«Ростелеком-Солар» представил Solar Dozor 7 с модулем продвинутого анализа поведения пользователей (UBA)

«Ростелеком-Солар» представил Solar Dozor 7 с модулем продвинутого анализа поведения пользователей (UBA)

«Ростелеком-Солар», национальный провайдер технологий и сервисов кибербезопасности, объявляет о выходе на рынок DLP-системы Solar Dozor 7 с интегрированным модулем продвинутого анализа поведения пользователей Solar Dozor UBA. Система решает широкий круг задач безопасности, выходящих за рамки защиты от утечек, и позволяет с помощью автоматизированного анализа выявлять ранние признаки нарушений со стороны сотрудников компании.

В начале пресс-конференции директор по развитию «Ростелеком-Солар» Валентин Крохин охарактеризовал современный рынок UBA – систем анализа поведения человека. Он привел статистику, согласно которой 29% компаний используют автоматизированные инструменты анализа поведения пользователей в режиме 24 на 7.

88% опрошенных организаций уверены, что необходимо выявлять особо критичных инсайдеров с помощью анализа их поведения.

Согласно данным Gartner, которые привел эксперт, к 2021 году рынок UEBA (user and entity behavior analytic). К 2022 году ключевые технологии UEBA войдут в состав 80% решений по выявлению угроз и приоритизации инцидентов. Затраты на анализ поведения вырастут с 50 миллионов долларов в 2015 году до 352 миллиона долларов в 2020 году.

Было выделено четыре основные функции UBA. Во-первых, мониторинг и анализ поведения. Во-вторых, построение нормального профиля. В-третьих, детектирование поведенческих отклонений и их приоритизация. В-четвертых, реагирование.

UBA-система должна уметь выполнять определенный набор действий. Первое – накапливать данные и уметь быстро по ним искать и быстро их обрабатывать. Второе – уметь обдумывать данные, полученные за значительный период времени. Третье – иметь инструментарий по построению нормальных профилей. Четвертое – детектировать нетипичное или аномальное поведение. Пятое – приоритизировть полученные сигналы. Шестое – давать информацию о контексте события. Седьмое – подавать данные так, чтобы их можно было быстро интерпретировать. Восьмое – иметь развитый инструментарий уменьшения ложных срабатываний.

Характеризуя Solar Dozor 7 было отмечено, что, прежде всего, это система защиты от утечек нового поколения, основанная на передовой концепции People Centric Security. Эта концепция подразумевает переход службы информационной безопасности от мониторинга сотен и тысяч уведомлений об инцидентах с данными к анализу поведения сотрудников и выявлению отклонений в поведении.

В состав Solar Dozor 7 вошел модуль глубокого анализа поведения пользователей (UBA – User Behavior Analysis). Модуль позволяет автоматически выявлять в поведении сотрудников компании аномалии, которые могут свидетельствовать о ранних признаках корпоративного мошенничества, зарождении коррупционных схем, предпосылках к возникновению утечек информации и т.п. Это дает возможность службам безопасности работать с рисками превентивно, используя автоматизированные инструменты анализа.

«Сегодня мы четко видим два тренда в развитии DLP-систем. С одной стороны, возможности систем защиты от утечек вышли за рамки задач, лежащих исключительно в сфере информационной безопасности. Они становятся эффективным инструментом снижения рисков в сфере экономической, собственной, кадровой безопасности компаний. С другой стороны, и сама информационная безопасность расширяет свой взгляд на мир, переходит от анализа событий и данных к стратегии безопасности с фокусом на человеке. Эта эволюция рынка открывает его участникам новый горизонт возможностей и позволяет решить задачу сокращения бизнес-рисков на качественно новом уровне», – подчеркнула директор центра развития продуктов Solar Dozor компании «Ростелеком-Солар» Галина Рябова.

Эксперт отметила отметила, что Solar Dozor – это «безопасность с фокусом на человеке». «Портрет персоны определяется на основании анализа коммуникаций по контролируемым каналам. Профиль поведения формируется на основе характера коммуникаций с другими персонами, группами и подразделениями. Отклонения от профиля поведения являются аномалиями поведения. На основании набора аномалий формируются паттерны поведения. Из этих четырех «кирпичиков» и состоит наше концептуальное понимание UBA», – подчеркнула Галина Рябова.

Методы анализа модуля Solar Dozor UBA основаны на уникальных алгоритмах класса unsupervised machine learning (обучение без учителя), не требующих предварительной настройки и адаптации системы под новые условия эксплуатации. Система анализирует поведение сотрудников по двум направлениям одновременно. С одной стороны, осуществляется наблюдение за каждым сотрудником по набору показателей, которые измеряются с высокой частотой и с учетом персональных особенностей поведения, делового контекста, роли в коллективе и ряда других факторов. Накопленной в течение 2-х месяцев истории активности пользователя достаточно для того, чтобы определить его устойчивое поведение и начать детектировать аномалии его поведения. Такие цифры получены в ходе апробации технологии Solar Dozor UBA на ряде компаний масштабом от 1000 сотрудников. С другой стороны, модуль Solar Dozor UBA определяет наиболее уязвимые с точки зрения бизнеса группы сотрудников и сотрудников с подозрительным поведением, относя их к различным паттернам поведения (комбинациям поведенческих особенностей и аномалий). На данный момент в системе насчитывается порядка 20-ти паттернов, среди которых: «мертвые души», сотрудники с аномалиями внешних коммуникаций, с наличием теневых личных контактов (т.н. приватных эго-сетей) и др. По каждому из паттернов ведется постоянный контроль опасных тенденций, приближенный к реальному времени.

Собираемая с помощью UBA-модуля информация существенно обогатила модуль Досье DLP-системы Solar Dozor 7. Теперь он сосредотачивает в себе максимально полную информацию о персоне (сотруднике, группе сотрудников и других участниках коммуникаций) и вместе с быстрым сквозным поиском и настроенными срезами данных является оптимальной средой для проведения расследований, не имеющей аналогов в других DLP-системах. Здесь же стало доступным и профилирование персонала по показателям использования рабочего времени.