Спецпроекты

Российские корпорации получили новый способ автоматизации информационной и экономической безопасности

Безопасность Телеком ИТ в банках Ритейл

Чтобы оперативно реагировать на несанкционированные действия внутри компании и обеспечить безопасность информационных потоков, ИБ-департаментам необходимо отслеживать все внешние и внутренние коммуникации ИТ-систем. С этим справляются решения на базе машинного обучения, благодаря которым происходит непрерывное обогащение данных и их анализ за считанные секунды. Например, платформа для построения комплексных систем информационной и экономической безопасности «Гарда Аналитика», в которую интегрируются все ИС предприятия, бизнес-процессы и приложения.

Ключевые технологические преимущества платформы

Все популярные источники данных — в едином центре

Важное преимущество «Гарда Аналитика» — доступность большого количества популярных баз данных в одном месте. Такой подход позволяет не только получать все интересующие сведения в режиме одного окна, но и сразу выдавать их специалисту проанализированными, отвечающими его запросу.

Объединение внутрикорпоративных и внешних источников данных

На рынке есть два класса систем сбора данных. Одни максимально подробно агрегируют сведения, касающиеся компаний и физических лиц из внешних источников (Due diligence-системы — от англ. «должная осмотрительность»), другие оперируют только лишь внутрикорпоративными данными — для этого используются BI, SIEM или другие системы. «Гарда Аналитика» сочетает в себе преимущества обоих подходов, что придает большинству инцидентов безопасности «человеческое лицо» и связывает их с внутренними бизнес-процессами. Это означает, что при расследовании мошеннических действий или кибератак система помогает службе безопасности раскрыть всю цепочку действий злоумышленников и оперативно идентифицировать конкретных причастных лиц.

При расследовании кибератак «Гарда Аналитика» помогает службе безопасности раскрыть всю цепочку действий злоумышленников

Передовые технологии

С самого начала разработки системы в ее основу была заложена серьезная технологическая платформа. «Гарда Аналитика» на инсталляциях у заказчиков обрабатывает до 4 млрд поступающих событий в сутки от нескольких сотен систем, а количество различных связей в оперативном доступе превышает 2 млрд. Такие показатели стали возможными благодаря мультимодальному подходу к хранению и обработке данных: в качестве ядра системы используются базы данных разной архитектуры (графовая БД, нереляционная БД, классическая реляционная БД). Во-первых, это позволяет строить связи за секунды по всему объему накопленных сведений, что является очень хорошим показателем на рынке. Во-вторых, применяя методы анализа больших данных и поведенческую аналитику, можно выявлять неочевидные цепочки событий, приводящие к инцидентам. В-третьих, на ранних стадиях можно распознавать различные схемы мошенничества еще до реального ущерба для компании.

Защита данных клиента

Система оперирует большим набором конфиденциальных данных, поэтому компания «Гарда Технологии» очень внимательно относится к безопасности самой платформы. Предусмотрен защищенный доступ, а также гранулированная ролевая модель доступа, позволяющая четко понимать, к каким сведениям внутри продукта обращался сотрудник службы безопасности и действительно ли была такая служебная необходимость. «Гарда Аналитика» устанавливается внутри периметра на стороне клиента, данные не отправляются в облака. Система может быть развернута на базе отказоустойчивого кластера, что позволит обеспечить высокие показатели доступности и непрерывности при работе с ней.

Видимость информации за пределами возможностей информационных систем

В отличие от SIEM-систем работа платформы «Гарда Аналитика» строится вокруг бизнес-сценариев по выявлению инцидентов, обеспечивает проведение расследований и позволяет обнаруживать угрозы безопасности на ранней стадии. SIEM-системы позволяют управлять событиями безопасности только исходя из возможностей подключенных автоматизированных систем.

Для применения платформы не нужно обладать глубокими техническими знаниями в области ИТ — все данные понятны и помогают без специальной расшифровки быстрее реагировать на инциденты. Например, платформа может ограничить доступ сотрудника к информации или заблокировать его участие в следующем этапе конкурсной процедуры по тендеру.

«Гарда Аналитика» отличается от ИБ-систем стеком технологий и непрерывной работой с базами данных разных предметных областей. Таким образом, SIEM-система при подключении такого решения в инфраструктуру компании становится источником данных.

