С недавних пор в отдельных DLP-системах, например, в Solar Dozor, появилась возможность анализа поведения пользователей. В данном случае это отдельный модуль, который формирует профили сотрудников, определяет их типичное поведение и выявляет отклонения. О том, как модуль Dozor UBA помогает предотвратить самые разнообразные корпоративные инциденты, рассказывает Виталий Петросян, аналитик внедрения Центра продуктов Solar Dozor компании «РТК-Солар».
Как устроен анализ поведения в DLP-системе
Модуль, который отвечает за анализ поведения пользователей, собирает и обрабатывает данные по активности сотрудника в рабочей почте. Система смотрит на количество сообщений, соотношение входящих и исходящих сообщений, почтовый трафик, который идет за пределы компании, время отправки сообщений, круг адресатов и адресантов. На основе истории коммуникаций модуль Dozor UBA автоматически формирует личный профиль каждого сотрудника, а затем фиксирует аномалии в его поведении, если они появляются. Также модуль ищет работников, попадающих под значимые для безопасности паттерны поведения (группы поведенческих особенностей и аномалий). Например, сотрудники, которые часто работают ночью или в выходные дни; возможные инсайдеры – те, у кого отмечается высокая внешняя активность и частая отправка писем с вложениями; работники с нулевой активностью и т.д.
В дополнение к основному функционалу DLP-системы модуль анализа поведения пользователей позволяет более эффективно работать на предотвращение инцидентов. Появление тех или иных аномалий у сотрудника может говорить, например, о том, что он планирует увольнение и намеревается навредить компании. Повышенная активность коммуникаций, запрос у коллег различных документов, получение большого количества писем с вложениями – все это может свидетельствовать о готовящемся сливе информации. Кроме того, с помощью поведенческого анализа можно выявлять экономические преступления, например нарушения, связанные с проведением тендеров.
Как это работает покажем на реальных ситуациях из практики фармацевтических компаний.
Ошибки на новой должности
После внедрения модуля анализа поведения пользователей в одной из фармацевтических компаний офицеры безопасности зафиксировали всплеск внешней активности у ряда сотрудников. Среди прочих такая аномалия была замечена у исполняющего обязанности начальника цеха фасовки. Учитывая, что к руководителям внимание всегда более пристальное, сотрудники службы безопасности решили детально разобраться в ситуации.
Рис. 1. Фиксация всплеска внешней активности и.о. руководителя цеха фасовки
Выяснилось, что всплеск активности был связан с общением с поставщиками паллетоупаковщиков. И. о. начальника, только заняв эту должность, был вынужден сразу погрузиться в специфику закупочной деятельности. С одной стороны, это объясняет появление аномалии. Но, учитывая отсутствие опыта нового руководителя в закупках, было решено изучить содержание коммуникаций. DLP-система хранит письма в архиве и позволяет быстро найти нужные.
Рис. 2. Самостоятельное вступление и.о. руководителя цеха фасовки в переговоры с потенциальными поставщиками
После анализа писем стало ясно, что некоторые потенциальные поставщики, которые присылали свои коммерческие предложения по паллетоупаковщикам, пытались ввести в заблуждение неопытного руководителя, навязывая невыгодные для компании условия. В частности, один из поставщиков выставлял в качестве преимущества техническую характеристику своего оборудования (см. скриншот ниже), которая в итоге привела бы к необходимости заключать договор на дополнительное обслуживание поставляемых аппаратов.
Рис. 3. Часть текста из переписки с потенциальным» поставщиком, вводящим в заблуждение и.о. руководителя цеха фасовки
На самом деле чем больше роликов у поворотного стола, тем дороже их замена и дольше время возможного простоя в ожидании их поставки; а резиновый ремень, в отличие от цепи, которую можно просто поджать, быстро изнашивается, поэтому его придется чаще менять, что опять же ведет к дополнительным расходам. Однако в итоге новый руководитель повелся на уговоры и начал обсуждать условия с ушлым поставщиком.
Учитывая, что должность и.о. руководитель цеха фасовки, который в том числе отвечает за отбор потенциальных поставщиков, коррупционноемкая, такой подход к закупочной деятельности мог привести к экономическому ущербу для компании.Догнать и перегнать: Российские ВКС прирастают новыми функциями 8.9 т
Кроме того, при анализе коммуникаций и.о. начальника цеха фасовки офицеры безопасности заметили в этот период наличие переписки в выходной день, что раньше не было типичным для него поведением.
Рис. 4. Только вступил в должность и уже вынужден решать рабочие вопросы по выходным
Случайная находка позволила выявить попытку скрыть произошедший на производстве инцидент. Из переписки выяснилось, что несколько дней назад был замечен брак при упаковке продукции, при этом запись об этом не была внесена в соответствующие журналы, меры предприняты не были. Одна из сотрудниц цеха интересовалась, как ей спустя несколько дней оформлять акт о недостаче. И.о. начальника цеха в ответном письме порекомендовал зафиксировать проблему текущим днем, закрыв глаза на уже нанесенный компании за предыдущие несколько дней ущерб.
