Поведенческая аналитика InfoWatch с технологиями ML
ГК InfoWatch представила новую версию системы поведенческой аналитики InfoWatch Prediction 2.4, в которой реализованы технологии машинного обучения, позволяющие выявлять подозрительные аномалии в поведении сотрудников и вовремя предотвращать инциденты ИБ. Продукт способен проанализировать массу на первый взгляд не связанных друг с другом событий и помочь специалисту ИБ найти в них опасные паттерны поведения.
Как поясняют разработчики, это решение фактически заменяет внутреннее чутье опытного специалиста по кибербезопасности с помощью глубокого анализа больших данных, состоящих из сотен тысяч событий. Система способна вести расчеты более чем по 230 параметрам поведения персонала и распределять сотрудников, совершающих подозрительные действия, по различным группам риска, включающим аномальный вывод информации в облака или на внешние носители, подготовку к увольнению, нелояльность по отношению к организации, подозрительные внешние коммуникации, снижение производительности труда и т.д. За счет высокого уровня автоматизации InfoWatch Prediction сотруднику ИБ достаточно работать с системой всего 30 мин в день, чтобы вовремя реагировать на актуальные угрозы.
Одна из основных особенностей обновленной версии системы – раздел «Карты паттернов». Он позволяет специалистам ИБ оценить вероятность возникновения инцидента или скорость его возможной реализации на практике, благодаря чему удается заблаговременно пресечь развитие опасной ситуации. Кроме того, при выборе конкретного паттерна в таблице отображается список связанных с ним событий, что необходимо для более детального анализа угроз.
Для наглядности уровень риска у каждого из паттернов обозначается цветом: низкий и средний уровень – зеленым и желтым, высокий – красным, говорящим о серьезной угрозе безопасности. Беглый взгляд на карту паттернов, отмечают в InfoWatch, позволяет специалисту ИБ грамотно оценить ситуацию и определить, какие меры и насколько быстро нужно предпринимать для предотвращения инцидента. В частности, это может быть постановка сотрудника на контроль или, в случае более серьезной проблемы, блокировка его рабочего компьютера.
В настоящее время для специалистов ИБ доступны паттерны «Вывод данных» и «Подготовка к увольнению», которые разбиты на три категории:
- признаки риска – сотрудник теряет лояльность к компании и ее руководству, меньше времени уделяет работе, появились нарушения трудовой дисциплины;
- подозрительное поведение – специалист чаще проявляет активность в нерабочие часы, применяет нетипичное для решения служебных задач ПО;
- вывод данных – пользователь загружает данные на внешние носители, в облачные сервисы и т.д.
Если, например, паттерны «Вывода данных» попадают в красную зону, сотруднику ИБ следует принять превентивные меры – блокировать передачу данных через электронную почту, запретить использование флешек и облачных сервисов. Это позволит предотвратить инцидент.