Галина Рябова: «Сегодня, чтобы нанести вред компании, достаточно, например, запустить вредоносное ПО, которое превратит все данные “в тыкву”. Один человек может убить все данные компании»

Главная / Интервью / Галина Рябова: «Сегодня, чтобы нанести вред компании, достаточно, например, запустить вредоносное ПО, которое превратит все данные “в тыкву”. Один человек может убить все данные компании»

Галина Рябова:

«Сегодня, чтобы нанести вред компании, достаточно, например, запустить вредоносное ПО, которое превратит все данные “в тыкву”. Один человек может убить все данные компании»

Беседовала Галина Положевец

«Ростелеком-Солар», национальный провайдер технологий и сервисов кибербезопасности, объявил о выходе на рынок DLP-системы Solar Dozor 7 с интегрированным модулем продвинутого анализа поведения пользователей Solar Dozor UBA. Новый модуль в реальном времени анализирует историю коммуникаций каждого сотрудника и автоматически формирует профиль его нормального поведения, а также выявляет отклонения от нормального поведения (аномалии). Одновременно модуль ищет работников, попадающих под важные для безопасности паттерны поведения (группы поведенческих особенностей и аномалий).
Для каких организаций и отраслей предназначено решение с модулем UBA? Нужны ли для его внедрения специально подготовленные люди? Как модуль может быть интегрирован с системой безопасности компании? Может ли его внедрение повлиять негативно на текучку кадров?

На вопросы «БИТа» отвечает директор центра развития продуктов Solar Dozor компании «Ростелеком-Солар»

– Сейчас службы информационной безопасности все чаще не только мониторят инциденты с данными, но изучают и поведение сотрудников компаний. DLP-система Solar Dozor 7 с модулем UBA тоже работает по принципу «безопасность с фокусом на человека». С чем связана эта тенденция?

– Сегодня одна из главных и наиболее обсуждаемых мировых тенденций – цифровизация. В современных компаниях автоматизируется большинство процессов и коммуникаций, которые затрагивают не только внутренних сотрудников, но и внешних участников. В электронном обмене участвуют огромные объемы оцифрованных документов. С одной стороны, это колоссальная экономия времени, удобство и высокая доступность данных. Но с другой стороны, когда процессы и данные глобализированы, системно взаимосвязаны, человек получает гораздо больше возможностей нанести умышленный или непреднамеренный вред компании.

Какой вред мог нанести один человек во времена натурального хозяйства? Прийти на поле к соседу и потоптать его всходы. А чтобы потоптать всходы всей деревне, нужно было очень постараться. Сегодня же, чтобы нанести вред компании, достаточно, например, запустить вредоносное ПО, которое превратит все данные «в тыкву». Трудозатраты несопоставимые. Один человек может убить все данные целой компании.

– Конечно, но одно дело знать, а другое – иметь возможность. Раньше, чтобы украсть данные клиентов, надо было вынести из архива кучу папок или сделать фотографию каждой страницы. А в эпоху электронных архивов достаточно их скопировать на флешку. Я упрощаю, конечно, но в целом идея такова: возможностей у одного человека совершить действия как во благо, так и во зло стало неизмеримо больше. Цифровизация – это и новые возможности, и новый уровень угроз.

– Может ли недобросовестный сотрудник обмануть систему анализа поведения пользователей, имитируя поведение добропорядочного человека? Особенно если он знаком с алгоритмом работы модуля?

– Модуль UBA не дает оценочных характеристик, он беспристрастно фиксирует характерный профиль коммуникаций сотрудника. Триггером для безопасника является изменение характера этих коммуникаций. Или, с другой стороны, поводом присмотреться к сотруднику может стать попадание в один из паттернов поведения. Если безопасник сочтет, что этот паттерн не характерен для данного сотрудника, например в силу его должностных обязанностей.

– То есть обманывать UBA бесполезно, в отличие от той же DLP-системы, которую все же можно обойти?

– Если сотрудник, обладающий специальными знаниями, задастся целью обмануть DLP или любую другу систему безопасности, то очень вероятно, что ему это удастся. Но ведь безопасность – это всегда комплекс мер, причем не только технических, но и организационных. Нет единственного продукта, который стопроцентно защитит от угроз. Мне в свое время понравился образ бронированной двери в чистом поле. Так некоторые компании строят свою систему безопасности: ставят DLP для защиты от утечек, в то время как все сотрудники имеют на рабочих местах права администратора, пользуются публичными почтовыми сервисами и бесплатными облачными сервисами для хранения данных. С другой стороны, безопасность – история вероятностная. Мы все время говорим об оценке и снижении рисков.

