальный вывод информации», «Подготовка к увольнению», «Нетипичные внешние коммуникации», «Снижение производительности», «Отклонение от бизнес-процессов»).
Чтобы понять, по каким признакам стоит обратить внимание на данных сотрудников, можно посмотреть в разрезе каждой отдельной группы риска на показатель того, насколько пользователь ей соответствует.
Например, один из сотрудников находится в топе рейтинга вывода информации — это означает, что относительно своих коллег она информацию выводит чаще. Это шаблонный паттерн при подготовке к увольнению.
Следующий сотрудник попал в топ по уровню изменения поведения, у него выросло число нетипичных коммуникаций, наблюдается снижение производительности и отклонение от бизнес-процессов. Можно более детально посмотреть, из чего этот показатель сложился и обнаружить использование нетипичных приложений, активность в нерабочее время. Это может быть признаком того, что сотрудник, возможно, предпринимает какие-то мошеннические действия.
Принцип работы InfoWatch Prediction
На практике модуль предиктивной аналитики InfoWatch Prediction работает следующим образом:
- В компании есть определенное число сотрудников, которые генерируют события; из этих событий формируются данные.
- Система каждый час обновляет результаты анализа, то есть каждый час происходит ее обучение, обновление рейтингов и перераспределение сотрудников по группам рисков.
- На выходе формируется топ проранжированных по уровню риска сотрудников.
- В итоге офицер безопасности получает уже более узкую выборку, либо зайдя в консоль и увидев их в топе, либо в почтовом уведомлении.
Из оцифрованных данных выделяются параметры — измеримые показатели, при этом учитываются все варианты: например, частотность, регулярность, временные показатели, главные тренды — что может быть, и что должно быть в будущем, какие действия считать нормальными и нет.
Всего таких параметров 230+, из них образуются комбинации, которые формируют 20 паттернов поведения, из которых складываются 6 групп риска.
В итоге с помощью InfoWatch Prediction решается основная задача оптимизации работы отдела ИБ: офицер безопасности получает сигналы о том, на что оперативно обратить внимание и дальше может проводить более детальное расследование.
Визуально можно сразу понять, какие события нужно изучить подробнее, если этих данных недостаточно — в распоряжении есть система мониторинга активности сотрудника InfoWatch Activity Monitor. Эта система даёт очень глубокое погружение в то, чем сотрудник занимался (статистические показатели по времени работы, запущенные приложения, посещенные веб-ресурсы и т.д.).
Также существует возможность увидеть, что происходило на рабочей станции — изучить скриншоты, записи с микрофонов, записи о файловых операциях. На основании этого можно с очень высоким уровнем детализации понять, что происходило в течение рабочего дня сотрудника.
Если нужно расширить контекст — например, посмотреть, что происходило с какой-то конфиденциальной информацией или с кем взаимодействовал сотрудник, то в распоряжении пользователя есть модуль Vision, который позволяет отследить все коммуникации.
Ключевая ценность использования InfoWatch Prediction в том, что он резко сокращает требуемое на работу время и внимание сотрудника отдела ИБ.
InfoWatch Prediction построен на основе алгоритм машинного обучения. Это означает, что требуются минимальные настройки, минимальное методологическое сопровождение.
Оптимальный срок обучения системы составляет 4 недели (такой период обеспечивает максимально достоверные данные), но возможен вариант продолжительностью и от 2 недель.
Решение учитывает совокупность разных данных из Activity Monitor и позволяет без сложных когнитивных нагрузок на пользователя разбираться в ситуации и предпринимать действия.
Что нового в последней версии InfoWatch Prediction 2.3
Основным изменением InfoWatch Prediction стало существенное повышение производительности и снижение требований к аппаратным ресурсам — теперь быстрее рассчитываются и обрабатываются данные, требуется меньше «железа» для работы.
Появились новые функции:
- В группе риска «Аномальный вывод информации» появился паттерн использования почты на телефоне.
Возможность синхронизации корпоративной почты с мобильного устройства — канал потенциальной утечки, на который не так часто обращают внимание. В компаниях такой способ работы с почтой обычно считается легитимным, но бывают и аномалии, требующие внимания офицера ИБ — например, если обычно сотрудник ежедневно просматривал по 10 писем, а в какой-то момент начинает скачивать всю почту за год со всеми вложениями.
InfoWatch Prediction подсвечивает такую аномалию в группе риска «Аномальный вывод информации», т.к. это можно считать риском утечки (например, сотрудник может это делать, чтобы вывести закрытую информацию и оставить у себя).
- Дашборд с рейтингами стал более информативным: теперь по каждому показателю группы риска можно посмотреть информацию, из каких паттернов сложился риск и какие показатели по каждому из паттернов.
Демонстрация конкретных цифр повышает прозрачность и понимание того, как был рассчитан рейтинг.
- Добавлены визуальные уровни, которые позволяют быстро сориентироваться, на какое событие стоит в первую очередь обратить внимание.
Чего ожидать в ближайших релизах?
Планируется продолжить расширение возможностей настройки дашбордов, добавить инструменты, позволяющие визуально максимально быстро разобраться в ситуации.
В планах — реализация дашборда, где признаки групп риска будут раскладываться на этапы. В основе тут лежит предположение, что нарушению предшествует ряд признаков, которые можно разложить в последовательность.
Главной задачей остается создание инструмента для офицера ИБ, который вовремя подскажет, на каких сотрудников нужно обратить внимание, предоставит для этого конкретные данные и доказательства. И в итоге снизит нагрузку на службу безопасности в целом и позволит работать на опережение.
Полное или частичное копирование материалов возможно только при указании ссылки на источник — сайт www.infowatch.ru или на страницу с исходной информацией.