ГК InfoWatch представила новую версию InfoWatch Traffic Monitor с возможностью предиктивной аналитики данных. Мы пообщались с экспертами ГК InfoWatch и получили ответы на самые интересные вопросы.
1. В чем отличие 7 версии InfoWatch Traffic Monitor от прошлой версии?
Версию InfoWatch Traffic Monitor 7.0 отличает ряд уникальных на рынке ИБ технологий, позволяющих значительно расширить область применения DLP-системы в сторону решения бизнес-задач заказчиков.
Вместе с версией 7.0 стал доступным для пилотов в режиме бета-версии инструмент предиктивной аналитики данных - InfoWatch Prediction для выявления аномального поведения сотрудников и прогнозирования рисков увольнения.
Новая версия решает задачи по созданию коллекций растровых изображений силами заказчика - «Графический классификатор» для обнаружения и защиты графических растровых изображений обогащен технологией машинного зрения. Это позволяет детектировать любые растровые изображения, самостоятельно дополнять, создавать и обучать систему индивидуальными коллекциями через графический интерфейс без специальных знаний и привлечения третьих лиц.
InfoWatch Traffic Monitor теперь интегрирован с MS Exchange Online. Это способ контролировать облачную почту в случае, когда сотрудники работают, в том числе, с личных устройств или когда почтовый трафик уходит за периметр компании. Также обеспечен контроль мессенджеров - What’sApp и Viber.
Новая версия позволяет снизить затраты на пилотирование и эксплуатацию InfoWatch Traffic Monitor для тех заказчиков, которые используют бесплатную операционную систему CentOS. В рамках импортозамещения осуществлена поддержка новой версии Astra Linux для заказчиков, которые используют доверенные ОС для обработки информации особой важности.
2. Что делать с сотрудниками, которых InfoWatch Prediction отнес к группе риска?
Разделение сотрудников по группам риска помогает оптимально распределять ограниченные ресурсы СБ, сосредоточивая основные усилия на сотрудниках, представляющих наибольшую потенциальную опасность для бизнеса. Сложность заключается в реализации концепции групп риска: их становится невозможно выявлять вручную, когда штат компании растет и увеличивается количество параметров, по которым сотрудники попадают в эти группы. Решить эту проблему помогает InfoWatch Prediction, способный автоматизировать выявление признаков принадлежности сотрудника к той или иной группе риска.
Например, никакой UBA-статистикой не выявить устойчивые признаки принадлежности к такой группе риска как "Жизнь не по средствам". Здесь недостаточно результатов анализа одного сообщения или действия - необходима корреляция их множества, "размазанного" по большому периоду времени. Зачастую у безопасника нет времени на подобные сопоставления разрозненных событий, да и при большом числе сотрудников многие события просто невозможно удержать в памяти. Это "ахиллесова пята" всех классических DLP-систем, которая теперь решается InfoWatch Prediction.
Что делать дальше с сотрудником, попавшим в группу риска – в нашем примере, это человек, живущий явно не одну зарплату? В первую очередь проверять легальность его доходов - это может быть сдача квартир, гонорары за графоманство (за исключением гонораров за профессиональные обзоры, с которыми необходимо разбираться отдельно), получение наследства и пр. Следы всего этого, как показывает практика, практически всегда можно найти в DLP-системе. И параллельно проверять сотрудника на возможную причастность к корпоративным мошенничествам. Как именно? Это уже зависит от характера бизнеса, занимаемой сотрудником должности и прочих деталей. Работа с каждой группой риска требует своих методик создания инцидентов и реагирования на них. В InfoWatch это понимают, а потому совершенствуют как методики, так и инструменты автоматизации для их применения. И с расширением областей применения DLP-систем методики становятся не менее, а зачастую и более важными, чем функционал.
3. Насколько трудоемко настроить InfoWatch Prediction для выявления аномалий и подозрительных паттернов поведения сотрудников?
Заказчику не требуется настраивать InfoWatch Prediction самостоятельно. Команда InfoWatch проводит пилотные проекты с полным сопровождением силами своих экспертов по продукту, технической поддержки и внедрения.
