С начала года компания InfoWatch выпустила 20 продуктовых обновлений в DLP-системе Traffic Monitor 7.6 и ее модулях. Был реализован перехват отправки файлов на все облачные хранилища, все веб-сервисы и веб-мессенджеры, был добавлен контроль аудио онлайн-конференций, расширены возможности в среде Linux, были наращены возможности BI и UBA в DLP-системе и многое другое.

Сегодня мы представим сразу все основные обновления на примере кейса с увольнением ключевого сотрудника. Разберем по шагам, как не только заметить подготовку к увольнению, но и распознать планы «переманить» команду и забрать с собой ноу-хау компании, а самое главное – как предотвратить такой составной инцидент на этапе подготовки.

• Шаг 1: еще не инцидент ИБ, но уже опасная тенденция. Получить уведомление об изменении рейтинга по группам риска в UBA-модуле Prediction и выявить пики для детальной проверки – когда аномалии были интенсивнее всего.
• Шаг 2: погружение в детали событий для проверки подозрений и поиска «зацепок». По каким признакам выявить начало нелегитимного внешнего взаимодействия или работу «на сторону». Применение аудионаблюдения для оценки реального уровня риска.
• Шаг 3: узнать всех задействованных в готовящемся инциденте. Как наглядно на графе связей BI-модуля Vision проанализировать подозрительные коммуникации и их контекст и направление, в том числе, через личную почту и мессенджеры.
• Шаг 4: остановить подготовку и сохранить ноу-хау. Как вовремя обнаружить информационные активы, которые нарушители собирают на своих ПК. DCAP-возможности для срочного разового сканирования по указанным рабочим станциям и серверам.

Сегодняшнее мероприятие ведет Рустам Фаррахов, директор департамента развития продуктов, InfoWatch. Сегодня речь пойдет об обновлениях в DLP и какие новые возможности появились в продуктах компании InfoWatch.

Сначала посмотрим как выглядел 2022 год с точки зрения утечек. Этот год по числу утечек сильно перерос 2021 год, по разным отраслям могут быть разные оценки, но общий средний показатель – рост примерно в 2 раза. По прежнему основной причиной утечек являются умышленные действия внутренних нарушителей.

Кроме того, 2022 год примечателен еще и тем, что самым частным словом было «импортозамещение» всего ПО.  

По данным АРПП уровень импортозамещения за 2022 года возрос с 35% до 53% по доле российских программных решений в общем объеме закупок. Второй большой тренд – это рост спроса на ИБ-специалистов. Дефицит ИБ-специалистов требует повышения интеллектуальности средств ИБ. По оценкам участников рынка этот дефицит составляет примерно 50 тысяч человек необходимы в области ИБ.

Применение средств DLP на примере одного расследования

Рассмотрим сценарий одного расследования. Офицер ИБ получает на свою электронную почту уведомление, что возрос некий показатель риска по конкретному сотруднику, это Анастасия Бережная. 

По ней повысился рейтинг по группам риска – подготовка к увольнению и отклонение от бизнес-процессов. Это не является инцидентом, но это то, что требует внимания и бдительности от офицера безопасности. Этот офицер переходит в InfoWatch Prediction, которая сгенерировала данное уведомление, и видит, что действительно Анастасия Бережная попала в топ по данным группам риска.

ИБ-офицер считает, что надо более детально разобраться в чем причина и выяснить чем сотрудник занимается. 

Он просматривает статистику активности рабочего дня и видит, что сотрудник 20 февраля 2023 года посещал вэб-версию ZOOM и в целях безопасности решает пойти глубже в детализацию и переходит в раздел «Наблюдения».

Там он смотрит скрин-шоты, чтобы понять что конкретно делал пользователь. Во временной ленте находит тот момент, когда у пользователя было активно окно браузера с ZOOM и видит, что Анастасия Бережная участвовала в беседе с внешним контрагентом. Офицер переходит в раздел аудиозаписей и прослушивает эту беседу.

Там шло обсуждение текущего проекта и в конце разговора прозвучало предложение перейти на другой канал коммуникаций. Есть признаки нехорошего умысла и офицер решает на данную запись повесить тег «Подозрительная активность», чтобы в случае необходимости было возможно оперативно вернуться к этой записи. 

По данной персоне есть реальная угроза некоторой утечки информации, офицер проверяет были ли уже у этого сотрудника нарушения, зафиксированы ли они в DLP, он просматривает общую статистику по всем событиям DLP. Он видит, что за 20.02.2023 событий с нарушениями не было зафиксировано. Он проверяет какие права есть у данного сотрудника, для этого он переходит в модуль Data DISCAVERY.

Этот модуль обеспечивает сканирование всех доступных конечных узлов (рабочих станций, серверов) и для того чтобы расширить охват поиска, офицер решает создать задачу на сканирование рабочем машины данного сотрудника. В задаче он указывает хосты и запускает эту задачу. Для ознакомления с результатами сканирования он переходит рубрику «Информация о файлах» и здесь отфильтровываются файлы по критерию «Доступен для» Бережной Анастасии. 