Рис. 5. Предложение о подложном списании бракованной продукции, высказанное и.о. руководителя цеха фасовки
Благодаря работе DLP-системы и анализу поведения пользователей недобросовестный и.о. начальника цеха эту должность в итоге не получил.
Спасение команды от руководителя
В компании – поставщике фармацевтической продукции, в которой уже была внедрена DLP-система, взяли на вооружение технологию анализа поведения пользователей. Это позволило офицерам безопасности в центральном офисе более эффективно отслеживать коммуникации сотрудников всех филиалов.
Поводом для проведения расследования снова стал всплеск внешней активности, который был зафиксирован у директора регионального склада.
Рис. 6. Всплеск нехарактерной для лица внешней активности, обусловленный самостоятельным подбором персонала
Благодаря другим каналам получения информации служба безопасности выяснила, что у деспотичного руководителя возник конфликт с подчиненными, которых не устраивали его методы работы. Работники склада планировали уволиться всей командой и поставили ультиматум директору склада. Чтобы не рисковать занимаемой должностью, тот решил скрыть этот факт от высшего руководства и своими силами заранее организовал поиск новых сотрудников. Об этом и стало известно после детального изучения внешней активности директора. Оказалось, что он разместил вакансии работников склада и через корпоративную почту регулярно рассылал предложения о работе соискателям, чтобы в нужный момент заменить собирающихся уйти сотрудников и избежать наказания за возможный сбой в работе склада.
На первый взгляд, ситуация может показаться безобидной, но специфика работы крупного склада, где хранится фармпродукция и постоянно происходят поступление и отгрузка, подразумевает четкую и бесперебойную работу. Смена сотрудников на неопытных, к тому же сразу в полном составе, может привести к серьезным проблемам и убыткам для компании. Поэтому выявленный инцидент позволил предотвратить вероятный финансовый ущерб. Команда работников склада была сохранена, а директор, с которым не могли сработаться подчиненные, покинул свою должность. Вдобавок благодаря DLP-системе удалось выяснить, что рассылка писем кандидатам была практически единственной его рабочей активностью. Остальное время руководитель проводил за онлайн-играми, а однажды был замечен за копированием клиентской базы на флэшку.
Рис. 7. Стандартное времяпрепровождение нерадивого начальника
Рис. 8. Копирование клиентской базы и показателей всех филиалов на
USB нерадивым руководителем
Мертвые и полумертвые души
В той же компании из предыдущего кейса офицеры безопасности решили проанализировать сотрудников, которые попали в группу поведенческих аномалий «отсутствующие». К такому паттерну поведения система относит тех, у кого на протяжении долгого времени нет ни внутренней, ни внешней активности в корпоративной почте.
Безопасники обратили внимание, что в список попали несколько менеджеров по продажам, для которых отсутствие внешней активности не может быть нормальным поведением.
Рис. 9. Подозрительное присутствие менеджеров по продажам в списке паттерна «Отсутствие»
Даже с учетом того, что такие сотрудники много времени проводят на встречах, договоренности с клиентами все равно фиксируются в почте. В результате расследования выяснилось, что менеджеры практически не взаимодействовали с партнерами, не занимались поиском новых, а довольствовались процентом с уже заключенных контрактов.
Дополнительный доход же им обеспечивал слив конкурентам закрытой корпоративной информации. Благодаря DLP-системе было зафиксировано, что менеджеры, попавшие в список отсутствующих, регулярно пересылали себе на личную почту список эксклюзивов: в аптечных сетях так называют позиции, которые поступят на реализацию и к которым будут применяться разные акции.
Рис. 10. Пример отправки закрытой корпоративной информации на личную почту менеджером, включенным в паттерн «Отсутствие»
Выявить такую ситуацию без анализа поведения было бы сложнее. В отсутствие инцидентов DLP-система не срабатывала: поскольку менеджеры регулярно отправляли подобные файлы партнерам, что является нормой.
Рис. 11. Пример отправки менеджером по продажам закрытой корпоративной информации себе на личную почту и партнерам
Безопасники не настраивали срабатывание DLP на такие вложения. По итогам расследования отдел продаж реорганизовали, а рабочие процессы перестроили.
Отдельная драма разыгралась вокруг паттерна «мертвые души». Расследуя утечку информации, которая доступна только топ-менеджерам, офицеры безопасности обнаружили, что в список тех, кто не проявляет никакой активности в течение нескольких месяцев, попала помощница одного из директоров. Оказалось, что девушка была уволена несколько месяцев назад, но ее учетная запись не была удалена. Кроме того, экс-сотрудница оставалась в списке получающих закрытые рассылки. Она заходила в свой почтовый ящик через веб-интерфейс, сохраняла документы на свой компьютер, после чего передавала информацию заинтересованным людям. Без модуля анализа поведения пользователей, который отслеживает аномалии с точки зрения активности в корпоративной почте, найти нарушителя было бы гораздо сложнее.