Отвечая на ваш вопрос, может ли сотрудник обмануть DLP: если обладает специальными знаниями и задастся целью, то может. Будет ли риск утечки чувствительной информации из компании существенно ниже при использовании DLP-системы? Будет. Но «серебряной пули» нет.

– Похоже, что многие все-таки надеются найти решение, которое обезопасит их бизнес раз и навсегда. А не найдя, разочаровываются, считая, что нет смысла слишком вкладываться в повышение безопасности.

– Есть некий перечень систем, которые мы у себя в отрасли называем «гигиеническими» – такими, без которых нельзя говорить о безопасности бизнеса. Приведу аналогию из жизни. Все знают, что чистить зубы нужно утром и вечером. Защитимся ли мы при этом от кариеса на сто процентов? Нет. Но если мы не будем чистить зубы, то непременно получим кариес.

С безопасностью то же самое. Средства защиты – это некая гигиена. Если ты поставил систему безопасности с модулем UBA, защитился ли ты от утечки на сто процентов? Нет. Защитился ли ты полностью от внутреннего мошенничества? Нет. Но вероятность того, что ты предотвратишь утечки или вовремя заметишь зарождающиеся мошеннические схемы, анализируя аномалии коммуникаций сотрудников, будет значительно выше.

– Как родилась идея создания модуля UBA? Брали ли вы уже существующие на мировом рынке решения за образец?

– Впервые аббревиатура UBA (тогда еще UEBA) появилась в нашей внутренней переписке в 2015 году, сразу после выпуска 6-й версии продукта. Мы тогда перешли от концепции «DLP как инфраструктурная система» к концепции «DLP как бизнес-система». Традиционно логика работы и интерфейс DLP-систем был нацелен на пользователей, имеющих солидный ИТ-бэкграунд: системы работали с низкоуровневыми объектами, такими как почтовые адреса, ip-адреса, логины, протоколы и пр. Данные были доступны в основном путем поиска в архиве, причем поиска в логике SQL-запросов.

Мы же предложили рынку обновленную систему, которая работала с привычными офицеру безопасности сущностями: событие ИБ, инцидент ИБ, объект защиты, коммуникация, сотрудник, группа особого контроля. Мы автоматизировали основные рутинные сценарии работы и сделали готовые срезы данных под эти сценарии для принятия решений. Все сценарии так или иначе сходились к трем фокусам: нарушение, информация и, самый основной, сотрудник. Родилась концепция «безопасность с фокусом на человека» и первые элементы анализа поведения сотрудника: скоринговый показатель «уровень доверия» и определение нехарактерных контактов.

Обратились к мировому опыту и обнаружили, что Gartner также предложил концепцию People Centric Security и что на рынке как раз зарождается технология UEBA (User and Entity Behavior Analytics). Мы поняли, что двигаемся в правильном направлении.

Тем временем новая версия системы, которая уже не требовала от пользователя специальных знаний в ИТ-области, стала привлекать специалистов из других подразделений службы безопасности, в первую очередь, специалистов экономической безопасности. Стало формироваться устойчивое понимание, что можно на порядок повысить эффективность DLP, решая, помимо задачи защиты от утечек, целый ряд задач безопасности.

Например, внешняя целевая атака всегда зарождается внутри организации. Сначала идет социальный инжиниринг, находят инсайдера, с ним договариваются. Где? Обычно в цифровых каналах связи, потому что это быстрее, удобнее и привычнее – сейчас мир ведет дела так.

Думаю, что любая мошенническая схема с большой вероятностью найдет свое отражение в корпоративных цифровых коммуникациях. У меня есть любимая история про воровство обсадных труб для нефтяных скважин. Казалось бы, где DLP и где обсадные трубы?

– И правда. Неужели DLP-система обнаружила эту схему?

– Представьте, да. В одной компании мы как-то разговаривали про защиту от утечек. Наш собеседник был настроен скептически. «Ну сколько я потеряю на утечке? – рассуждал он. – Столько-то плюс репутационные риски. Конечно, плохо, но это что! Вот у меня трубы обсадные воруют. Знаете, какие у нас там финансовые потери?!».

