Особенности систем поведенческого анализа
Компания InfoWatch провела мероприятие, посвященное возможностям и ограничениям современных технологий анализа поведения пользователей - UBA.
Системы анализа поведения пользователей (User Behavior Analitycs), предназначенные для сбора и анализа всех действий пользователей с целью определения внутренних угроз и атак, появились на рынке всего несколько лет назад.
Как отмечает Вячеслав Божьев, бизнес-аналитик InfoWatch, при создании систем поведенческого анализа разработчики используют четыре основных подхода, которые имеют свои плюсы и минусы. Конечно, они не являются догматическими и в процессе нарабатывания опыта использования своих UBA систем специалисты юстируют методы, но в основе своей они остаются неизменными.
Кроме того, в рамках такого подхода не анализируются цепочки взаимосвязанных событий, т. к. паттерновая модель этого не подразумевает. В результате становится невозможным спрогнозировать поведение сотрудника и заранее предпринять меры по нивелированию грядущих рисков. Наконец, паттерны имеют жестко заданные параметры, что не позволяет системе обучаться и правильно реагировать на изменение бизнес-процессов в компании.
Второй подход основывается на формировании психологического портрета сотрудника, который создается на основе его деятельности и анализа того, что и как он пишет. Это может дать ту или иную полезную информацию для дальнейшего анализа. Например, данный подход позволяет оценить атмосферу в коллективе и выявить колебания настроения сотрудников, а так же выявить к какому психологическому типу относится тот или иной сотрудник, но на это требуется большое количество времени. И хотя данный метод позволяет автоматически оценить риск и выдать рекомендации по сотруднику, но они основываются только на основе психологических особенностей человека. Такие данные обычно интересны HR и руководителям компании, а для специалистов ИБ они мало что могут сказать о скрытых намерениях работника.
И, наконец, четвертый поход, реализуемый разработчиками при создании UBA систем, базируется на динамическом анализе поведения сотрудников для прогнозирования рисков. Система в этом случае не требует настройки, что позволяет работать с ней сразу же после запуска. При этом благодаря использованию машинного обучения со специалиста ИБ снимаются вопросы анализа и приоритезации. Кроме того, UBA, построенная с использованием данного подхода, позволяет вывести события из «серой» зоны, что многократно повышает эффективность работы с данными DLP-системы.
Похожие статьи