Обзор Solar Dozor UBA, модуля поведенческого анализа пользователей


Обзор Solar Dozor UBA, модуля поведенческого анализа пользователей

Центральным объектом внимания любой современной DLP-системы является информационное сообщение в сети электронных коммуникаций. В силу этого главным артефактом на выходе DLP по сей день остаются одномоментные несвязанные события (инциденты) безопасности. Главная же причина всех нарушений — человек, его поступки, мотивы, роль, цели, окружение — остается на втором плане. Решить эту проблему призвана новая разработка «Ростелеком-Солар»: модуль UBA для системы предотвращения утечек Solar Dozor 7.

Сертификат AM Test Lab

Номер сертификата: 275

Дата выдачи: 18.12.2019

Срок действия: 18.12.2024

Реестр сертифицированных продуктов »

 

  1. Введение
  2. Что собой представляет Solar Dozor UBA?
  3. Технические и отраслевые условия применения Solar Dozor UBA
  4. Функциональные возможности Solar Dozor UBA
    1. 4.1. Мониторинг групп риска и опасных тенденций
    2. 4.2. Выявление уязвимых персон и персон с подозрительным поведением
    3. 4.3. Расследование в отношении персоны 
  5. Выводы

 

Введение

Сбор досье на каждого сотрудника вручную, особенно в средних и крупных организациях, — колоссальный труд, который требует непозволительно много человеческих ресурсов высокой квалификации. Если при этом учесть, что такое досье должно поддерживаться в актуальном состоянии и учитывать любые изменения в деятельности сотрудника, то задача становится невыполнимой без использования средств автоматизации.

Современные технологии обработки и анализа больших данных позволяют решать вышеозначенные задачи. Так в 2013 году в справочнике Gartner появился термин «человекоцентричная безопасность» (People-Centric Security), а на рынке корпоративных систем защиты всё активнее стали развиваться решения класса U(E)BA — User (Entity) Behavior Analysis, что обычно переводится как «анализ поведения пользователей и сущностей». Главные перспективы специалисты Gartner видят в интеграции решений UBA и традиционных систем DLP / SIEM / IAM.

Интенсивное внедрение средств защиты от утечек в России аналогичным образом породило спрос на решения класса UBA и предоставляемые ими инструменты выявления аномалий — в дополнение к уже существующим средствам мониторинга событий и инцидентов.

Более подробно о решениях класса UBA, тенденциях их развития и ситуации с ними на российском рынке можно узнать из нашей статьи.

 

Что собой представляет Solar Dozor UBA?

8 октября 2019 года на пресс-конференции в МИА «Россия Сегодня» «Ростелеком-Солар» представила новый модуль поведенческого анализа Solar Dozor UBA, входящий в состав DLP-системы Solar Dozor 7.

Solar Dozor UBA — высокотехнологичный аналитический инструмент, позволяющий формировать поведенческие портреты, искать пользователей по паттернам (характерным особенностям их активности), строить профили устойчивого поведения и выявлять аномальные отклонения от них.

Модуль анализа поведения решает задачи по профилактике угроз безопасности, по реагированию на негативные тенденции в организации, по мониторингу сотрудников, деятельность которых связана с повышенными рисками. Он также содержит функции для предотвращения утечек информации, для оценки рисков безопасности и управления ими, для выявления действий сотрудников, наносящих ущерб организации либо имеющих признаки корпоративного мошенничества, коррумпированности, конфликта интересов, аффилированности. При необходимости с его помощью можно проводить тщательные расследования нарушений.

 

Рисунок 1. Направления использования Solar Dozor UBA

Направления использования Solar Dozor UBA

 

Solar Dozor UBA решает все главные задачи систем своего класса:

  • использование в качестве источников данных различных каналов почтовых коммуникаций сотрудников;
  • мониторинг и анализ различных характеристик поведения сотрудников;
  • обогащение сведений о сотрудниках развернутыми данными об их поведении — формирование поведенческого портрета;
  • определение устойчивых характеристик деятельности — построение профиля поведения;
  • детектирование отклонений от устойчивого поведения — выявление аномалий с расстановкой приоритетов для них;
  • анализ выявленных аномалий во взаимосвязи с событиями безопасности, зафиксированными «родительской» DLP-системой;
  • ретроспективный анализ ранее накопленных данных для обнаружения аномалий поведения в прошлом;
  • выявление интересных с точки зрения обеспечения безопасности взаимодействий сотрудников — особых контактов — с их детальным анализом и переходом к коммуникациям, которые являются их первоисточником;
  • ежесуточное вычисление и предоставление результатов анализа для обеспечения оперативного реагирования;
  • использование временной шкалы для представления полученных результатов анализа во времени;
  • автоматическая адаптация используемой аналитической модели при изменении поведения сотрудников;
  • использование встроенных моделей — паттернов поведения, под которые подпадают персоны с определенными поведенческими особенностями;
  • отслеживание негативных тенденций в поведении сотрудников в разрезах паттернов, к которым они отнесены;
  • использование инструментов гибкой фильтрации и сортировки для проведения расследований.