Файлов много и офицер запускает кластеризацию и по ее результатам получает список тематических кластеров. И по набору ключевых слов, которые идентифицируют этот vars кластер, офицер понимает, что это файлы, которые содержат исходный код.

Офицер смотрит что это за файлы, на каком хосте они хранятся, видит, что они размещены на локальной машине сотрудника, который является владельцем этих файлов и соответственно таким образом офицер безопасности полностью очерчивает периметр вероятного нарушения и какие данные потенциально могут утечь. 

По результатам этой работы офицер довольно оперативно сначала выявил риск, понял что является его источником и оперативно оценил ситуацию, определил угрозы. Затем осуществляются превентивные меры, чтобы утечки не произошло.

InfoWatch Prediction: UBA-система на основе ИИ

UBA-система – это система анализа поведения сотрудника и прогнозирования. 

Как это работает? В распоряжении InfoWatch Prediction множество собранных данных DLP- системой и системой мониторинга активности сотрудников, и Prediction, имея в распоряжении такую Big Data, анализирует эти данные по более чем 200 параметрам и строит некие тренды и может выявлять отклонения от этих трендов. Причем нормой может быть как поведение самого сотрудника, так нормой может считаться поведение некой группы сотрудников. В этом случает у него вырастут показатели риска. Сейчас в InfoWatch Prediction реализовано 6 групп риска (см. следующий слайд).

Что нового появилось в новой версии InfoWatch Prediction? Во-первых – это уведомление, та функциональность, которая обеспечивает более эффективное реагирование на рост риска. Кроме того, расширились группы риска, стал учитываться такой патерн, как использование нетипичного приложения. 

InfoWatch Prediction: BI-возможности для быстрых расследований и анализа коммуникаций

Эта система позволяет повысить скорость и качество принятия решений. Это продукт используется как основной дэшборд в работе с DLP, потому что он позволяет как охватить всю ситуацию целиком, так и погрузиться детали, используя большое число фильтров. InfoWatch Vision также позволяет разобрать неразмеченные события и выявить необходимость актуализации политик. InfoWatch Vision – это сводная статистика по событиям, это динамический граф связи по которому видны все субъекты коммуникаций, кто с кем общается. В досье сотрудников ведется карточка сотрудника, эта информация дает сориентироваться ИБ-офицеру по сотруднику.

Какие здесь обновления вышли в InfoWatch Vision? Во-первых, граф связи стал информативнее, по нему можно отследить последовательность передачи документа от одного участника к другому.

Это может помочь в проведении расследования. В InfoWatch Vision стало удобнее работать со списком событий, теперь можно просматривать содержимое сообщений без перехода из Vision в Traffic Monitor.

Также появился инструмент полезный для руководителя ИБ-службы – это виджет, на котором можно отслеживать нагрузку сотрудников по работе с событиями. 

InfoWatch Activity Monitor

Этот монитор предназначен для мониторинга действий сотрудников. Он позволяет собрать данные о том, их чего складывается рабочий день сотрудников, как распределяется их время по приложениям, по ресурсам, по рабочей активности.

Можно по сотрудникам выявить некие отклонения, признаки того, что что-то идет не так. Это позволяет вовремя обратить внимание на складывающуюся ситуацию.

Чтобы сформировалась цифровая картина рабочего дня сотрудника используются данные из разных источников. Есть специализированные решения, позволяющие более детально ознакомиться с тем, что сотрудник делал, возможны такие вещи как снимки экранов, возможность прослушивать звук, записанный с микрофона во время он-лайн конференции и т.д. Все это дает полную картину всех аспектов, которые связаны с деятельностью сотрудника. Что касается обновления, то это возможность записать звук с микрофона по заданному триггеру. В нашем сценарии триггером послужил запуск в браузере ресурса ZOOM. У ИБ-офицера появилась возможность эту запись найти и прослушать.

Появилась возможность поставить тег на запись, пометить важные участки разговора.

Получение данных из СКУД, эта функциональность также появилась в свежей версии InfoWatch Activity Monitor. Дело в том, что сотрудник прежде чем сесть за рабочий компьютер в офисе, либо после того, как он его выключает, он должен пройти через СКУД в офис, либо когда он выходит из офиса, СКУД фиксирует этот факт. Если разблокировка компьютера произошла и до этого не был зафиксирован факт входа сотрудника через СКУД, это может свидетельствовать от том, что разблокировка произведена третьим лицом, что является нарушением.

Сам этот факт можно рассматривать как некий инцидент, либо как событие, которое может предшествовать инциденту. Также признак того, что сотрудник вышел из офиса, ПК не выключил, это тоже может быть событием, которое может привести к инциденту. Такие факты должны доноситься до офицера безопасности.