Мы задумались, как DLP-система может решить эту проблему. Ведь что такое обсадная труба? Ты ее в кармане не унесешь. Воровство обсадных труб – это протяженный во времени, организационно сложный проект, в который вовлечено несколько подразделений организации и внешние участники. Все коммуникации между участниками происходят в рабочее время, когда сотрудники находятся на рабочих местах. Мы предположили, что эти коммуникации не могут не оставить следа в архиве DLP. И они оставили. В результате проведенного расследования была раскрыта мошенническая схема.

У обсадной трубы есть условный срок годности. Ее можно опускать в скважину лишь ограниченное количество раз. После этого труба каждый раз проходит сертификацию, которая подтверждает, можно ли ее еще эксплуатировать или же пора списать и утилизировать. Есть гарантированный срок эксплуатации, что называется, «с запасом»: предположим, можно использовать трубу три раза. На самом деле, на практике можно раз пять. Просто для этого необходимо получить отдельное подтверждение.

Какую мошенническую схему мы выявили? По сговору сертификационная комиссия списывала трубу после минимальных трех раз. Новую трубу продавали «налево», а старую, еще годную к эксплуатации, использовали еще два раза, выдавая за новую. И так далее.

В принципе понятно, что система DLP сама по себе не защитит от этой угрозы. Но если человек понимает, где искать причину, у него появляется мощный инструмент для того чтобы найти подтверждение своей гипотезы или увидеть признаки мошенничества.

Эта история, в частности, подвела нас к необходимости развивать аналитику. Все схемы мошенничества сводятся к человеку. Но расследование инцидента, как правило, начинается после того, как он уже произошел. Можно ли его предотвратить?

Тема UBA возникла из идеи профилактики. Одним из способов профилактики является реагирование на изменение устойчивых схем поведения. По такому принципу, например, работают SIEM-системы, основанные на построении характерного профиля для роли или должности, а событием ИБ считается отклонение от профиля. Каждое событие расследуют, хотя не каждое отклонение от профиля является инцидентом.

И мы подумали: а почему бы нам в DLP не реализовать тот же подход? Если будем анализировать все коммуникации, по каким-то параметрам оценивать их количественные и качественные показатели, то у нас тоже сформируется характерный профиль поведения конкретного человека. А дальше можно мониторить резкие отклонения от этого профиля, которые для безопасника являются «красным флажком». Его задачей будет узнать, связаны ли эти аномалии поведения с рисками безопасности или, к примеру, с изменением должностных обязанностей. Модель модуля UBA вполне гибкая, она учитывает индивидуальные особенности поведения каждого сотрудника. И вместе с тем это достаточно простой прикладной инструмент, с которым безопасник может решать практические задачи.

В процессе апробации прототипа UBA, анализируя профили коммуникаций сотрудников, мы увидели, что есть сотрудники, которые решают разные задачи, работают в разных подразделениях, а профили поведения у них похожи по ряду показателей. Тогда появилось понятие «паттерн поведения» – характерный профиль коммуникаций, отражающий некоторые особенности попадающих под него сотрудников. Первые два паттерна, которые мы четко выделили, были «отпускники» и «мертвые души», так мы их назвали.

«Отпускник» – это человек, который реально работает в компании, но по какой-то причине длительное время отсутствует: уехал в командировку, в отпуске, болеет. А «мертвая душа» – это человек, которого уволили/который ушел из компании, но которого забыли исключить из списка сотрудников (или специально не стали) и заблокировать его учетную запись. Паттерн «мертвая душа», кстати, характерен для мошеннических схем там, где есть подразделения с большой текучкой кадров. Например, кол-центры или аналогичные структуры. Существуют схемы, когда уволившихся сотрудников на месяц-другой оставляют в зарплатном проекте, присваивая их заработную плату.

– Мы сделали 19 паттернов, они не все решают конкретную конечную задачу безопасности, некоторые из них подводят к решению. Например, у нас есть паттерн «потребители информационных объектов». Это люди, к которым стекается либо широкий перечень информационных объектов, либо большое количество экземпляров информационного объекта. Чем это может быть потенциально опасно? Например, компания не разглашает условия договора с каким-то контрагентом. Если у вас утек этот договор, другие контрагенты могут потребовать условия не хуже, чем у него. А если ушло три сотни таких договоров? Потенциальный вред от утечки будет несоизмеримо выше. Служба безопасности может оценить риски накопления теми или иными сотрудниками чувствительной информации и предпринять меры по снижению таких рисков. И это вопрос не только потенциальных утечек.