 

Рисунок 2. Применения модуля анализа поведения Solar Dozor UBA для решения задач UBA

 Применения модуля анализа поведения Dozor для решения задач UBA

Ключевые принципы и идеология Solar Dozor UBA

До начала разработки модуля на протяжении почти 2-х лет проводились аналитические работы, в ходе которых исследовались реальные данные коммуникаций пользователей в ряде компаний, анализировались требования сотрудников безопасности к системам класса UBA, отрабатывались реальные кейсы безопасности в части применения к ним инструментария UBA.

Перечислим основополагающие принципы анализа поведения в Solar Dozor UBA:

  1. Поведение необходимо постоянно анализировать в реальном времени.
  2. Поведение должно описывать деятельность человека (персоны) в свете рисков ИБ.
  3. Поведение может быть устойчивым и неустойчивым.
  4. Анализ устойчивого поведения позволяет находить аномалии поведения.
  5. При анализе поведения одновременно должны учитываться собственные показатели человека (персоны) и их сопоставление с другими персонами — как по всей компании, так и в рамках своего подразделения.

Понятийный аппарат

Группа аналитиков и математиков компании «Ростелеком-Солар» наряду с моделью анализа поведения разработала соответствующий понятийный аппарат. Для того чтобы лучше понимать идеологию и устройство модуля Solar Dozor UBA, целесообразно ознакомиться с основными тезисами этого аппарата.

Поведение сотрудника проявляется через особенности его коммуникаций с коллегами внутри компании и с внешним миром.

Поведение сотрудника рассматривается в виде набора характеристик — показателей поведения. Были подобраны такие показатели поведения, которые, с одной стороны, отражают устойчивые особенности поведения персоны, а с другой стороны, являются чувствительными к существенным поведенческим изменениям.

Показатели поведения сотрудника могут быть сильно изменчивыми — неустойчивыми, а могут быть и устойчивыми. Устойчивые показатели описывают характерное поведение сотрудника или его профиль.

Профиль поведения человека всегда изменяется в определенных рамках, но, как правило, не выходит за них.

Выход любого из устойчивых показателей поведения за рамки профиля фиксируется как отклонение, или аномалия. Аномалии различаются между собой по видам, уровню серьезности и продолжительности.

К показателям поведения относятся:

  • активность — интенсивность отправки сообщений сотрудником внутри компании и за ее пределы, с учетом числа получателей;
  • популярность — интенсивность получения сотрудником сообщений внутри компании;
  • отправка и получение информационных объектов — интенсивность приема и передачи сотрудником значимых для бизнеса артефактов или информационных активов;
  • круг общения — интенсивность коммуникации сотрудника с коллегами в различных подразделениях.

Все показатели проходят процедуру скоринга, то есть измеряются не сами по себе, а на фоне всех сотрудников компании. В организациях различных отраслей понятия «много» и «мало» могут отличаться. Так, например, в конструкторском бюро обмен десятью сообщениями в день с внешним миром — это уже много, а для PR-агентства такое значение будет свидетельствовать, напротив, о низкой активности сотрудника. Скоринг помогает решить эту проблему.

Индекс уязвимости — особый показатель, который обобщает все показатели поведения. Он указывает, насколько сотрудник подвержен различным рискам.

У сотрудников могут обнаруживаться особые связи. К ним относятся неизвестные контакты, приватные эго-сети, рабочие эго-сети.

Если сотрудник компании отправляет письмо на адрес, с которым никто никогда не переписывался, или получает сообщение от такого корреспондента, то это — неизвестный контакт.

 

Рисунок 3a. Особые контакты: неизвестные контакты и приватные эго-сети в Solar Dozor UBA

 Особые контакты: неизвестные контакты и приватные эго-сети

 

Если сотрудник регулярно переписывается с какой-то внешней персоной, с которой в компании больше никто не общается, то эта персона попадет в приватную эго-сеть сотрудника.

По рабочей эго-сети можно определить, с кем регулярно взаимодействует сотрудник внутри компании или во внешнем мире. Персоны из рабочих эго-сетей сотрудников участвуют в коммуникациях с различными людьми в компании.

 

Рисунок 3b. Особые контакты: рабочие эго-сети в Solar Dozor UBA

 Особые контакты: рабочие эго-сети

 

Сотрудники компании похожи по поведению, возникающим аномалиям, особым контактам. По этим признакам работники выделяются в отдельные группы, называемые паттернами.

Для каждого из паттернов можно отслеживать тенденции по изменению численности сотрудников, относящихся к ним. Негативные тенденции, такие как резкое увеличение числа персон с определенными особенностями поведения, могут свидетельствовать о критически значимых процессах, происшествиях и нарушениях безопасности в компании.

Технические и отраслевые условия применения Solar Dozor UBA

Рациональные требования к мощностям

Решение UBA работает совместно с DLP-системой, которая в свою очередь требует определенных ресурсов. Поэтому требования к дополнительным ресурсам должны быть рациональными и соразмерными персоналу организации. Вследствие этих ограничений UBA опирается на метаданные сообщений и событий политики ИБ, сведения об информационных объектах и материалы из досье персон. Канал коммуникаций — корпоративная почта. В планах развития — подключение остальных каналов коммуникаций.

Для модуля Solar Dozor UBA рекомендуется использовать отдельный сервер. Рекомендуемые технические характеристики оборудования: операционная система — CentOS 7.0; количество ядер процессора — от 8; объем оперативной памяти — от 48 ГБ; место на жестком диске для хранения расчетных данных — от 100 ГБ и больше; пропускная способность канала между продуктивным сервером и сервером с Solar Dozor UBA — от 1 ГБ/с.

Благодаря способности адаптироваться под размеры (численность сотрудников) и объемы трафика заказчика модуль Solar Dozor UBA способен полноценно функционировать как в малых организациях, так и в крупных компаниях. Совместно с модулем предоставляется возможность интеграции с отраслевыми политиками DLP Solar Dozor, что позволяет учитывать специфику отрасли и эксплуатирующей организации.

Solar Dozor UBA требуется относительно малый период сбора исторических данных, которые необходимы для полноценной работы и получения корректных результатов. Этот период составляет 2 месяца. Стоит отметить, что уже через 1 месяц Solar Dozor UBA способен предоставлять офицерам безопасности информацию для анализа, а именно сведения об особых контактах сотрудников. Есть возможность загрузить в модуль анализа поведения накопленные данные из архива глубиной в 60 дней на функционирующих площадках с DLP Solar Dozor; тогда Solar Dozor UBA заработает сразу.

За счет бесшовной интеграции с «родительской» DLP-системой развертывание модуля Solar Dozor UBA осуществляется в рамках общего комплекса работ по внедрению DLP или ее обновлению до необходимой версии. Модель поведения, заложенная в Solar Dozor UBA, использует принципы самообучения, что исключает потребность в длительном предварительном конфигурировании модуля анализа поведения. Таким образом, настройки Solar Dozor UBA сводятся к минимуму.

За счет того, что модель расчетов Solar Dozor UBA автоматически адаптируется под изменения в поведении пользователей, снимается необходимость периодического ручного сопровождения модуля в целях перерасчета данных.

Следствием минимизации настроек модуля является то, что резко возрастают требования к снижению числа ложных срабатываний. В модуле Solar Dozor UBA все выводы объясняются максимально понятным для бизнеса языком; существует возможность посмотреть, на основании каких данных и срабатываний DLP-системы они были сделаны.

 

Функциональные возможности и сценарии использования Solar Dozor UBA

Целевая аудитория Solar Dozor UBA:

  • экономическая безопасность,
  • информационная безопасность,
  • мониторинг персонала и управленцы.

Также модуль может быть использован для целей риск-менеджмента.

Среди основных сценариев использования Solar Dozor UBA выделяются следующие.

  1. Мониторинг групп риска и опасных тенденций по паттернам поведения.
  2. Выявление уязвимых персон и персон с подозрительным поведением внутри паттерна поведения.
  3. Расследование в отношении персоны. Совместный анализ аномалий поведения, подозрительных особенностей и связанных событий безопасности.

За первый сценарий отвечает функциональность работы с паттернами поведения. Второй сценарий реализуется с помощью функциональности работы с выборками (группами) персон в отдельно взятом паттерне поведения. Третий сценарий (проведение расследований) осуществляется непосредственно в карточке поведения персоны.

 

Функциональность работы с паттернами в Solar Dozor UBA

Начиная работу с Solar Dozor UBA, следует взять на вооружение возможность автоматического мониторинга сотрудников, относимых системой в группы повышенной уязвимости. Для этого предусмотрена функциональность работы с паттернами поведения.

Пользовательские возможности:

  • получение актуальных данных по группам риска и поведенческим особенностям сотрудников компании;
  • получение сведений об опасных массовых тенденциях в организации.

В Solar Dozor UBA паттерном называется определенный набор особенностей поведения сотрудника, требующий контроля со стороны безопасности. Любой сотрудник может автоматически попасть в тот или иной паттерн либо, напротив, выйти из него.

В настоящее время в модуле предустановлено 19 паттернов поведения, по которым ведется ежедневное отслеживание по всей организации. Для каждого паттерна контролируются опасные тенденции, требующие особого внимания при их появлении.

Разные паттерны поведения отвечают за разные аспекты риска ИБ. Одни сигнализируют о наличии признаков случайных нарушений ИБ, другие — о признаках намеренных утечек значимой информации. В некоторые паттерны попадает значительный круг персон, в ряд паттернов — лишь единицы.

Паттерны поведения доступны в основном разделе «Анализ поведения UBA» и представлены в интерфейсе в виде плашек. На каждой плашке указано название паттерна, его краткое описание, количество персон в паттерне на текущий момент и недельное изменение этого количества — тенденция.

 

Рисунок 4. Плашки паттернов поведения в Solar Dozor UBA

 Плашки паттернов поведения в Solar Dozor UBA

 

По каждому паттерну ведется постоянный мониторинг изменений содержания — анализ массовых тенденций в поведении. Если изменение по объему паттерна значительно, то такие тенденции окрашиваются особым образом. Имеется трехуровневая градация тенденций: нейтральные отмечаются серым цветом, а опасные — желтым и красным.

Тенденции внутри паттернов делятся на 4 типа: сильное снижение, снижение, рост, сильный рост.

Тип тенденции учитывает текущий объем паттерна и зависит от него нелинейно. К примеру, если в паттерне находятся 5 человек, то прирост на 40% (2 человека) не инициирует никакой опасной тенденции. В то же время в паттерне из 100 человек такое изменение будет сразу отмечено как сильный рост.

 

Мониторинг групп риска и опасных тенденций в Solar Dozor UBA

Решаемые задачи:

  • своевременное выявление уязвимостей в бизнес-процессах компании и опасных тенденций, за которыми стоят нарушения безопасности случайного или намеренного характера.

Прежде всего на основном экране модуля Solar Dozor UBA необходимо просмотреть тенденции по паттернам поведения и сопоставить их с реальными факторами, которые могли повлиять на их возникновение.

Стоит иметь в виду, что факторы случайного характера (технические проблемы, проблемы бизнес-процессов, ошибки пользователей и тому подобные) обычно отражаются на тенденциях в следующих паттернах: «Работа ночью», «Работа в выходные дни», «Распространители информации», «Контакты с неизвестными», «Мертвые души», «Отсутствие».

Напротив, появление опасных тенденций, связанных с неслучайными факторами, обычно наблюдается в паттернах «Наличие серьезных аномалий», «Всплеск внешней активности», «Всплеск отправки информации», «Всплеск получения информации», «Сверхактивные», «Сверхпопулярные», «Преобладание внешней активности», «Возможные инсайдеры», «Потребители ИО», «Генераторы ИО», «Наличие приватных эго-сетей».

Наряду с мониторингом опасных тенденций рекомендуется проводить отслеживание групп паттернов «Аномальное поведение». Одновременное наличие опасных тенденций в этой группе и опасной тенденции в другом паттерне повышают вероятность того, что был совершен умышленный вывод ценной для компании информации.

Остановимся на конкретном примере. При беглом просмотре тенденций мы замечаем резкий прирост (на 9 персон) в паттерне «Потребители ИО»; это — те, кто получает и накапливает максимальное количество защищаемых информационных объектов на фоне других сотрудников в компании. Переходим в этот паттерн и выясняем, что вызвало рост.

 

Рисунок 5. Пример резкого изменения числа персон, попадающих в паттерн поведения Solar Dozor UBA

 Пример резкого изменения числа персон, попадающих в паттерн поведения

 

Внутри паттерна «Потребители ИО» можно заметить, что сотрудники, попавшие в него и вызвавшие опасную тенденцию, относятся к одному подразделению — «Отдел технического сопровождения». Все они занимаются техническим сопровождением корпоративных систем и имеют схожие профили поведения и профили особых контактов. Одновременно бросается в глаза крайне высокий уровень получения ИО у всех сотрудников отдела.

 

Рисунок 6. Пример сравнения поведения сотрудников компании из одного подразделения в Solar Dozor UBA

 Пример сравнения поведения сотрудников компании из одного подразделения

 

Рассмотренная тенденция часто связана с нарушениями в бизнес-процессах компании. В данном случае рабочая система приема и обработки заявок стала недоступной ввиду аварийной ситуации в аппаратном обеспечении, и инженеры были вынуждены переключиться (частично или полностью) на прямую обработку заявок по почте.

Здесь сотрудник безопасности своевременно обнаружил уязвимое место в организации рабочих процессов компании и определил причины его появления. Как правило, в таких случаях принимаются управленческие меры по снижению рисков, а соответствующие сотрудники переводятся на особый контроль. Эта возможность также предусмотрена при работе внутри отдельного паттерна.

Анализ паттернов и опасных тенденций самодостаточен для быстрой оценки обстановки, и его можно проводить ежедневно без использования прочей широкой функциональности зоны Solar Dozor UBA. Если обстановка не позволяет определить причины опасных тенденций, то необходимо перейти к следующей функциональной области — «Работа с группами персон».

 

Функциональность работы с группами персон Solar Dozor UBA

На следующем шаге анализа проводится более детальное исследование особенностей поведения сотрудников, заключающееся в работе с выборками персон внутри отдельного паттерна поведения.

Пользовательские возможности:

  • сравнение поведения персон,
  • фильтрация персон по аномалиям поведения и особым контактам,
  • поиск персон, похожих по поведению и аномалиям,
  • постановка персон на особый контроль,
  • анализ статистики по структурным подразделениям внутри паттерна.

 

Рисунок 7. Детальное исследование особенностей поведения в Solar Dozor UBA

 Детальное исследование особенностей поведения

 

Интерфейс этого раздела включает:

  • основную область с карточками поведения персон,
  • раздел статистики,
  • всплывающий фильтр по аномалиям поведения и особым контактам.

Карточки с информацией о поведении персон, выводимые в виде списка, могут отображаться как в компактном, так и в развернутом виде. Для экспресс-мониторинга используется компактный вид карточек поведения. Он позволяет быстро оценить соответствие вхождения персоны в паттерн и сфокусировать внимание на самых важных аспектах безопасности. В компактном виде для каждого сотрудника отображаются ФИО, информация о должности и подразделении, индекс уязвимости и два флажка — наличие у персоны критичных аномалий и событий безопасности за 2 последних месяца.

