Как искать поведенческие аномалии в компаниях с филиальной сетью
Утечки конфиденциальной информации, коммерческий сговор, конфликт интересов, корпоративное мошенничество — все это неполный список внутренних угроз безопасности, с которыми сегодня сталкиваются российские компании. Особенно сложно противостоять таким угрозам в территориально распределенных организациях с множеством филиалов и большим количеством сотрудников. Максим Бузинов, руководитель исследовательской группы центра продуктов Dozor компании «Ростелеком-Солар», рассказал, как в предотвращении подобных инцидентов помогает система защиты от утечек (DLP), а именно поведенческий анализ коммуникаций сотрудников (UBA).
Содержание |
Как работает UBA
В DLP-системе Solar Dozor разработки «Ростелеком-Солар» есть модуль анализа поведения пользователей (User Behavior Analytics, UBA). Его работа базируется на теориях вероятности, случайных процессов и графов. Модуль UBA в реальном времени анализирует историю коммуникаций каждого сотрудника и автоматически формирует личный профиль его нормального поведения. На основе собранной информации выявляются аномалии в поведении сотрудника. Оно описывается с помощью таких показателей, как внешняя и внутренняя активность, объем полученных и отправленных информационных объектов, круг общения, популярность. Также в системе есть показатель, который обобщает вышеназванные и отражает степень риска совершения сотрудником случайных или намеренных нарушений безопасности, — индекс уязвимости.
Кроме того, модуль ищет работников, которые попадают под значимые для безопасности паттерны поведения, например «Потенциальные инсайдеры», «Признаки увольнения», «Контакты с неизвестными», «Мертвые души» и т.д. — всего 20 паттернов. Проверка сотрудников по ним помогает предотвращать утечки и выявлять уязвимости в бизнес-процессах.
Для предварительного анализа достаточно накопить массив данных о коммуникациях сотрудников в электронной почте и мессенджерах за один месяц, для точного анализа — за два-три месяца.
UBA для организаций с филиалами
Несколько лет назад в DLP-системе Solar Dozor появился модуль MultiDozor. Он был разработан специально для территориально распределенных организаций. Модуль позволяет объединить разрозненные инсталляции Solar Dozor в единую систему, обеспечив централизованное управление и мониторинг инцидентов как во всей организации, так и в конкретных филиалах. По аналогии с этим мы разработали модуль анализа поведения пользователей специально для компаний с филиальной сетью (MultiUBA).
В отличие от стандартной версии MultiUBA предполагает выделение коммуникационных сегментов компании, которые отличает изолированное плотное взаимодействие внутри каждого из них. В самой DLP-системе они называются организационными единицами — например, центральный офис, региональные филиалы, склады и т. п. Такая схема позволяет гораздо эффективнее анализировать поведение пользователей и делать на основе этого определенные выводы, нежели в ситуации, когда единый модуль UBA развернут во всей организации.
Корректная оценка
Модуль UBA оценивает поведение сотрудников по ранговой шкале. Предположим, что мы сравниваем количество тех или иных действий пользователя за компьютером: у кого-то насчитали 62, у кого-то — 21, у кого-то — 0. Затем модуль UBA анализирует всех пользователей и строит гистограмму. У каждой организации она своя и учитывает особенности коммуникаций, их насыщенность. Допустим, пользователь, у которого 62 действия, имеет по ранговой шкале оценку 4,5 балла. Сотрудники, у которых действий значительно меньше, получают более низкую оценку.
Если единый модуль поведенческого анализа развернут во всей территориально распределенной компании без разделения на организационные единицы, то филиалы, в которых коммуникации менее насыщенные, по этой шкале всегда будут иметь более низкие баллы.
Пример. В крупной производственной компании с большим центральным офисом в Москве, 35 региональными филиалами и 12 складами развернута DLP-система с модулем анализа поведения пользователей в его обычной (нераспределенной) версии. Анализируя коммуникации сотрудников, офицер безопасности обратил внимание на то, что сразу в нескольких филиалах, в том числе в складских подразделениях, очень много сотрудников попали в группы особого контроля, в том числе по паттерну «Признаки увольнения». Более глубокий анализ показал, что, сравнивая активность коммуникаций всех работников компании, в том числе центрального офиса, система посчитала низкую активность в региональных подразделениях подозрительной и из-за этого ошибочно распределила сотрудников по паттернам поведения.
Если использовать модуль UBA для территориально распределенных компаний, такой ситуации не возникло бы. В этом случае поведение пользователей анализируется отдельно в каждой организационной единице — к каждому филиалу применяется своя шкала, и баллы выставляются корректно. Поэтому мы не получим завышенные оценки в центральном офисе, где коммуникации сотрудников традиционно более интенсивные, и заниженные оценки в региональных филиалах и особенно на складах, где коммуникационная активность работников, очевидно, значительно ниже.
Учет часовых поясов
Модуль MultiUBA позволяет задать для каждой организационной единицы свой часовой пояс. Это очень важно, так как в системе есть несколько поведенческих паттернов, связанных именно с суточной активностью пользователя. Среди них — признаки увольнения, работа ночью, работа в выходные дни и т. д. Для того чтобы проверять сотрудников территориально распределенных компаний по этим паттернам поведения, нужно учитывать местное время каждого филиала. Если система будет отслеживать начало и окончание рабочего дня, активность в ночное время или в выходные дни сотрудников сибирского филиала по московскому времени, мы получим распределение пользователей по паттернам, которое не соответствует действительности.
