Мониторинг сотрудников в связке с DLP: как восстановить полную картину инцидента

В декабре 2024 года экспертно-аналитический центр InfoWatch опубликовал очередное исследование, посвященное утечкам корпоративной информации, оценкам ущерба от них и основным рискам. В нем, в частности, представители российского бизнеса отметили основные, по их мнению, источники угроз: 44% – неумышленные действия сотрудников, 42% – компьютерные атаки, 37% – умышленные действия сотрудников, 35% – ошибки в настройках систем защиты. При этом значительная доля экспертов указала на то, что умышленные внутренние нарушения часто инициируются внешними злоумышленниками – то есть происходят по гибридной схеме.

Кроме того, более 50% респондентов посчитали утечки угрозой деятельности и репутации компании, 48% – клиентам, 34% – законным правам и интересам граждан, 26% – отрасли в целом. Большинство участников опроса согласились с тем, что в их компаниях есть данные, представляющие интерес для злоумышленников.

Это означает, что бизнес по-прежнему воспринимает утечки данных как серьезную проблему, а главной причиной возникновения утечек так или иначе остается персонал. Сотрудник может передать конфиденциальные сведения третьим лицам намеренно, по ошибке или случайности, будучи обманутым, а также может стать звеном гибридной атаки. В любом случае очевидно, что мониторинг действий персонала за рабочими местами должен стать важной частью стратегии информационной безопасности каждой компании.

Основным инструментом для борьбы с утечками данных является DLP-система. Она позволяет зафиксировать нарушение в потоках данных, выявить участников обмена информацией и карту коммуникаций, заметить признаки подготовки нарушений. Однако помимо этого специалисту информационной безопасности необходимо выполнить ряд других важных действий: определить, желательно с доказательной частью, что являлось причиной инцидента, как он происходил, какова его критичность, проявил ли сотрудник во время инцидента умысел или халатность и еще множество других нюансов.

Сергей Кузьмин, руководитель направления Центр расследований ГК InfoWatch
Фото: InfoWatch

«Безусловно, арсенал средств для того, чтобы подтвердить или опровергнуть факт инцидента, сформировать какие-то гипотезы о потенциальных утечках, у службы безопасности есть. Это и пристальный мониторинг, и неформальное личное общение с сотрудниками. Однако данные способы не могут дать 100%-й результат. Скорее, они являются дополнительными и требуют серьезного временного и интеллектуального труда. Мы же стараемся поставить на поток подтверждение гипотез о том, что то или иное событие или группа событий – это инцидент. Для этого существует ряд инструментов которые обогащают данные DLP и помогают специалистам ИБ оперативно получать всю необходимую информацию о сотрудниках», – комментирует Сергей Кузьмин, руководитель направления Центр расследований ГК InfoWatch.

Возможности автоматизированной системы мониторинга сотрудников

Автоматизированная система InfoWatch Activity Monitor – самостоятельный продукт InfoWatch, который собирает огромное количество данных с рабочих станций сотрудников. В первую очередь, она позволяет определить, в какое время сотрудник находился за рабочей станцией, когда он входил и  выходил из помещения, авторизовался, соответствует ли это его обычному поведению. Для этого система мониторинга работает в тесной интеграции с системой контроля удаленного доступа (СКУД).

Мониторинг помогает понять, чем сотрудник занимается в течение рабочего дня
Источник: презентация InfoWatch

Во-вторых, система ведет пристальный мониторинг и логирование всех действий сотрудника, которые представляют интерес специалиста ИБ. Это могут быть сведения о том, на какие сайты заходил сотрудник, какие приложения использовал, в каком порядке и в какой длительности, какой текст он вводил, что искал в поисковиках, какие действия выполнял с файлами и папками, какие внешние устройства подключал к ПК, какие документы отправлял на печать и т. д. Например, для расследования потенциального инцидента, когда конфиденциальная информация уже была кому-то неправомерно отправлена, специалисту ИБ важно знать, работал ли человек с этой информацией? Возможно, он редактировал, переименовывал файл, изменял формат, или просто открыл файл и тут же его переслал. Всё это обогащает контекст потенциальных инцидентов.

В-третьих, система InfoWatch Activity Monitor содержит дополнительные инструменты, позволяющие максимально глубоко погрузиться в историю действий сотрудника: это снимки экрана (с автоматическим распознаванием ряда триггеров: оружия, предметов роскоши, непристойного контента и т. д.), запись звука с микрофона ПК (с автоматическим транскрибированием), запись видео с экрана ПК, фиксация рабочей и нерабочей активности. Благодаря последней функции специалист ИБ получает дополнительную информацию о профиле работы каждого сотрудника и может отслеживать изменение его поведения. Например, если сотрудник стал задерживаться в офисе и в конце дня заходить на подозрительные сайты, не связанные с работой, – стоит пристальнее выяснить причину этого и поговорить с руководителем. Возможно, это признак серьезного потенциального инцидента.

«Система DLP фиксирует и блокирует потенциальные утечки, позволяет за счет анализа коммуникаций восстановить взаимосвязи, даже неявные. А система анализа действий сотрудников помогает точечно, предметно наблюдать за персоналом. Синергия этих инструментов при проведении расследования очевидна. Когда у нас есть отправная точка для старта расследований, факт утечки конфиденциальной информации – например, копирование на флешку или отправка файла на внешний адрес, – появляется необходимость в дополнительных сведениях. Специалисту ИБ нужно знать всю информацию с ПК сотрудника, которая относится к определенному дню или к более длительному периоду, если зафиксирован более сложный инцидент. Так, часто встречаются ситуации когда перед увольнением сотрудник накапливает информацию в течение длительного времени, чтобы потом ее вывести из организации. В таком случае предметный мониторинг и анализ аномальных действий очень полезны», – замечает Сергей Кузьмин.

Связка DLP и системы мониторинга
Источник: презентация InfoWatch

С помощью InfoWatch Activity Monitor специалист ИБ решает три основных типа задач.

Первая задача – восстановление контекста инцидента и последовательности действий внутреннего нарушителя. Например, когда уже зафиксирован факт отправки конфиденциальной информации за периметр компании, специалисту необходимо быстро понять, что именно стало причиной этого. Возможно, это часть бизнес-процесса или легитимное, санкционированное действие. Но также есть вероятность, что оно совершено по ошибке или с умыслом. Понять это можно по прямым или косвенным признакам.

Вторая задача – контроль сотрудников из групп риска. В такие группы могут попасть новые или увольняющиеся сотрудники, а также те, кто уже каким-то образом привлек внимание службы безопасности. В этом случае DLP-система опять же предоставляет первичные данные о факте потенциального инцидента, а система мониторинга дает конкретные сведения и детали по работе сотрудника.

Третья задача – точечный мониторинг фиксации фактов, подтверждающих нарушения при имеющихся подозрениях в действиях сотрудников. Например, с помощью аудио контроля и последующего изучения расшифровок записей.

Интерактивная временная шкала и другие инструменты наблюдения

Рассмотрим подробнее отдельные функциональные модули и технологии InfoWatch Activity Monitor для мониторинга действий сотрудников.

Интерактивный таймлайн
Источник: презентация InfoWatch

Новый инструмент «Интерактивный таймлайн» представляет на временной шкале последовательность действий сотрудника в течение рабочего дня, со всем контентом, начиная от вводимого текста и снимков и заканчивая аудиозаписями и событиями авторизации на рабочей станции, размечает эти активности по типам и дает возможность сотруднику безопасности быстро перемещаться между этими событиями, обращая внимание на те временные отрезки, которые его интересуют.

«Автоматизация при восстановлении контекста инцидента очень важна, поскольку специалист ИБ постоянно испытывает нехватку времени. У него большое количество входящих событий, потенциальных инцидентов. Ему необходимо их приоритизировать и далее эффективно обрабатывать. Мы считаем, что для эффективной работы с контекстом инцидента одного списка событий активности недостаточно. Поэтому мы создали инструмент который бы позволил визуализировать и ускорить формирование целостной картины действий сотрудника», – говорит Сергей Кузьмин.

Преднастроенные рабочие панели – это система дашбордов для ежедневного контроля сотрудников из групп риска в режиме онлайн. Специалист ИБ может зафиксировать список сотрудников для наблюдения и вести по ним более тщательное наблюдение: видеть текущие активности и обзор событий, фиксируемых DLP-системой.

Обработка аудиозаписей с ПК сотрудника включает в себя не только перехват аудио с микрофона и динамиков, но и потоковую транскрибацию полученных записей. Это опять же решает проблему нехватки времени специалиста ИБ, которому зачастую приходится вести точечный мониторинг большого количества сотрудников.

«Один специалист ИБ может прослушать ограниченное количество аудиозаписей в день, не потеряв фокуса внимания, особенно, если ему нужно что-то найти в этих записях. Инструмент перевода аудио в текст является для него хорошим помощником. Мы разработали собственный движок, чтобы иметь возможность транскрибировать и анализировать большой объем входящего аудио с использованием серверных мощностей, GPU. Этот движок находится в нашем контуре, то есть мы полученные чувствительные данные не отправляем куда-то вовне. Они все остаются на наших серверах и в системе мониторинга у клиента», – отмечает Сергей Кузьмин.

Расшифровка аудиоокружения ПК
Источник: презентация InfoWatch

Этот инструмент также имеет дополнительные возможности распознавания ключевых слов, разметки и визуализации. Например, в случае мониторинга онлайн-конференции он объединяет расшифровки аудиозаписей, полученные с микрофона и динамиков, в единый связный текст.

Уникальная технология разметки снимков экрана позволяет системе распознавать на этих снимках графические объекты, которые могут быть интересны специалисту ИБ и являться отправной точкой для расследования. Оповещения системы о наличии на экране сотрудника таких объектов помогают выявить, например, признаки игромании.

Интеграция со СКУД позволяет InfoWatch Activity Monitor контролировать соблюдение правил блокировки ПК: например, достоверно выявлять, что пользователь, авторизовавшийся на ПК, в данный момент точно находится в офисе, поскольку прошел СКУД. Или то, что он вышел из офиса, оставив компьютер включенным. Разблокировка ПК сотрудника, который не прошел через СКУД в начале рабочего дня – часто встречающаяся ситуация, которая может свидетельствовать о компрометации учетной записи или о нарушении пропускного режима.

«Наше преимущество в том, что все инструменты мониторинга, разработанные InfoWatch, находятся в едином комплексе – не только как единый интерфейс, но и как продуманная система, отвечающая на вызовы, которые ежедневно возникают в работе специалистов безопасности», – резюмирует Сергей Кузьмин.