User Behavior Analytics и её реалии в России

Дата: 27.08.2021. Автор: Infosecurity a Sofline company. Категории: Статьи по информационной безопасности
User Behavior Analytics и её реалии в России

Автор: Анна Попова, руководитель блока DLP компании Infosecurity.

Введение

User Behavioral Analytics или UBA за последние годы стала довольно модной аббревиатурой. Говоря о технологии поведенческого анализа (именно так она звучит в переводе) специалисты по ИТ и ИБ многозначительно переглядываются, как будто обсуждают нечто совершенно космическое или вовсе неведомое, но при этом очень важное. Что же это? Эффективное решение или всё же маркетинговый ход со стороны разработчиков, превратившийся в модный тренд? Давайте разберёмся по порядку.

Почему анализ поведения пользователя считается относительно важным функционалом? Технология UBA подразумевает под собой анализ действия пользователей на рабочем месте, то есть некий контроль. Умея анализировать поведение, можно предугадать следующий шаг человека. Но здесь важно понимать что конкретно подразумевается под поведением и можно ли сделать какие-то выводы, если речь идёт всего-навсего о данных, которые формируются из набора действий пользователя за компьютером? Конечно, никакое поведение в обычном смысле этого слова мы проанализировать не сможем. Здесь термин куда более широкий, чем тот объём данных, который есть у нас. Даже если мы включим снятие скриншотов экрана каждую секунду. 

Например, пользователь может быть неактивен за рабочим компьютером, но при этом работать, бегая по встречам и принося больше пользы, чем тот, кто проводит целый день, нажимая клавиши. От количества написанных в день писем далеко не всегда зависит продуктивность и эффективность работника, поэтому здесь UBA будет необъективной и бесполезной. Так что тогда полезного в этой технологии? Всё проще. Когда мы имеем дело с организацией, где работают сотни или даже тысячи сотрудников, следить за каждым становится просто невозможно. Большого штата аналитиков DLP-систем, как правило, нет ни у одной компании. А значит полноценно собирать и анализировать информацию по всем работникам обычно некому.

Системы DLP западного образца или их отечественные аналоги призваны собирать как можно больше данных, разрозненных и зачастую бесполезных («фальшпозитив»). Ежедневно с каждого рабочего места собираются сотни скриншотов, тысячи фактов нажатий клавиш, десятки распечаток с принтера, большое количество сообщений из мессенджеров, писем и так далее. Через несколько месяцев или даже недель в этих данных уже невозможно будет разобраться, если их не структурировать и не хранить в применимом виде. И в качестве реализации процесса по сбору и структурированию данных как раз выступает технология поведенческого анализа. 

Автоматизация

Допустим, мы хотим понять тенденции снижения или повышения активности пользователей: кто стал больше печатать на принтере, отправлять аномально большое количество рабочих файлов за периметр сети или, например, работать во внерабочее время. Мы всегда можем увидеть такой срез посредством технологий UBA, алгоритмы которой накапливают информацию по действиям пользователя и определяют некие средние значения «поведения», с которыми затем сравнивают и получают норму или отклонения от неё. Безусловно такой функционал будет полезен в случае, если нет возможности проводить анализ вручную по всем сотрудникам. Технология будет экономить наше время.

Как отметил наш заказчик, для обеспечения информационной безопасности большого количества пользователей, и как следствие, большого количества оборудования и приложений, класс решений UBAидеально решает задачи автоматизированной аналитики поведения, позволяет выявлять нестандартные действия, которые зачастую являются нарушениями.

Обычное поведение VS данные с компьютера

Опять же, всегда нужно помнить, что реальное поведение сотрудника или его поведение за компьютером, с которого мы непосредственно и получаем данные для анализа, может резко отличаться. Сотрудник будет весел, общителен, позитивно настроен, будет показывать хорошие результаты работы, однако, на самом деле, он уже возможно прошёл собеседование на новую работу и ждёт оффер от другого работодателя. Тем временем такой сотрудник будет собирать накопленную у него информацию и предпринимать попытки «вынести» её за периметр компании. Или готовиться сделать это непосредственно накануне увольнения. 

Также непринужденно себя может вести и потенциальный злоумышленник, готовящий мошенническую схему. Мы же понимаем, что пословица «на воре и шапка горит» не всегда справедлива, и грамотный нарушитель никогда не выдаст себя эмоциональным поведением или громкими обвинениями в адрес работодателя. Чаще всего даже наоборот — крикуны, как правильно, ничего и не сделают. 

Обратную ситуацию также можно часто наблюдать. Сотрудник явно потерял интерес к работе, его активность резко упала, результаты работы плохие. Обычно таких сотрудников начинают подозревать в планах на увольнение, но на деле это совсем не так. Вполне можно предположить, что сотрудник мог допустить косяки в работе, за что был поруган начальством, и следствием того стало отсутствие мотивации на дальнейшую работу. Или, возможно, у сотрудника проблемы личного характера.

Превентивные меры

Так или иначе благодаря UBA мы сможем выявлять такие категории данных, а значит будем иметь возможность, проанализировать ситуацию, изменить её и вовремя начать искать решение проблемы. Поведенческий анализ по сути — статистика и динамика. Это анализ через сравнение, сопоставление данных, определение тенденций в разрезе временного промежутка. Всё это позволяет нам сделать вывод и начать принимать меры. Например, те же данные UBA могут быть применимы относительно работы HR-подразделения, который своевременно может решить проблему с уходом сотрудника к другому работодателю или разрешить конфликт между коллегами.  

Командная работа 

Сама по себе технология UBA не даст чётких результатов и не укажет на мошенника в компании. Это скорее вспомогательный функционал, который дополняет другие аналитические данные ИБ-системы, поэтому поведенческий анализ необходимо использовать в связке с другими инструментами или решениями.

Например, в DLP-системах UBA помогает выявить предпосылки к инцидентам и служат в качестве дополнительных данных о сотруднике при серьёзных расследованиях и сборе информации. Если система зафиксировала существенные нарушения политик безопасности, но при этом инцидент не позволяет считать, что это именно злонамеренные действия, здесь помогут данные UBA которые могут служить дополнительным доказательством. Например, что сотрудник стал чаще интересоваться определённым типом документов или чаще посещать конкретную сетевую папку. Дополнением может быть и рабочая переписка, которая также может выявить признаки злонамеренных действий. В итоге, собрав все данные и проведя расследование, можно найти серьёзные доказательства.

Заключение

Мнения относительно эффективности и полезности UBA разнятся. Кто-то считает, что это просто красивый маркетинговый ход, обещающий потрясающие результаты и мгновенное выявление злоумышленников, а кто-то отмечает большую пользу. Один из наших заказчиков подчеркнул, что UBA это не только узконаправленный анализ поведения пользователей, но и аналитика действий и выявление из них нестандартных паттернов, как любого ИТ-оборудования, так и приложений. Это значительно расширяет области применения технологии. А учитывая тенденцию ИБ-рынка к расширению функциональных возможностей систем, такая технология будет большим плюсом в работе с данными как на уровне практической безопасности компании, так и на уровне бизнеса.

Infosecurity a Sofline company

Об авторе Infosecurity a Sofline company

«Инфосекьюрити» (входит в ГК Softline) — специализированный сервис-провайдер, уже более 10 лет оказывающий услуги в сфере информационной безопасности, IT и консалтинга, лицензиат ФСБ России и ФСТЭК России. Компания также занимается разработкой программных продуктов и аналитическим сопровождением по таким направлениям как SOC, DLP, выявление угроз для бизнеса.
Читать все записи автора Infosecurity a Sofline company

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *