Группа компаний InfoWatch на форуме GISEC-2018 в Дубае, ОАЭ, анонсировала выход продукта InfoWatch Prediction в классе UEBA (User and Entity Behavior Analytics). Аналитический инструмент предназначен для автоматизированного решения прикладных задач на основе прогнозирования рисков информационной безопасности, которые связаны с кадровой и финансовой политикой, выявлением инсайдерства, компрометации учетных записей, а также другими критичными с точки зрения управления персоналом процессами в организации. Базовым сценарием в первой версии продукта стало заблаговременное определение системой сотрудников, которые собираются уволиться. Коммерческий релиз решения запланирован на 2018 год.
«Идеология InfoWatch Prediction нацелена на решение конкретных задач в области корпоративной информационной безопасности с возможностью проверки результата, — рассказал Андрей Арефьев, руководитель направления перспективных разработок ГК InfoWatch. — Ключевой особенностью нашего продукта является то, что он построен на строгой математической модели и позволяет предотвращать конкретные риски, а также проверить точность работы решения. Мы предоставляем компании инструмент, который позволяет с высокой точностью заблаговременно определить сотрудников, которые планируют покинуть штат, и тем самым минимизировать сопряженные с этим риски информационной безопасности».
Решение анализирует информационные потоки компании (Big Data) и на основании моделей, построенных с применением методов машинного обучения, вычисляет вероятность увольнения сотрудников компании. InfoWatch Prediction рассчитывает индивидуальный рейтинг каждого сотрудника, который может быть положительным или отрицательным. Положительный рейтинг свидетельствует о том, что человек находится в зоне риска, и чем выше показатель, тем больше вероятность его ухода.
InfoWatch Prediction прошел необходимые испытания в инфраструктуре ряда крупных компаний, ежедневно анализируя десятки тысяч событий. По проведенным промышленным испытаниям точность определения сотрудников, которые собираются уволиться, составила 90%. Помимо этого, продукт позволяет заказчику быстро убедиться в эффективности оценки на основании ретроспективной выборки данных.
«Мы можем продемонстрировать клиенту работоспособность системы почти мгновенно, хотя большинству других продуктов в области информационной безопасности требуются месяцы для сбора доказательств эффективности, и клиент вынужден тратить на это свои ресурсы: оборудование, время, деньги, — сообщил Андрей Арефьев. — Продукту достаточно лишь проанализировать данные, полученные с почтового сервера или DLP-системы в компании за последний год, после чего он определяет уволившихся сотрудников, и у клиента есть возможность сравнить этот результат с реальными данными из отдела кадров».
Для офицера безопасности организации выявление увольняющегося сотрудника позволяет применить специальные настройки политик безопасности, установить дополнительный контроль к его действиям и коммуникациям. Кроме того, решение позволяет не только минимизировать риски ИБ, но и будет полезно для реализации управленческого, финансового и кадрового учета в компании.
По словам Андрея Арефьева, издержки от потери работника для организации равны его годовому окладу. Они складываются из многих факторов: низкой эффективности работы сотрудника, намеревающегося уволиться, различных выплат при его уходе, ресурсов и времени, потраченных на поиск новых кадров, а также их последующую адаптацию, добавил он.
Также в рамках форума GISEC-2018 специалисты InfoWatch представили международный учебный центр цифровых технологий и кибербезопасности для стран Ближнего Востока, который направлен на подготовку и повышение квалификации специалистов в области информационной безопасности, интернета вещей, анализа больших данных, искусственного интеллекта, технологии блокчейн и прочих.
Инженер Microsoft Рэймонд Чен рассказал любопытную историю отладки загадочных падений Проводника. Сначала всё выглядело так, будто в Windows внезапно появился неприятный баг. Но виновником оказалась вовсе не Microsoft, а сторонний деинсталлятор.
Проблема проявилась как резкий всплеск сбоев Проводника. Инженеры начали изучать дампы и заметили странную деталь: падала 32-битная версия программы, запущенная на 64-битных системах Windows.
Такая версия Проводника всё ещё есть в Windows ради совместимости со старыми приложениями. Обычно современные системы почти не используют этот путь. Но в данном случае сторонний деинсталлятор каким-то образом заставлял систему обращаться именно к этому устаревшему компоненту.
Дальше выяснилось, что деинсталлятор некорректно работал с системными API: использовал неправильное соглашение о вызовах функций и неверно обрабатывал параметры стека. Из-за этого при каждой неудачной операции данные из стека удалялись неправильно.
Поскольку процесс повторялся в цикле, повреждение памяти постепенно накапливалось. В какой-то момент указатель стека уезжал в область активного кода, и Проводник падал.
Со стороны всё выглядело как типичная системная ошибка: софт снова и снова аварийно завершал работу, создавая ощущение, что проблема в самой Windows. На деле операционная система лишь показывала последствия ошибки в стороннем ПО.
Чен напомнил важную вещь: в экосистеме Windows с миллиардами устройств и огромным количеством приложений далеко не каждый сбой компонента Microsoft означает баг в Windows. Сторонние программы тоже могут ломать системные процессы, особенно если неправильно используют низкоуровневые API.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