 

Рисунок 8. Основные сведения для экспресс-мониторинга персон в Solar Dozor UBA

 Основные сведения для экспресс-мониторинга персон

 

Одну или несколько компактных карточек можно развернуть, так же как и все карточки поведения.

Для просмотра ключевых аспектов поведения и сравнения персон предусмотрена возможность развертывания карточки локально. В развернутом виде отображаются:

  • зафиксированные системой аномалии на оси времени,
  • события ИБ на оси времени,
  • индекс уязвимости,
  • особые контакты персоны,
  • показатели нормального для персоны поведения по пятибалльной шкале.

 

Рисунок 9. Информация о поведении персоны в развернутом виде в Solar Dozor UBA

 Информация о поведении персоны в развернутом виде

 

Все аномалии поведения имеют всплывающую подробную легенду с пояснением и временными границами.

 

Рисунок 10. Всплывающая подсказка с детальной информацией о поведенческих аномалиях в Solar Dozor UBA

 Всплывающая подсказка с детальной информацией о поведенческих аномалиях

 

Во время просмотра карточек поведения можно выявить персон с подозрительным поведением и с несвойственным своей роли профилем. Их можно отметить и поставить на особый контроль.

Часто возникает потребность сравнить поведение нескольких персон. Для этого можно также отметить их и воспользоваться командой сравнения. После этого все неотмеченные карточки скрываются; взамен выводятся развернутые карточки выбранных лиц.

 

Выявление уязвимых персон и персон с подозрительным поведением в Solar Dozor UBA

Решаемые задачи:

  • выявление персон с подозрительными особенностями в поведении для постановки на особый контроль и/или последующего выявления инцидента;
  • определение проблемных мест в организации — уязвимых персон со схожими признаками риска.

Этот сценарий предполагает выявление персон, требующих внимания со стороны офицера безопасности. Ключевыми точками в этой области являются должность и подразделение сотрудника, индекс уязвимости, наличие критичных аномалий и событий ИБ. Персоны, деятельность которых содержит большое число аномалий или интерпретируется как несущая высокие риски, нуждаются в повышенном внимании.

Проиллюстрируем этот сценарий использования на примере паттерна «Преобладание внешней активности». Этот паттерн выявляет персон, для которых устойчиво наблюдается преобладание исходящей переписки с контактами из «внешнего мира».

 

Рисунок 11. Поведенческий паттерн «Преобладание внешней активности» в Solar Dozor UBA

 Поведенческий паттерн «Преобладание внешней активности»

 

Данные особенности поведения обычно характерны для сотрудников PR-службы, рекламных и маркетинговых отделов, отделов продаж и подобных им. Такие подразделения располагаются на вершине перечня «Статистика по группам». Поэтому уже на этапе первичного беглого анализа можно заметить, что какие-либо сотрудники с совершенно нехарактерной деятельностью попали в данный паттерн. На это сразу стоит обратить внимание.

 

Рисунок 12. Анализ статистики по группам персон, попавшим в паттерн поведения в Solar Dozor UBA

 Анализ статистики по группам персон, попавшим в паттерн поведения

 

На следующем шаге офицер безопасности может отфильтровать персон из заинтересовавшего его нехарактерного отдела и проверить соответствие должностей и паттерна поведения. Например, персона, занимающая должность младшего аналитика, явно не должна принадлежать к паттерну «Преобладание внешней активности». Помимо этого, наличие у сотрудника высокого индекса уязвимости сигнализирует о том, что с данной персоной, помимо прочего, связан повышенный риск безопасности.

Проверим гипотезу и посмотрим на профили остальных аналитиков в компании. Для этого можно воспользоваться сортировкой по должности.

 

Рисунок 13. Анализ поведения персон в списке в Solar Dozor UBA

 Анализ поведения персон в списке

 

Можно заметить, что профили аналитиков ожидаемо схожи — у всех отсутствует внешняя активность и наблюдается почти нулевой обмен коммерческой информацией. У всех, кроме выявленного ранее младшего аналитика Галкина Касьяна Антониновича. Более высокий индекс уязвимости, наблюдаемый у подозрительного сотрудника, обусловлен в том числе внешней активностью, а также наличием неизвестных контактов и приватных эго-сетей. Последние отсутствуют у его коллег, занимающих такую же должность.

Дополнительным обстоятельством, важным для офицера безопасности, является наличие серьезной аномалии — скачка в получении и отправке информационных активов, защищаемых компанией. Можно также заметить сравнительно малую рабочую эго-сеть персоны — явный признак того, что сотрудник очень мало общается с коллегами из собственного подразделения.

Наличие неизвестных контактов, а тем более внешней приватной эго-сети вкупе с аномалией сбора информационных активов может говорить о подготовке к прямому сливу информации, служить поводом поставить персону на особый контроль. В первом случае мы переходим в карточку поведения, работу с которой рассмотрим ниже. Во втором случае рассмотренную персону тут же можно поставить на контроль с помощью соответствующей опции.

 

Рисунок 14. Постановка персоны на особый контроль при обнаружении подозрительных аспектов поведения в Solar Dozor UBA

 Постановка персоны на особый контроль при обнаружении подозрительных аспектов поведения

 

Далее в качестве предупредительных мер рекомендуется найти в паттерне «Преобладание внешней активности» персон с аномалией сбора информационных объектов компании. Для этого предусмотрен фильтр по всем типам аномалий и наличию событий ИБ.