Автоматизация процессов безопасности

«Гарда Аналитика» позволяет решать задачи автоматизации процессов, происходящих в сферах информационной и экономической безопасности. Функциональность стоп-факторов — это сохраненные фильтры сложного поиска, имеющие негативный характер. То есть, фильтры, под которые не должны попадать компания, человек или любая другая сущность системы. Сохранив этот фильтр, пользователь получает сразу две возможности. Во-первых, применять его для дальнейших поисков, давая пользователю возможность не вводить интересующие его параметры заново. Во-вторых, ставить человека или компанию на мониторинг согласно этому стоп-фактору. При поступлении в систему новых данных и обновлении существующих данных, система распознает, попадает ли интересующая нас сущность под стоп-фактор за счет новых или обновленных данных. Если попадет, то будет создано уведомление на почту и в интерфейсе системы.

Сферы применения платформы безопасности на предприятии

«Гарда Аналитика» открывает широкие возможности для решения задач безопасности, таких как оперативная оценка кандидата или контрагента, контроль бизнес-процессов организации, анализ финансовых операций, контроль целостности и защита критических данных в информационных системах. Кроме того, система позволяет обнаружить атаки, заражения и теневые информационные технологии, транзакционный и телекоммуникационный фрод, мошенничество при закупках, производстве и сбыте. Рассмотрим решаемые задачи на примере отраслей.

На производстве:

· распространение конструкторской документации;

· нарушения бизнес-процессов;

· мошенничество с отбраковкой.

В сфере снабжения:

· выявление махинаций с поставками;

· манипулирование тендерами и закупками;

· нарушения при проводках и обороте товарно-материальных ценностей.

В области транспорта и логистики:

· планирование перевозок;

· контроль использования транспортных средств по назначению;

· учет движения транспорта по заданным маршрутам.

В работе сотрудников:

· мониторинг общения сотрудников по корпоративным сим-картам и корпоративным устройствам;

· выявление отклонений от привычных маршрутов следования сотрудников;

· контроль служебных коммуникаций между сотрудниками разных отделов.

Принцип действия платформы информационной безопасности

Принцип работы системы заключается в автоматизации процессов обнаружения отклонений в поведении сотрудников и систем за счет непрерывного сбора и анализа поступающих данных. Платформа определяет и строит связи между ними, позволяя раскрывать мошеннические схемы, выявлять злоумышленников и оперативно реагировать на различные виды инцидентов. Качество и высокая степень автоматизации выявления угроз достигаются за счет применения методов машинного обучения и поведенческой аналитики. Именно это и позволяет использовать «Гарда Аналитика» как реальный инструмент контроля оперативной обстановки в компании.

«Гарда Аналитика» — это не просто новый инструмент, а целый комплекс мероприятий, с принципиально иным подходом, включающий возможность создания и непрерывной актуализации базы сценариев.

Возможность гибко адаптироваться к новым угрозам — одна из ключевых особенностей платформы. При создании «Гарда Аналитика» особое внимание уделялось выстраиванию целой экосистемы безопасности, позволяющей подключать большое число разнородных источников событий. В частности, бесшовная интеграция наших решений по защите от утечек информации, мониторингу бизнес-приложений, баз данных и сетевого трафика позволяет обеспечить глобальную видимость всей внутренней обстановки в компании за пределами возможностей отдельно взятых информационных систем.

«Гарда Аналитика» применяется преимущественно в крупных компаниях, которые обладают широкой информационной инфраструктурой. Это в первую очередь холдинговые и территориально-распределенные организации промышленного, финансового сектора и телекома, где автоматизированы и оцифрованы практически все бизнес-процессы.

Функциональные возможности платформы безопасности

Качество работы систем анализа больших данных напрямую зависит от числа источников этих данных: чем больше информации о деятельности компании в электронном виде, тем эффективнее работа платформы. Интеграция данных из всех информационных систем и внешних источников дает комплексное видение того, что происходит в компании.

«Гарда Аналитика» интегрирует данные из различных систем предприятий в числе которых ERP-системы, СЭД, СКУД, системы проектирования и моделирования, CRM и других бизнес-системы корпоративного управления, бухгалтерские системы, а также системы ИТ и информационной безопасности. Более того, система собирает открытые данные из государственных информационных источников.

Платформа наделена следующими функциональными возможностями:

Тотальный контроль всех процессов и потоков данных в корпорации на всех уровнях — от рабочего места каждого пользователя и действий в бизнес-системах до сетевого трафика. Это особенно важно для территориально-распределенных компаний.

Сокращение операционных затрат. Экосистема оптимизирует рутинные операции службы безопасности через автоматический контроль работы сотрудников, который ранее выполнялся вручную. Это позволяет снизить риск инцидентов безопасности за счет агрегирования всех данных из разных источников на единой платформе. Благодаря непрерывному мониторингу всех событий «Гарда Аналитика» строит автоматизированные цепочки взаимодействия с данными, что позволяет минимизировать угрозы безопасности еще до причинения реальных убытков. Например, по нескольким первоначальным событиям можно понять, что высока вероятность дальнейшего развития инцидента в виде вывода критичной конфиденциальной информацией или начала кибератаки.

