По словам разработчиков, это решение фактически заменяет внутреннее чутье опытного специалиста по кибербезопасности с помощью глубокого анализа больших данных, состоящих из сотен тысяч событий, происходящих в компании.
Система способна вести расчеты более чем по 230 параметрам поведения персонала и распределить сотрудников, совершающих подозрительные действия, по различным группам риска, включающим аномальный вывод информации в облака или на внешние носители, подготовку к увольнению, нелояльность по отношению к организации, подозрительные внешние коммуникации, снижение производительности труда и т.д. За счет высокого уровня автоматизации InfoWatch Prediction, сотруднику ИБ достаточно работать с системой всего 30 минут в день – чтобы вовремя реагировать на актуальные угрозы.
Одной из основных отличительных особенностей обновленной версии системы стал раздел «Карты паттернов». Он позволяет специалистам ИБ оценить как вероятность возникновения инцидента, так и скорость его возможной реализации на практике, благодаря чему удается заблаговременно пресечь развитие опасной ситуации.
«Для большей наглядности уровень риска у каждого из паттернов отмечается цветом: низкий и средний - зелёным и желтым, высокий - красным, говорящим о серьезной угрозе безопасности. Беглый взгляд на карту паттернов позволяет специалисту ИБ грамотно оценить ситуацию и определить то, насколько быстро и какие меры нужно предпринимать для предотвращения инцидента. В частности, это может быть постановка сотрудника на контроль или же, в случае более серьезной проблемы, блокировка его рабочего компьютера», - отметил директор департамента развития продуктов ГК InfoWatch Рустам Фаррахов.
По словам эксперта, при выборе конкретного паттерна в таблице отображается список связанных с ним событий, что необходимо для более детального анализа угроз.
В настоящее время для специалистов ИБ доступны паттерны «Вывод данных» и «Подготовка к увольнению», которые разбиты на три категории:
- Признаки риска:
Сотрудник теряет лояльность к компании и ее руководству, он меньше времени стал уделять работе, появились нарушения трудовой дисциплины;
- Подозрительное поведение
Специалист чаще проявляет активность в нерабочие часы, применяет нетипичный для решения служебных задач софт;
- Вывод данных:
Пользователь загружает данные на внешние носители, в облачные сервисы и т.д.
«В качестве примера можно представить ситуацию, при которой в поведении одного из сотрудников зафиксированы угрозы на всех стадиях работы с информацией. Об этом свидетельствуют соответствующие паттерны. Допустим, что половина из них отмечена желтым цветом (средний уровень риска), а почти все остальные – зеленым (низкий уровень угрозы). При этом на этапе «Подозрительное поведение» красным окрашен паттерн «Использование личных адресов». Это говорит о вероятности утечки информации, во время которой в красной зоне уже окажутся паттерны последнего этапа - «Вывод данных», - рассказал Фаррахов.
По мнению эксперта, в случае попадания паттернов «Вывода данных» в красную зону, сотруднику ИБ следует принять превентивные меры в виде блокировки передачи данных через электронную почту, запрета использования флешек и облачных сервисов. Это позволит предотвратить инцидент и избежать связанного с ним ущерба для компании.