Уже сейчас, с предустановленными возможностями, можно определять признаки поведения, свойственные группам риска: намерение уволиться или, например, участие в корпоративном мошенничестве. Если перед компанией стоит другая задача или необходимо обогатить систему своими метриками, экспертная группа InfoWatch настроит модель анализа InfoWatch Prediction под конкретную задачу. Как правило, создание такой уникальной модели занимает не больше месяца. В результате, заказчик получает конкретные и точные данные для принятия решения, которые InfoWatch Prediction выявил в информационных потоках компании и связал между собой в цепочку событий (сценарий) или паттерн поведения сотрудника. Запуск системы для наших текущих клиентов можно сделать в течение одной недели. Для новых клиентов, перед которыми стоит задача выявить аномалии в поведении сотрудников, может потребоваться набор данных, который необходимо собирать в течение 6 месяцев.
4. Возможно не наблюдать за нарушениями пользователей, а просто не допустить их посредством запрещающих политик?
Возможности InfoWatch Prediction начинаются там, где уже невозможно обойтись только установкой правил политик безопасности. Инструмент предиктивной аналитики на основе машинного обучения позволяет автоматически выявлять разрозненные и непримечательные события, относящиеся к конкретному сотруднику, и связывать их в последовательный сценарий, который может оказаться серьезным нарушением, предупреждая офицера безопасности о потенциальной опасности. Поэтому за незначительными событиями наблюдает система, и, в случае, когда они могут привести к серьезным нарушениям, их не допускает СБ. Таким образом, появляется возможность заблаговременно ужесточить политики безопасности для сотрудников, попадающих в группы риска, и предотвратить возможный ущерб.
5. В чем преимущество InfoWatch Traffic Monitor 7.0 среди аналогичных решений конкурентов?
Конкурентным преимуществом InfoWatch Traffic Monitor 7.0 является самое большое количество технологий контентного анализа, от которых зависит качество обнаружения. Например, технология анализа графических изображений, аналогов которой нет на рынке DLP-систем. InfoWatch Traffic Monitor 7.0 распознает классы графических изображений, может точно определить, что на них изображено (даже если раньше их не видел) и перехватить файл из этого класса.
Существенное отличие обновленного решения заключается в интеграционных возможностях. Наличие открытого API помогает вписать DLP-систему в инфраструктуру заказчика и защищать актуальные данные в реальном времени. В том числе, при использовании личных мобильных устройств, облачных приложений, как это реализовано, например, при интеграции с Microsoft 365 и Microsoft Exchange Online.
Наконец, инструменты визуальной и предиктивной аналитики для работы с данными, которые собирает DLP-система, не имеют аналогов на российском рынке. С помощью визуальной аналитики InfoWatch Vision можно строить граф связей на 50 000 узлов и «на лету» перестраивать, используя фильтры различных срезов данных по внутрикорпоративным коммуникациям в масштабе всей компании. С новым инструментом предиктивной аналитики - InfoWatch Prediction можно работать с выявлением рискованных паттернов поведения сотрудника. Пример с выявлением сотрудников, живущих не по средствам, мы уже приводили. А вот еще один – увольняющиеся сотрудники, которые в 2 из 3 случаев (примечание: по материалам исследований экспертно-аналитического центра ГК InfoWatch) копируют данные, чтобы перенести их на новое место работы. Такие копирования могут быть небольшими по объему и детектироваться DLP-системой как мелкие нарушения, а потому -обрабатываться службой безопасности в последнюю очередь или вовсе игнорироваться. Но если проанализировать эти мелкие нарушения на более длительном временном отрезке, да еще совместить их с другими факторами, например, посещением сайтов поиска работы, изменением рабочего графика и др., то картина оказывается совсем иной. От мелкого нарушения мы приходим к группе риска «увольняющиеся сотрудники», далее с помощью визуальной аналитики Vision детально анализируем ситуацию и понимаем, как предотвратить потенциальный ущерб или нарушение.
6. Сотрудники каких подразделений чаще всего попадают в группу риска?
На первом месте по степени риска стоят сотрудники из финансового сектора и бухгалтерии, на них приходится 20% выявленных случаев корпоративного мошенничества. Второе место занимают сотрудники департамента продаж и клиентского сервиса – 14%. На высшее руководство приходится 11% известных случаев*.
В экспертно-аналитическом центре ГК InfoWatch отмечают, что растут риски утечек конфиденциальной информации со стороны подрядчиков. И обращают внимание, что, несмотря на сравнительно небольшой процент нарушителей со стороны привилегированных пользователей (сотрудники, обладающие расширенными правами доступа к информационным системам компании, от сисадмина до руководящего состава), последствия от их действий в большинстве случаев являются наиболее критичными для организации.
* Данные: ACFE Report to the Nations on Occupational Fraud and Abuse (2018).