 

Рисунок 15. Сужение выборки в ходе проведения аналитических действий в Solar Dozor UBA

 Сужение выборки в ходе проведения аналитических действий

 

Мы сузили поисковую выборку с 40 до 3 человек. Одну из трех персон мы уже рассмотрели. Подобным образом, просматривая показатели поведения, особые контакты, серьезные аномалии и события ИБ, мы проверяем оставшихся двух сотрудников.

Работа с карточкой поведения в Solar Dozor UBA

В карточку поведения можно попасть двумя путями: из раздела «Анализ поведения (UBA)» или из досье персоны. Соответственно, этот переход выполняется либо в сценарии мониторинга аномалий поведения внутри паттерна или определенной выборки персон, либо при работе с основным функционалом Solar Dozor, где так или иначе используется досье.

Пользовательские возможности:

  • вывод полной информации и исторической справки о поведении персоны,
  • вывод профилей поведения и особых контактов,
  • представление ретроспективы событий ИБ и аномалий поведения,
  • вывод динамики (истории изменения) всех показателей поведения,
  • раскрытие аналитических показателей через переход к конкретным сообщениям,
  • вывод переписки с особыми контактами: приватные эго-сети, неизвестные контакты, рабочие эго-сети,
  • создание событий и инцидентов ИБ.

В карточке поведения собрана вся информация о поведении персоны:

  • профиль нормального поведения персоны,
  • профиль особых контактов персоны: рабочие эго-сети, приватные эго-сети, неизвестные контакты,
  • паттерны поведения персоны,
  • совместная ретроспектива аномалий поведения и событий ИБ (а также инцидентов ИБ),
  • динамика показателей поведения,
  • специальные зоны детализации.

Остановимся на каждом из пунктов подробнее.

 

Состав карточки поведения в Solar Dozor UBA

Профиль нормального поведения

Профиль нормального поведения включает 6 числовых показателей. К ним относятся внешняя и внутренняя активность, круг общения, популярность, получение и отправка информационных объектов. Числовые показатели, согласно модели поведения, могут быть устойчивыми или неустойчивыми. Устойчивость — это свойство показателя держаться на одном уровне достаточно продолжительное время. Она изменчива: поведение по отдельным показателям может становиться более или, напротив, менее хаотичным.

 

Рисунок 16. Профиль поведения в Solar Dozor UBA

 Профиль поведения

 

Профиль особых контактов

Среди всех контактов персоны особый интерес с точки зрения ИБ представляют тесные рабочие связи, наличие неизвестных контактов и приватные эго-сети. Такие контакты рассматриваются отдельно по внутреннему контуру организации и за его пределами. Тем самым для каждой персоны постоянно анализируется 6 типов особых контактов.

 

Рисунок 17. Профиль особых контактов в Solar Dozor UBA

 Профиль особых контактов

 

Паттерны поведения

О паттернах поведения (группах персон со специфическими для безопасности особенностями) детально говорилось выше. На плашке карточки поведения выводятся все паттерны, которым соответствует персона.

 

Рисунок 18. Типы поведения персоны в Solar Dozor UBA

 Типы поведения персоны

 

Ретроспектива аномалий поведения и событий ИБ

В этой области на оси времени расположены события и инциденты ИБ, а также аномалии поведения. Ее назначение — визуально показать связь между ними, отследить подозрительные серии и цепочки событий и аномалий. Работа с этой областью помогает восстановить картину поведения персоны вокруг связанных с ней событий и инцидентов ИБ, дополняя их новыми отягчающими или смягчающими признаками.

Каждому показателю поведения и особому контакту отведена отдельная вкладка. В ней отражены динамика показателя за период и интерактивная детализация.

 

Динамика показателей поведения

Изменение показателей поведения отслеживается за исторический период в 60 дней. Каждый показатель ежедневно анализируется и оценивается по пятибалльной шкале в сопоставлении со всеми персонами. В интерфейсе это реализовано в виде графика линии поведения на временной оси, где выводятся линия изменения показателя, линия ожидаемого поведения и аномалии. Если показатель перестает быть устойчивым, линия ожидаемого поведения отображается пунктиром.

 

Рисунок 19. Показатель поведения в динамике в Solar Dozor UBA

 Показатель поведения в динамике

 

Зона детализации

К зоне детализации относятся:

  • исторические температурные карты,
  • исторические диаграммы,
  • списки особых контактов.

Зона детализации служит для раскрытия подробностей, связанных с аномалиями и подозрительными особенностями поведения. С помощью этой области пользователь может однозначно определять причины аномалий и интерпретировать значения показателей поведения. Реализуют представление деталей трафика температурные диаграммы в сочетании с осью времени. На таком графике отражается суточная интенсивность по количеству сообщений на протяжении длительного периода времени (30 суток). По оси времени можно двигаться назад и вперед.

