С каждым годом количество утечек конфиденциальной информации стремительно растет. Причиной этого является слабоконтролируемая цифровизация. Коммерческие организации внедряют новые информационные технологии, начиная от простейших устройств Интернета вещей и заканчивая автоматизированными рабочими местами, во все сферы своей деятельности, но часть этих компаний просто не успевает за мировыми тенденциями в области информационной безопасности (ИБ) и впоследствии не справляется с нагрузкой по защите своей чувствительной информации. Как организовывать рабочий процесс и какие действия предпринимать по предотвращению утечек данных, учитывая их колоссальный обрабатываемый объем? Именно этими вопросами задается каждый предприниматель.
С момента первого упоминания об утечке информации и необходимости ее предотвращения в ГОСТ Р ИСО/МЭК 27002-2012 мировое общество специалистов по информационной безопасности поставило перед собой первоочередную задачу по разработке средств противодействия утечкам конфиденциальных данных. До недавнего времени первое место пьедестала отдавали двум системам: предотвращению утечек данных (DLP) и управлению событиями информационной безопасности (SIEM). Первая из них cтроится на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется. [1] SIEM в свою очередь способна анализировать состояние информационной безопасности в ИТ-системах, в реальном времени, генерировать оповещения, реагировать на работу сетевого оборудования и приложений. Задача продуктов этой категории: помощь компаниям в вопросе оперативного реагирования на совершаемые атаки, инциденты в системах безопасности и упорядочение сведений, обрабатываемых в рамках этой задачи. [2] Но при этом существуют уязвимости в программных компонентах данных систем, которые позволяют злоумышленнику настроить их работу так, чтобы замаскировать злонамеренные действия нарушителя под штатную эксплуатацию системы.
В области информационной безопасности аксиоматически принято, что человеческий фактор – это главная причина всех ИБ-инцидентов. Системы, представленные ранее, не принимают во внимание этот пункт. С конца 2015 года эту проблему взяли в разработку представители мировой общественности в сфере защиты информации. Главным решением этой задачи стало применение инновационной системы поведенческого анализа пользователей (UBA). Изначально данная модель была построена под задачи расследования уже совершенных преступлений в области ИБ, но никто и не предполагал, что ее использование позволит предсказывать и впоследствии противодействовать утечкам конфиденциальной информации.
Главным отличием от DLP и SIEM-систем стала возможность накопления и анализа внушительного объема данных, поступающих с пользовательских интерфейсов (автоматизированные рабочие места (АРМ) сотрудников организаций). Структура UBA-решений предоставляет возможность специалисту по ИБ подходить к этому вопросу с минимальными временными затратами, поскольку организационно-программные методы позволяют ей своими силами без поддержки администратора определять состояние устойчивой штатной работы. Для этого требуется только существенное количество данных и их разнообразный формат.
Другим новшеством данной системы предстает выделение на общем фоне аномальных событий, неподходящих под сигнатуры, которые система самостоятельно вырабатывает на основе анализа полученных данных с помощью нейронной сети.
Дополнительно к этому система UBA позволяет полностью распрощаться с ошибками первого рода, благодаря объединению, классификации и приоритизации предупреждений, которые поступают с модуля выявления аномального поведения пользователей. Данный механизм предоставляет возможность выделять только те события, которые, по его мнению, составляют потенциальную угрозу утечки чувствительной информации. Как было упомянуто выше, главную работу выполняет один из методов искусственного интеллекта – машинное обучение, необходимое для непрерывной корректировки нейронной сети. Самостоятельно данная технология не может использоваться по причине недостаточной точности и полноты, поэтому в дополнение к этому используются статистические модели аномальных отклонений.
Полноценное взаимодействие со специалистом по безопасности происходит на этапе вывода результатов, которые позволяют оценить ситуацию и произвести соответствующие мероприятия по обеспечению конфиденциальности информации. Система UBA регулярно представляет подробный отчет по детектированным аномалиям и классификации потенциальных угроз, а также приводит достаточно точное определение целей для проведения мер по противодействию утечкам.
Таким образом, передовая система UBA позволяет отойти от проблемы человеческого фактора, организуя в себе построение модели поведения пользователей АРМ, и в результате полностью противодействовать утечкам значимой информации. В обозримом будущем развитие данного направления даст толчок либо повсеместному переходу к уникальной системе UBA, либо произойдет консолидация DLP и SIEM механизмов с системой поведенческого анализа пользователей, что позволит всему миру навеки забыть утечки конфиденциальных данных.
Использованные источники:
- “Как защищают информацию в России.” Статья. [Электронный ресурс]. URL: https://therunet.com/articles/7960 (дата обращения: 27.03.2020).
- Как защитить свой бизнес от кибер-угроз в 2019 году. [Электронный ресурс]. URL: https://chel.dk.ru/news/kiberataki-stali-normoy-zhizni-hakery-sposobny-paralizovat-rabotu-lyubogo-predpriyatiya-237117130 (дата обращения: 27.03.2020).
Использованные источники:
- “Kak zashhishhajut informaciju v Rossii.” Stat’ja. [Jelektronnyj resurs]. URL: https://therunet.com/articles/7960 (data obrashhenija: 27.03.2020).
- Kak zashhitit’ svoj biznes ot kiber-ugroz v 2019 godu. [Jelektronnyj resurs]. URL: https://chel.dk.ru/news/kiberataki-stali-normoy-zhizni-hakery-sposobny-paralizovat-rabotu-lyubogo-predpriyatiya-237117130 (data obrashhenija: 27.03.2020).