Например, когда мы у себя в компании пилотировали проект UBA, то обнаружили, что инженеры первой линии поддержки попали в этот паттерн по причине непродуманного бизнес-процесса. И тогда мы изменили бизнес-процесс, чтобы снизить риски.

– Сейчас на рынке UBA есть два вида решений. Это UBA (UEBA)-платформы, которые можно интегрировать с разными системами безопасности и ИТ-системами компании, построить аналитическую модель угроз под конкретную компанию, собрать большие объемы данных, очистить их и только потом начать получать пользу. При этом, как показывает практика, такие проекты отнюдь не всегда доводятся до конца в силу их протяженности и ресурсоемкости.

Второе направление – это UBA-модули прикладных систем, например, DLP. Наше DLP-решение с модулем UBA анализирует поведение сотрудников не во всем его многообразии, а лишь коммуникации. И выводы делает только те, которые можно сделать по коммуникациям. Вот такое ограничение.

Однако наша модель – концептуально полная, базирующаяся на данных, которые DLP-система гарантированно получит и чистоте которых мы доверяем. Решает этот модуль понятный набор задач. И, что немаловажно, решает их «из коробки».

Пока к модулю Solar Dozor UBA подключен только канал корпоративной почты. Это сделано специально. Почему? Потому что нам хотелось взять для анализа самые чистые данные. Корпоративная почта, с точки зрения того, как устроен перехват информации, привязка перехватов к конкретному сотруднику, представляет собой самую понятную и гарантированную информацию.

Это первая причина. Вторая – сейчас мы хотим отработать нашу модель на реальных проектах. Хочется внедрить ее, пустить в промышленную эксплуатацию, получить результат, проанализировать и понять, куда нужно развиваться.

Архив коммуникаций есть практически у всех. Вместе с DLP-системой внедряется и модуль UBA. Никаких ограничений для его установки нет, это, я считаю, наша большая заслуга. Для анализа необходим архив коммуникаций за два месяца, чтобы сказать, где, по каким параметрам сотрудник показывает устойчивое поведение, а по каким нет. Вся работа автоматизирована.

– Скажите, пожалуйста, а где вы его тестировали?

– Конечно, прежде всего, в нашей компании; это важно, потому что внутри компании мы можем наложить свое знание о реальных людях, бизнес-процессах на то, что нам дает система. И еще у нас есть партнер – компания «Инфосекьюрити», единственный в России аутсорсер эксплуатации DLP-систем. Там тоже изучали наш модуль UBA на всех его стадиях и пилотировали у себя. Также в пилотировании прототипа модуля принимали участие три наших заказчика. Сейчас, после выпуска релиза, идет активная апробация модуля как на пилотах, так и на реальных проектах заказчиков.

– В каких компаниях это решение лучше применять? Наверное, в крупных, в которых не менее тысячи сотрудников?

– Мне кажется, что дело не в количестве сотрудников, а в том, есть ли в компании зрелая служба безопасности. Наиболее актуально это решение для банков, ТЭК, ритейла, промышленности, в особенности оборонно-промышленного комплекса. Любой бизнес, где есть ключевые люди, которые могут нанести ущерб либо своим действием, либо бездействием, либо ошибками, либо своим уходом, может использовать модуль UBA.

Крупные компании, в особенности работающие с госзаказом, если говорить не только про UBA, но и про DLP в целом, сталкиваются с проблемой мониторинга коммуникаций по ключевой сделке.

Госзаказ – это длинная работа, много субподрядчиков, менеджеров, параллельных потоков. И в каждом потоке могут нарушаться условия договора, скрываться проблемы, срываться сроки.

Поэтому анализ коммуникаций по ключевой сделке или по непрерывным ключевым бизнес-процессам очень важен.

– Ошибки при анализе поведения сотрудника – как их исправлять?

– Не очень понятно, что может быть ошибкой при анализе поведения сотрудников. Предположим, у какого-то сотрудника что-то изменилось в поведении, а потом оно вернулось к обычному состоянию.

В таком случае модуль зафиксирует аномалию. А теперь предположим, что у человека поведение изменилось и осталось на новом уровне: модуль зафиксирует аномалию, потом изменит модель и будет считать, что изменения – это новая норма для сотрудника.