Пример. Офицер безопасности головного офиса крупной финансовой организации с отделениями по всей стране обращается к модулю UBA для ознакомления с ситуацией. Он обратил внимание, что в паттерн «Работа в выходные дни» попал один из начальников отдела подразделения на Дальнем Востоке, что ранее было несвойственно для этой организационной единицы.
Зацепившись за этот факт, офицер безопасности проанализировал содержание писем, которые менеджер отправил субботним утром. Заподозрив признаки корпоративного мошенничества, ИБ-специалист передал информацию в отдел по экономической безопасности. В итоге случайная находка, выявленная благодаря модулю анализа поведения пользователей, позволила предотвратить экономический ущерб организации, к которому могли привести недобросовестные действия начальника отдела в дальневосточном филиале.
Инцидент был выявлен именно благодаря тому, что в компании использовался модуль UBA для территориально распределенных организаций, который учитывал местное время. Если бы система отслеживала действия пользователей, ориентируясь на часовой пояс головного офиса в Москве, она бы посчитала, что начальник управления из этого примера засиделся допоздна в пятницу вечером, то есть в рабочий день.
Экономия ресурсов
Как правило, в территориально распределенной организации довольно много филиалов. Например, если компания представлена почти в каждом российском регионе, то их число может составлять несколько десятков. Чтобы офицеры безопасности имели возможность быстро работать с модулем UBA, в интерфейсе предусмотрен предварительный показ тех филиалов, где отмечено больше всего опасных и подозрительных тенденций по паттернам поведения и серьезных аномалий.
К серьезным аномалиям мы относим всплеск внешней активности и всплеск отправки информационных объектов, то есть писем с вложениями. Под тенденцией система понимает недельное изменение в паттерне поведения. Например, в филиале работали по ночам 25-27 сотрудников, и вдруг стали работать 60. Это подозрительная тенденция: может быть, крупный проект, а может и признаки зарождающегося мошенничества. А если в паттерне «Признаки увольнения» было пять человек, а стало 25, то это опасная тенденция.
Специальный дашборд, на котором выводятся филиалы с такими тенденциями и аномалиями, позволяет офицеру безопасности более оперативно отреагировать на потенциально опасную ситуацию и вовремя принять меры. Кроме того, это бережет ресурсы службы ИБ, позволяя экономить время, которое могло быть потрачено на изучение десятков филиалов.
MultiUBA экономит не только ресурсы персонала, но и аппаратные мощности. Создание подкластера позволяет быстрее производить расчеты для модуля анализа поведения. Это особенно актуально для очень больших компаний, где десятки или даже сотни тысяч сотрудников и в обычной конфигурации модулю UBA приходится проводить анализ в огромной базе данных.
Кроме того, благодаря наличию организационных единиц мы можем разграничить права доступа офицеров безопасности, и они будут видеть информацию только по своим филиалам.
Коммуникации между филиалами
При анализе коммуникаций в модуле UBA отдельное внимание мы уделяем так называемым особым контактам пользователя. К ним относятся:
- рабочая эго-сеть — плотный круг общения сотрудника внутри компании;
- неизвестные контакты — внешние контакты, которые есть только у данного сотрудника;
- приватная эго-сеть — контакты, с которыми сотрудник регулярно ведет переписку один на один, при этом больше никто в компании с ними не взаимодействует.
В случае с MultiUBA у нас появляется такая сущность, как кросс-филиальные особые контакты. То есть у сотрудника могут быть рабочие и приватные эго-сети с другим филиалом. Если анализируемый работник не единственный в своем филиале, кто взаимодействует с контактом из другой организационной единицы, мы получаем рабочую эго-сеть. Если же никто из его коллег с этим контактом из другого филиала не взаимодействует, формируется приватная эго-сеть. В случае с обычной версией модуля UBA у нас нет возможности фильтровать контакты по филиалам и отслеживать кросс-филиальное взаимодействие. А в некоторых ситуациях именно факт коммуникаций между сотрудниками из разных филиалов позволяет выявить возможные нарушения.
Пример. Перед выездом с рядовой проверкой в региональный филиал сотрудники службы безопасности производственного холдинга предварительно проводили оценку ситуации с помощью анализа данных DLP-системы в целом и модуля UBA в частности. Внимание специалистов привлек сотрудник экономического блока, активность которого сильно отличалась от общей по департаменту и филиалу в целом. Дополнительное изучение документов показало, что работник был принят в компанию вопреки отрицательному отзыву службы безопасности о нем. Анализ контактов сотрудника выявил приватные эго-сети, в частности он единственный из этого филиала регулярно переписывался с секретарем одного из топ-менеджеров компании из головного офиса. Дальнейшее расследование показало, что указанный сотрудник регулярно допускал нарушения, наносящие финансовый ущерб компании. А личные связи он использовал, чтобы руководство закрывало глаза на его действия.
Выводы
Чтобы эффективно анализировать поведение сотрудников и выявлять внутренние нарушения в территориально распределенной организации, нужно соблюдать ряд правил.
- Паттерны поведения нужно рассчитывать в разрезе филиалов, а не по всей компании в целом. Важно учитывать специфику коммуникаций в каждом филиале.
- Нужно учитывать часовые пояса — это позволит сократить число ложных срабатываний.
- Общая картина аномалий по всем организационным единицам помогает грамотно распределить ресурсы службы ИБ и сосредоточиться на наиболее опасных филиалах.
- Необходимо настроить ролевую модель для распределения областей видимости между офицерами безопасности.
- Важно учитывать коммуникации как внутри одного филиала, так и межфилиальные связи.