В условиях тотальной цифровизации бизнеса, и в первую очередь средств коммуникации, бизнес становится все более уязвимым из-за злонамеренных или неосознанных ошибочных действий персонала.
Подавляющее большинство (88%) участников прошлогоднего опроса CA Technologies заявило о необходимости выявлять критичных инсайдеров с помощью анализа их поведения, а около 30% респондентов сообщили о том, что уже используют автоматизированные инструменты анализа поведения пользователей внутри своих компаний.
Gartner прогнозирует рост затрат на анализ пользовательского поведения до 352 млн. долл. к 2020 году. Хотя этот показатель не самый большой в сфере средств обеспечения информационной безопасности, темпы роста этого сегмента рынка ИБ впечатляют: в 2015 г. он составлял всего 50 млн. долл. Напомним, что первые промышленные инструменты поведенческого анализа пользователей и объектов (User and Entity Behavior Analytic, UEBA; User Behavior Analytic, UBA) появились в 2013 г.
В связи с выше изложенным представляется актуальным выпуск на российский рынок разработанной компанией «Ростелеком-Солар» системы DLP Solar Dozor 7 с интегрированным модулем UBA.
В 2013 г. Gartner ввела термин «безопасность с фокусом на человека» (people-centric security). Именно это стало концепцией развития системы Solar Dozor, и появление в ней модуля UBA стало логичным развитием принятой концепции.
Как пояснил директор по развитию «Ростелеком-Солар» Валентин Крохин, именно DLP-системы являются отличным источником данных для UBA. Главными функциями инcтрументария нового модуля являются: построение профиля нормального поведения сотрудника (т. е. установление устойчивой повторяемости в поведении данного конкретного человека — в его коммуникациях, контактах, в генерируемым им трафике); выявление отклонений от этого профиля в контексте сопутствующих событий; приоритизация отклонений; обеспечение реагирования на эти отклонения; профилактика угроз со стороны персонала, подразумевающая возможность реализации проактивной защиты.
Обнаруженная в ходе работы над модулем UBA схожесть нормального поведения у разных людей подвигла разработчиков из «Ростелеком-Солар» ввести типовые профили — паттерны поведения, объединяющие сотрудников по ряду общих свойств их индивидуальных профилей. Формализация построения паттернов значительно упростит работу безопасников по выявлению угроз. На сегодняшний день определены два десятка паттернов. За паттернами ведётся постоянный контроль на предмет выявления опасных тенденций поведения: резкого изменения паттерна, исчезновения сотрудника из паттерна.
По словам менеджера «Ростелеком-Солар» по развитию направления DLP Solar Dozor Алексея Кубарева, разрабатывая новый модуль системы Solar Dozor, компания ориентировалась на российский рынок DLP-решений, на котором уже присутствуют системы DLP с поддержкой UBA. Однако, как он считает, UBA-модуль Solar Dozor 7 отличает от конкурентов наличие автоматизированного инструмента выявления аномалий, что в разы экономит время и снижает трудозатраты ИБ-специалистов на выявление отклонений и их характера.
Большинство представленных на данный момент на рынке DLP-систем с заявленной функциональностью UBA, как считает Алексей Кубарев, заточены под решение узких задач (в частности, в сфере управления персоналом — поиск увольняющихся сотрудников и т. п.). В то же время инструментарий UBA в Solar Dozor 7 позволяет решать гораздо более широкий спектр задач. В качестве примера он описал детектирование с помощью UBA внешней атаки, когда в коммуникациях увеличивается поток корреспонденции с неизвестных адресов, что характерно для фишинговых рассылок, шантажа и т. п. Он полагает, что, возможно, UBA найдет применение в решении различных косвенных задач.
Директор центра продуктов Dozor компании «Ростелеком-Солар» Галина Рябова сообщила, что задачи, которые решают системы DLP, все больше выходят за рамки ИБ, вливаясь в обеспечение общей корпоративной безопасности. Соответственно расширяется круг решаемых DLP задач. Помимо защиты от утечек, сегодня это задачи экономической и кадровой безопасности, снижения репутационных рисков, выполнения регуляторных требований, борьбы с коррупцией, экстремизмом и терроризмом и др.
Разработчики Solar Dozor 7 считают, что основными потребителями информации, предоставляемой UBA, являются руководители высшего звена компаний. В то же время, технические возможности позволяют анализировать все данные, по всем сотрудникам без исключения. Для UBA топ-менеджер — такой же объект анализа, как и все остальные сотрудники, только со своим паттерном поведения.