UBA: Технологии предиктивной аналитики могут снизить нагрузку на ИБ

Когда с помощью DLP-системы уже решена задача по организации предотвращения утечек за счет оперативного и достаточного сбора информации, циркулирующей внутри компании, ее функциональность может быть серьезно расширена. Как успеть за скоростью происходящих вокруг перемен? Для этого нужны современные ИТ-решения, которые позволят анализировать поведение сотрудников при цифровых коммуникациях, будут далеки от шаблонного подхода и станут полноценным помощником для сотрудников ИБ-отдела. 

Как собирать информацию?

В эпоху роста кибератак и внешних ограничений каждой компании важно «держать руку на пульсе» событий, с их собственными бизнес-процессами и персоналом. Эффективная работа любой крупной организации невозможна без инструментов для поддержки принятия управленческих решений — бизнес-аналитики (Business Intelligence, BI-систем). Так, в режиме реального времени можно отслеживать состояние дел в компании, оперативно реагировать на возникающие ситуации и, самое главное, свести к минимуму количество инцидентов информационной безопасности.

«Лучшей практикой отработки бизнесом современных вызовов и угроз информационной безопасности становится использование BI-платформ и инструментов визуализации данных. Главным преимуществом этого класса решений является способность собирать релевантную информацию в достаточном объеме и умение ее оперативно обрабатывать, чтобы работать на уровне прогнозирования рисков, а не по факту их реализации», — считает Марина Маркелова, менеджер по продуктам Prediction и Vision группы компаний InfoWatch.

Сегодня данные являются одним из важнейших активов бизнеса, и их утечка за пределы организации может привести к финансовым и репутационным потерям, а также к утрате конкурентных преимуществ компании. Всё это сделало популярными DLP-решения.

Александр Клевцов,
руководитель направления InfoWatch Traffic Monitor

«Цифровая трансформация бизнеса влечет непрерывную оцифровку все новых и новых массивов информации для перевода бизнес-процессов в «цифру». А «удаленка» внесла множество корректив в практику передачи информации как внутри компании, так и за ее пределы. Например, происходит переход от почты к мессенджерам».

Платформа InfoWatch Traffic Monitor уже много лет умеет концентрировать в себе огромные объемы разноплановой информации. Команда разработчиков этой платформы, решая классические задачи обеспечения ИБ-заказчиков, использует линейку аналитических инструментов и средств машинного обучения (ML), позволяющих резко ускорить новые процессы по кластеризации огромных объемов данных, их разметки для обучения моделей на базе искусственного интеллекта и т.д. Они развивают механизмы перехвата информации любого нового канала передачи как текстовых, так и графических данных.
Эта работа уже привела к тому, что решение InfoWatch Traffic Monitor позволяет быстро реагировать на изменившуюся ситуацию. При этом уникальной для рынка DLP-систем «фишкой» является высокий уровень автоматизации процессов сбора и анализа данных.

Как оцифровать внутреннее чутье ИБ-специалиста?

Происходящие сейчас изменения как в рамках цифровой трансформации, так и в области геополитики, а также вызванные пандемией COVID-19 перемены, сделали привычными разнообразные форматы работы. «Опытный руководитель ИБ знает, как много значит в его работе внутреннее чутье. Оно помогает увидеть скрытую связь между разрозненными событиями и докапываться до истинных причин происходящего. Представьте, что внутреннее чутье можно оцифровать и использовать для анализа огромных массивов данных, не подвластных человеческому мозгу», — так описывает Марина Маркелова суть работы инструментов визуальной и предиктивной аналитики InfoWatch.

Описанная концепция, позволяющая работать на опережение как ИБ-сотрудникам, так и специалистам HR и экономической безопасности, реализована в виде инструментов InfoWatch Vision и решения класса UBA — InfoWatch Prediction. Они позволяют не только анализировать большие массивы данных для выявления причин происходящих в компании событий, но и предвосхищать последствия, заблаговременно реагируя на аномалии.

InfoWatch Vision — система визуализации информационных потоков и поддержки расследований инцидентов. Она работает в связке с DLP-системой InfoWatch Traffic Monitor, расширяя ее функциональность по выявлению и анализу потенциально опасных связей и аномальной активности сотрудников. InfoWatch Prediction — инструмент предиктивной аналитики данных, который с помощью ИИ анализирует поведение сотрудников, формирует группы риска и оповещает специалиста ИБ об опасных тенденциях.

Модуль мониторинга эффективности сотрудников, включенный в InfoWatch Traffic Monitor, снабжает систему информацией, связанной с контролем действий и учетом рабочего времени сотрудников и отвечает на условный вопрос: «Что случилось?». InfoWatch Vision, являющийся системой визуальной аналитики, на основе данных из InfoWatch Traffic Monitor анализирует оперативную обстановку, ускоряя проведение расследований и составление отчетов, и отвечает на вопрос: «Почему это случилось?» Далее к работе подключается InfoWatch Prediction, как средство автоматизации рисков на базе технологий предиктивной аналитики с применением ИИ, который отвечает на вопрос: «Что может произойти?»

Как использовать информацию?

Первое, что BI-система выдает «на-гора» — ежедневные аналитические срезы и наборы графиков. Они говорят о том, как выглядит компания с точки зрения информационных потоков, циркулирующих внутри нее. Например, отлично видно, какие политики ИБ нарушаются, в какие часы и откуда именно работают сотрудники, какие ИТ-ресурсы они при этом используют, как «путешествуют» документы по компании и т.д.

Во-вторых, визуальный граф связей дает возможность с гораздо меньшими трудозатратами заниматься расследованиями инцидентов за счет интерактивного анализа того, как именно коммуницируют между собой сотрудники при коллективной работе над тем или иным документом. Офицеры безопасности при этом обеспечены инструментом, позволяющим быстро интерпретировать миллионы событий, чтобы вычислить пути движения документов, информация из которых подверглась утечке, а также виновных в инциденте лиц.

В-третьих, в больших территориально-распределенных компаниях служба ИБ может оперативно получить объективную картину по любому филиалу из единой консоли управления.

Наконец, снимается «головная боль» множества «безопасников», связанная с составлением отчетов для высшего руководства или регуляторов. Для генерации подобных документов необходимо лишь однажды настроить в интерфейсе шаблоны для выборки требуемых данных. Далее система сама выгружает в Excel сверстанный отчет и автоматически интегрирует в него ту или иную графическую информацию. Причем отчеты можно составлять на любую дату, так как статистика, диаграммы и граф связей строятся «на лету».

Бизнес «на связи»

Важным преимуществом системы InfoWatch Vision стало то, что функционал генерации отчетности можно заменить предоставлением прямого ролевого доступа к системе тем сотрудникам, которым регулярно необходимы те или иные данные. Например, директор по HR может видеть статистику и граф связей по всей компании, а представителю HR из филиала доступны только данные из его подразделения.

Что касается вызовов, связанных с мониторингом персонала, то специалистам многое может рассказать быстрый анализ личных контактов сотрудников. Например, пересылка документов самому себе или коллегам на личную почту является весомым поводом детальнее разобраться с причинами такого поведения. Интересные данные могут дать списки новых посещаемых ресурсов: рано или поздно через эти не известные ранее службе ИБ может произойти утечка информации. Лучше готовиться к этому заранее.

Как осчастливить «безопасника»

Модуль InfoWatch Prediction позволяет сэкономить время и облегчить работу самым разным службам организаций за счет автоматического прогнозирования рисков. Построение динамических моделей поведения и формирование групп риска каждого сотрудника происходит на основе индивидуального скоринга.

Марина Маркелова,
менеджер по продуктам Prediction и Vision, InfoWatch

«Мы твердо придерживаемся позиции, что прогнозирование рисков должно быть в арсенале отдела ИБ любой организации. Более того, для максимального удобства, в InfoWatch Prediction есть предустановленные группы риска. Это, например, «Подготовка к увольнению», «Признаки вывода информации», «Несвойственные внешние коммуникации», «Нецелевое использование ресурсов», «Мертвые души». Новая группа может быть добавлена исходя из задач ИБ организации».

Таким образом, UBA-решение InfoWatch Prediction способно автоматически уведомлять специалиста ИБ без перегрузки его неактуальными деталями. Он получит своевременно данные только для принятия конкретного решения, а не абстрактную характеристику сотрудника.

Огромные массивы информации, собранные DLP-системой InfoWatch Traffic Monitor, получают новое применение благодаря технологиям предиктивной аналитики и искусственного интеллекта. Практическое значение этих бизнес-процессов заключается в том, что удается снизить объем ручного труда дефицитных сегодня ИБ-профессионалов.

Кроме того, BI-система, не перегружая офицеров ИБ промежуточными результатами анализа, способна самостоятельно прогнозировать риски наступления того или иного инцидента. Лишь в нужный момент она проинформирует человека о приближении критического события.

Читать полностью

Новости

Все новости