А вот безопасник должен проанализировать и найти причину изменений.

Конечно, прежде всего, анализируется поведение ключевых сотрудников или же массовое изменение поведения людей в компании. Например, у вас есть сотрудники, которые по какой-то причине всегда работают ночью, допустим, человек десять. Это будет норма. И вдруг, в какой-то месяц вы видите, что по ночам стало работать еще сорок человек. Это должно привлечь внимание службы безопасности.

Допустим, случился рабочий аврал. Тогда сначала имеет смысл проанализировать, как сотрудники дошли до жизни такой с точки зрения кадровых рисков.

Возможно, они перегружены обязанностями, что может сказаться негативно на микроклимате в коллективе. Люди начнут искать другое место работы.

Со своей стороны их руководитель может что-то поменять: запросить у руководства дополнительные человеческие ресурсы или пересмотреть бизнес-процессы. Ведь для компании может быть крайне важно завершить успешно и в срок проект, которым они занимаются.

– В чем конкурентное преимущество вашего решения?

– Нет ограничений по численности персонала компаний, где может применяться DLP-система с модулем UBA.

Кроме того, польза решения в том, что оно может работать сразу «из коробки», то есть не требуется большого проекта внедрения с привлечением специально обученных людей.

Оно позволяет расширить стандартные задачи DLP, перейти от расследования инцидентов к их прогнозированию и профилактике.

И еще одно важное преимущество: решение дает большие дополнительные возможности при проведении расследований, поскольку очень обогащает знание безопасника о сотрудниках. Структура досье подсказывает возможные направления расследования. Открыть досье сотрудника и отработать по порядку все направления сможет любой специалист службы безопасности, для этого необязательно быть зубром.

– Этическая сторона внедрения подобного решения в компании. Как это может отразиться на психологическом климате коллектива? Должна ли компания предупреждать сотрудников о том, что осуществляется анализ их поведения и коммуникаций?

– Должна ли предупреждать компания сотрудников? На это можно посмотреть и с точки зрения сотрудника, и с точки зрения безопасника.

Все зависит от модели угроз, от реальной ситуации. Думаю, что правильно было бы сотрудников предупредить, не раскрывая им деталей. И это обычно заказчиками делается. Когда внедряется DLP, сотрудника предупреждают о том, что рабочее место ему выделено для выполнения рабочих задач.

Что у компании есть активы, процессы и интересы, которые она защищает. Что компания использует автоматизированные средства защиты своих интересов, своей информации, своих активов.

Это не должно, полагаю, вызывать неприятие. Мы же все знаем и привыкли к тому, что во многих местах в городе и во всех компаниях стоят камеры видеонаблюдения. DLP-системы используются на том же уровне – для мониторинга каналов коммуникаций.

Если человек на своем рабочем месте считает возможным задумывать какие-то мошеннические схемы или заниматься личными делами, делиться секретами компании с друзьями, тогда я буду не на стороне сотрудника, а на стороне службы безопасности.

– В плане развития функционала мы будем добавлять паттерны поведения, затачивая их под решение конкретных задач безопасности. Возможно, какие-то паттерны из тех 19, что есть сейчас, не приживутся.

Мы уже получили обратную связь с пилотов и первых внедрений, и есть запрос на паттерн «найти человека, похожего по профилю поведения на заданного». Возможно, это первый шаг к тому, чтобы нащупать профиль мошеннической схемы. Если такая задача в принципе имеет решение.

Кроме того, мы планируем мониторить аномалии состава контактов. Для одних работников плюс десять контактов в неделю – это норма, для других появление одного нового контакта за месяц – это аномалия. А у третьих нет устойчивого состава контактов и про них ничего нельзя сказать.

К анализу корпоративной почты будем подключать веб-почту и мессенджеры. Пока мы их не берем, потому что для нас это не самые чистые данные. Хочется избежать ошибок в сердце модуля – в модели, поэтому мы будем развивать модуль постепенно, основываясь на обратной связи от заказчиков и накопленной аналитике.

Ключевые слова: информационная безопасность, модуль UBA, Solar Dozor, DLP.

18.04.2024

17.04.2024

16.04.2024

12.04.2024

18.04.2024

18.04.2024

18.04.2024

18.04.2024

18.04.2024

05.04.2024

22.03.2024

25.02.2024

05.02.2024

31.01.2024

Галина Рябова: