Меню
Поиск

Машинное обучение против инсайдеров

5 март, 2020 - 14:45Євген Куліков

Если сотрудник, недавно подавший заявление об увольнении, начинает копировать файлы из сети компании на свой флеш-накопитель, вполне возможно, что он делает это без злого умысла. Например, он просто записывает документы, необходимые для работы. Однако увольняющийся может также попытаться передать конкурентам конфиденциальные сведения о продукте, важную юридическую информацию, личные данные сотрудников или коммерческую тайну.

Компании может быть трудно даже обнаружить такие «внутренние риски», не говоря уже о том, чтобы отличить рутинное поведение от аномалий, угрожающих конкурентному преимуществу или репутации.

Для этого Microsoft разработала решение Insider Risk Management, которое использует машинное обучение для обнаружения потенциально опасного поведения. Это решение быстро определяет, какие действия могут создавать реальную угрозу безопасности, даже непреднамеренно.

Практика показывает, что ошибки – больший источник риска, чем инсайдерские атаки, поэтому решение было разработано так, чтобы помогать сотрудникам делать правильный выбор и избегать распространенных ошибок безопасности.

В недавнем опросе специалистов в области кибербезопасности представители 90% организаций указали, что опасаются инсайдерских угроз, а две трети считают злонамеренные внутренние атаки или случайные нарушения более вероятными, чем внешние атаки. Более половины респондентов в прошлом году подверглись инсайдерским атакам. Это следует из отчета об инсайдерских угрозах, подготовленного компанией Crowd Research Partners.

Решение Insider Risk Management собирает широкий спектр сигналов от инструментов повышения производительности Microsoft 365, от операционных систем Windows и от облачных служб Azure с алгоритмами машинного обучения, которые могут выявлять аномальное и потенциально опасное поведение людей, использующих эти продукты.

Новое решение ищет признаки необычного и потенциально опасного поведения, такие как загрузка сотен конфиденциальных файлов с сайта SharePoint, копирование файлов на USB-устройство, отключение защитных программ или отправка конфиденциальных файлов по электронной почте за пределы компании. Оно использует Microsoft Graph и другие службы для поиска аномальных сигналов в продуктах Windows, Azure и Office, таких как SharePoint, OneDrive, Teams и Outlook.

Ни одно из этих действий само по себе не указывает на угрозу, так как сотрудники делают это каждый день во время работы. Но такие признаки становятся более значимыми по мере того, как система получает информацию из других источников, таких как средства классификации и маркировки, предлагаемые в Office 365, с помощью которых можно помечать конфиденциальные документы и наборы данных.

Это позволяет алгоритмам научиться различать риски, связанные с сотрудником, который загружает обычные презентации или документы (например, когда собирается в командировку), и работником, который копирует конфиденциальные сведения о новом продукте.

Система может также сообщить, содержат ли загруженные файлы информацию о банковских или кредитных картах клиентов, что явно указывает на потенциальную кражу личных данных. При наличии соответствующих разрешений аналитик может увидеть содержимое загруженных файлов и оценить, насколько опасной может быть утечка этой информации.

Insider Risk Management может подключаться к стороннему ПО для работы с персоналом, например, для ввода других релевантных данных, таких как информация о недавнем увольнении сотрудника.

Алгоритмы учитывают всю эту информацию и присваивают каждому необычному событию числовой «показатель риска», который помогает людям, отвечающим за управление инсайдерскими рисками, видеть, на что необходимо обратить больше внимания.

Аналогичную функциональность имеют такие решения, как Azure Secure Score и Azure Security Center, которые помогают клиентам Microsoft защищать свои данные в облаке посредством мониторинга, выявления и приоритизации наиболее серьезных уязвимостей в системе безопасности. Сюда могут относиться ошибки в настройке клиентского брандмауэра, позволяющие хакерам получить доступ, и это решение отражает общую ответственность по защите данных в облаке от любых угроз, которую несут предприятия и поставщики облачных услуг.

Система не выносит никаких суждений и не утверждает, что есть злой умысел. Если есть аномалия, расследование начинается с предположения о том, что конечный пользователь, скорее всего, просто пытается выполнить свою работу. Но проверить не повредит.

Решение Insider Risk Management также разработано для предотвращения непреднамеренных нарушений безопасности посредством обучения. Если сотрудник хранит конфиденциальные документы на незащищенном сайте SharePoint или не соблюдает правила безопасности, то специалист, который увидит оповещение об этом, может предотвратить потенциальные проблемы, отправив этому сотруднику напоминание о политике компании или порекомендовав пройти онлайн-обучение по соблюдению правил.

Важно отметить, что другие инструменты мониторинга внутренней безопасности нередко требуют от компаний установки специального ПО для сбора телеметрии с ноутбуков или передачи данных на отдельный сервер для анализа. В то время, как решение Microsoft Insider Risk Management может использовать сигналы тех же инструментов повышения производительности.