ГК InfoWatch представила новую версию системы поведенческой аналитики InfoWatch Prediction 2.4, в которой успешно реализованы технологии машинного обучения, позволяющие выявлять подозрительные аномалии в поведении сотрудников и вовремя предотвращать инциденты ИБ. Данный продукт способен проанализировать массу на первый взгляд не связанных друг с другом событий и помочь специалисту ИБ найти в них опасные паттерны поведения.

По словам разработчиков, это решение фактически заменяет внутреннее чутье опытного специалиста по кибербезопасности с помощью глубокого анализа больших данных, состоящих из сотен тысяч событий, происходящих в компании.

Система способна вести расчеты более чем по 230 параметрам поведения персонала и распределить сотрудников, совершающих подозрительные действия, по различным группам риска, включающим аномальный вывод информации в облака или на внешние носители, подготовку к увольнению, нелояльность по отношению к организации, подозрительные внешние коммуникации, снижение производительности труда и т.д. За счет высокого уровня автоматизации InfoWatch Prediction, сотруднику ИБ достаточно работать с системой всего 30 минут в день — чтобы вовремя реагировать на актуальные угрозы.

Одной из основных отличительных особенностей обновленной версии системы стал раздел «Карты паттернов». Он позволяет специалистам ИБ оценить как вероятность возникновения инцидента, так и скорость его возможной реализации на практике, благодаря чему удается заблаговременно пресечь развитие опасной ситуации.

«Для большей наглядности уровень риска у каждого из паттернов отмечается цветом: низкий и средний — зелёным и желтым, высокий — красным, говорящим о серьезной угрозе безопасности. Беглый взгляд на карту паттернов позволяет специалисту ИБ грамотно оценить ситуацию и определить то, насколько быстро и какие меры нужно предпринимать для предотвращения инцидента. В частности, это может быть постановка сотрудника на контроль или же, в случае более серьезной проблемы, блокировка его рабочего компьютера», — отметил директор департамента развития продуктов ГК InfoWatch Рустам Фаррахов.

По словам эксперта, при выборе конкретного паттерна в таблице отображается список связанных с ним событий, что необходимо для более детального анализа угроз.

В настоящее время для специалистов ИБ доступны паттерны «Вывод данных» и «Подготовка к увольнению», которые разбиты на три категории:

  • признаки риска. Сотрудник теряет лояльность к компании и ее руководству, он меньше времени стал уделять работе, появились нарушения трудовой дисциплины;
  • подозрительное поведение. Специалист чаще проявляет активность в нерабочие часы, применяет нетипичный для решения служебных задач софт;
  • вывод данных. Пользователь загружает данные на внешние носители, в облачные сервисы и т.д.

«В качестве примера можно представить ситуацию, при которой в поведении одного из сотрудников зафиксированы угрозы на всех стадиях работы с информацией. Об этом свидетельствуют соответствующие паттерны. Допустим, что половина из них отмечена желтым цветом (средний уровень риска), а почти все остальные — зеленым (низкий уровень угрозы). При этом на этапе «Подозрительное поведение» красным окрашен паттерн «Использование личных адресов». Это говорит о вероятности утечки информации, во время которой в красной зоне уже окажутся паттерны последнего этапа — «Вывод данных», — рассказал Фаррахов.

По мнению эксперта, в случае попадания паттернов «Вывода данных» в красную зону, сотруднику ИБ следует принять превентивные меры в виде блокировки передачи данных через электронную почту, запрета использования флешек и облачных сервисов. Это позволит предотвратить инцидент и избежать связанного с ним ущерба для компании.