 

Рисунок 20. Температурная диаграмма показателя поведения в Solar Dozor UBA

 Температурная диаграмма показателя поведения

 

Еще одной важной ключевой функциональностью зон детализации является интерактивность с возможностью создания события или инцидента ИБ. Пользователь может раскрыть любые нюансы трафика, связанные с аналитическими показателями и аномалиями. Для этого следует указать щелчком мыши в точку любой диаграммы — откроется интерактивный всплывающий список с соответствующей выборкой сообщений.

 

Рисунок 21. Переход от детализации к исходным сообщениям в Solar Dozor UBA

 Переход от детализации к исходным сообщениям

 

На легенде области отображаются ключевые атрибуты каждого сообщения: тема, получатели, время. Пользователь может щелкнуть по любому подозрительному сообщению и открыть большую карточку, где представлены все параметры и содержимое. Тут же для сообщения можно создать событие ИБ или инцидент.

 

Рисунок 22. Создание события или инцидента ИБ в ходе анализа поведения в Solar Dozor UBA

 Создание события или инцидента ИБ в ходе анализа поведения

 

Детализация особых контактов также подразумевает раскладку отправленных и полученных сообщений по каждому особому контакту. Здесь тоже без потери контекста можно вызвать всплывающий список сообщений и открыть любое из них.

 

Рисунок 23. Переход от особых контактов к исходным сообщениям в Solar Dozor UBA

 Переход от особых контактов к исходным сообщениям

 

Проведение расследования в отношении персоны в Solar Dozor UBA

Решаемые задачи:

  • посредством анализа поведенческих особенностей и аномалий выявить инциденты ИБ или их ранние признаки;
  • при разборе инцидента или события ИБ найти отягчающие или смягчающие факторы, выяснить причины и мотивы инцидента, определить возможные последствия.

Первой точкой входа является предыдущий сценарий по выявлению подозрительного поведения персон в ходе работы с паттернами. Если мы выявили сотрудников с подозрительными особенностями в поведении, необходимо подробнее разобраться с причинами подозрений и либо подтвердить их — с последующими мерами по устранению рисков, — либо снять.

Второй точкой входа является разбор определенного события или инцидента ИБ, когда необходимо проанализировать отягчающие или смягчающие поведенческие факторы:

  • предшествующие событию или последовавшие за ним аномалии и их причины,
  • наличие неизвестных контактов и приватных эго-сетей, содержание переписки между ними,
  • соответствие рабочей эго-сети ожидаемому кругу общения персоны,
  • подозрительный профиль поведения, не соответствующий должности или выполняемой деятельности.

Вспомним участника предыдущего сценария — младшего аналитика Галкина Касьяна Антониновича — и рассмотрим его карточку поведения. Напомним, что это был аналитик с очевидно подозрительным (относительно других коллег) профилем поведения, с наличием серьезной аномалии всплеска получения защищаемых информационных объектов и наличием особых — неизвестных — контактов.

При открытии карточки поведения предоставляется основная информация, а именно:

  • профиль нормального поведения персоны,
  • профиль особых контактов персоны: рабочие эго-сети, приватные эго-сети, неизвестные контакты,
  • типы поведения персоны,
  • совместная ретроспектива аномалий поведения и событий ИБ (а также инцидентов ИБ).

Здесь можно заметить у рассматриваемого сотрудника наличие событий ИБ по отправке за пределы компании критичной информации. Также ранее наблюдалась аномалия падения внутренней активности.

 

Рисунок 24. Сведения о поведении и поведенческих аномалиях в досье сотрудника в Solar Dozor UBA

 Сведения о поведении и поведенческих аномалиях в досье сотрудника

 

Перейдем на вкладку активности, чтобы разобраться с причинами и изменениями в поведении сотрудника.

 

Рисунок 25a. Анализ показателей поведения сотрудника: внутренняя активность в Solar Dozor UBA

 Анализ показателей поведения сотрудника: внутренняя активность

 

Здесь мы наблюдаем явное снижение внутренней активности и наличие активности только в дневные часы, хотя ранее она наблюдалась на протяжении всего дня. Можно также заметить постепенное снижение популярности персоны.

Теперь взглянем на внешнюю активность сотрудника и воспользуемся подручным фильтром коммуникаций с неизвестными контактами.

 

Рисунок 25b. Анализ показателей поведения сотрудника: внешняя активность в Solar Dozor UBA

 Анализ показателей поведения сотрудника: внешняя активность

 

Напомним, что у коллег персоны внешняя активность, как правило, отсутствует. Тут же при просмотре исходящих внешних сообщений можно заметить подозрительную переписку с внешним неизвестным контактом — по всей видимости, личным ящиком.

 

Рисунок 25c. Внешняя активность: детализация в Solar Dozor UBA

 Внешняя активность: детализация

 

Перейдем на вкладку «Информационные объекты». Здесь наблюдаются две аномалии. Сначала персона получила аномальное количество защищаемой информации, а затем отправила аномальное ее количество.

 

Рисунок 26. Анализ отправки сотрудником ценных информационных активов в Solar Dozor UBA

 Анализ отправки сотрудником ценных информационных активов

 

Совсем недавно сотрудник снова собрал с коллег значительное число данных.

 

Рисунок 27. Анализ получения сотрудником ценных информационных активов в Solar Dozor UBA

 Анализ получения сотрудником ценных информационных активов

 

Перейдем в особые контакты персоны. Здесь среди внешних неизвестных контактов бросается в глаза ранее показавшийся подозрительным адрес из числа внешних коммуникаций, по всей видимости являющийся личным почтовым ящиком.

 

Рисунок 28. Внешние особые контакты персоны в Solar Dozor UBA

 Внешние особые контакты персоны

 

Напомним, что неизвестным является контакт, с которым в компании за всю историю мониторинга никто не взаимодействовал. Просматривая переписку по этим контактам, можно сделать вывод о том, что персона ведет теневую трудовую деятельность и отправляет на неизвестный внешний ящик и на свой личный адрес программный код — интеллектуальную собственность компании. Это является серьезным инцидентом безопасности.

Попробуем проверить, что еще может стоять за этим инцидентом. Мы помним, что у рассматриваемой персоны (младшего аналитика) по сравнению с его коллегами была крайне малая рабочая эго-сеть (круг тесного делового общения).

 

Рисунок 29. Рабочая эго-сеть персоны в Solar Dozor UBA

 Рабочая эго-сеть персоны

 

Это говорит о слабой вовлеченности сотрудника в выполнение задач и в бизнес-коммуникации. Посмотрим на его переписку с единственным коллегой из рабочей эго-сети. По ней видно, что они обсуждают руководство и сетуют на график работы и зарплату.

 

Рисунок 30. Подозрительная переписка в рабочей эго-сети персоны в Solar Dozor UBA

 Подозрительная переписка в рабочей эго-сети персоны

 

Все эти факторы — аномалии поведения и ближайшие по времени события ИБ, подозрительный профиль поведения, наличие неизвестных контактов и приватных эго-сетей и, конечно же, подтверждение конкретными сообщениями из трафика — говорят нам о том, что сотрудник, вероятнее всего, планирует увольняться и «сливает» данные, которые составляют коммерческую тайну и интеллектуальную собственность компании. Кроме того, он отрицательно влияет на своего коллегу, провоцирует его на халатное отношение к выполнению обязанностей и возможное дальнейшее совместное увольнение.

В таких случаях необходимо принимать срочные меры: проводить беседы с руководством сотрудника, с самим сотрудником, определять пути взаимодействия работодателя и работника для сохранения кадров в том случае, если специалист является высококвалифицированным и ценным для бизнеса.

 

Выводы

Зрелые DLP-системы должны содержать инструменты, которые могли бы обрабатывать большие объемы данных в режиме, близком к реальному времени, анализируя поведение и предотвращая как известные, так и ранее неизвестные угрозы безопасности.

Solar Dozor UBA входящий в состав Solar Dozor 7 способен решать все основные задачи, которые рынок ставит перед системами и модулями класса UBA.

На фоне разработок конкурентов Solar Dozor UBA выделяется тем, что он нацелен на решение широкого спектра задач поведенческого анализа в целях безопасности, а не сфокусирован на смежных вопросах психологического портретирования или узких задачах по выявлению конкретной группы неблагонадежных персон.

Преимущества:

  • Многофункциональность модуля в сравнении с другими представленными на рынке решениями класса UBA.
  • Наличие предустановленных поведенческих паттернов, сформированных на основе аналитического опыта в сфере безопасности.
  • Наличие инструмента отслеживания тенденций по паттернам.
  • Наличие развитого инструментария расследования по группам риска и группам, интересным с точки зрения безопасности.
  • Наполнение карточек персон детальными данными о поведении.
  • Наличие показателей, отражающих стабильные стороны поведения сотрудников и являющихся чувствительными к существенным поведенческим изменениям.
  • Наличие интегрированного показателя поведения, указывающего, насколько сотрудники подвержены различным рискам.
  • Наличие механизмов скоринга, определяющих уровни показателей поведения относительно всех персон компании.
  • Наличие механизмов выявления особых контактов персон — взаимодействий, интересных с точки зрения безопасности.
  • Наличие механизмов классификации и учета длительности аномалий.
  • Наличие разнообразных визуальных представлений данных.
  • Наличие возможности перехода от особых контактов непосредственно к коммуникациям с подозрительными персонами.
  • Возможность анализировать поведение в разрезах групп на особом контроле и групп организационно-штатной структуры.
  • Возможность объяснения используемой аналитической модели.

Недостатки:

  • Невозможно напрямую перейти к контексту, т.е. к исходным сообщениям, на основании которых были сделаны аналитические выводы, из тех областей интерфейса, где отображаются результаты обработки данных. Сейчас эта возможность обеспечивается за счет использования функций поиска в «родительской» DLP.
  • Отсутствует отчетность. Последующее использование результатов работы модуля возможно только посредством снятия скриншотов.
  • Отсутствует возможность консолидации аномалий — автоматического выявления цепочек и групп аномальных отклонений и событий безопасности.
  • Отсутствует возможность оповещения пользователей в случае выявления серьезных аномалий поведения.
  • Поддерживается только один канал коммуникаций — электронная почта.

 

Реестр сертифицированных продуктов »

Записаться на демонстрацию
Запросить пробную версию
Запросить цены
Задать вопрос
Выбор редакции: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.