Оптимизация ФОТ за счет контроля занятости сотрудников на рабочих местах и мониторинга всех коммуникаций. Точный анализ рабочего процесса, контроля рабочего времени и продуктивности решения рабочих задач, позволяет повысить эффективность персонала и увеличить прибыльность бизнеса за счет повышения KPI сотрудников или снижения фонда оплаты труда.

Масштабирование платформы — контроль из единого центра и на местах. Платформа «Гарда Аналитика» имеет модульную структуру и позволяет гибко масштабироваться, анализируя большие данные всей организации, включая территориально распределенные офисы. Внедрение решения начинается с базовой функциональности, которая уже будет решать определенные задачи безопасности, постепенно расширяя охват филиалов и предприятий за счет подключения новых источников данных. Происходит так называемое взращивание экосистемы через обогащение данными из информационных систем предприятий. Непрерывный анализ источников данных позволяет исключить денежные и репутационные потери бизнеса, понять, что происходит в компании и действовать превентивно, обеспечить безопасность всех информационных потоков и свести к минимуму затраты на внедрение систем безопасности.

Технологический взгляд на безопасность

«Гарда Аналитика» становится информационным ядром компании и позволяет формировать единую экосистему безопасности всего предприятия. Платформа безопасности, не меняя бизнес-процессы, видоизменяет сам способ обнаружения угроз.

Система автоматизирует задачи служб безопасности, выявляет угрозы и помогает в расследовании инцидентов, непрерывно обеспечивая безопасность всей организации из единого центра. Это позволяет радикально расширить область контроля и видимость угроз.

Машинное обучение — ключевая составляющая архитектуры платформы. В «Гарда Аналитика» машинное обучение работает непрерывно, а его результаты можно применять в других механизмах выявления инцидентов. Например, использовать факт отклонения в поведении пользователя или ПО как часть цепочки событий.

«Экосистема безопасности, которую формирует «Гарда Аналитика» за счет анализа данных максимального числа источников, включая интеграцию с системами ИБ от «Гарда Технологии», — это новый подход к обнаружению инцидентов информационной и экономической безопасности. В его основе — автоматизация сценариев безопасности и выявление потенциальных рисков до совершения инцидентов. Одно из главных условий работы с платформой — выявление и описание всех сценариев возможных инцидентов в компании. Базовые кейсы нарушения безопасности, как правило, формируются уже при внедрении системы. Библиотеки кейсов по выявлению и расследованию инцидентов безопасности постоянно обновляются, поэтому большая часть из существующих кейсов уже преднастроена в системе. Это позволяет детектировать нарушителей с высокой степенью точности, не прибегая к постоянной тонкой настройке платформы», — говорит Роман Жуков, директор центра компетенций «Гарда Технологии».

Благодаря мультимодальному подходу к хранению и обработке данных, система способна обрабатывать миллиарды событий. Это дает возможность строить связи за секунды по всему объему накопленных сведений. Используемые системой методы анализа больших данных и поведенческой аналитики помогают выявлять неочевидные цепочки событий, приводящие к инцидентам, и распознавать различные схемы мошенничества еще до нанесения реального ущерба.

Практика применения платформы «Гарда Аналитика»

Внедрение платформы «Гарда Аналитика» предполагает поэтапный подход. Для того чтобы начать получать реальный эффект от внедрения системы, достаточно начать с автоматизации 10-20 базовых кейсов безопасности и подключения 5-10 источников данных. Впоследствии систему можно бесшовно расширять, добавляя новые модули без потери текущих данных и решая новые задачи безопасности.

Рассмотрим на практических примерах, какие задачи безопасности позволяет решить платформа «Гарда Аналитика».

Автоматизированная проверка контрагентов компании и кандидатов при трудоустройстве

Система позволяет автоматически выявить ненадежных контрагентов, находящихся на стадии банкротства или отзыва лицензии и неблагонадежных кандидатов, замеченных в работе на конкурентов, в незаконном обогащении или обладающих несоответствующей репутацией. Платформа «Гарда Аналитика» позволяет задать определенные правила ежедневной проверки по кейсам безопасности и выявлять по ним подозрительных сотрудников и контрагентов.

Пример: компания участвовала в конкурсе на поставку оборудования. И на первом этапе работ по заключенному контракту выяснилось, что у подрядчика отозвана лицензия и запущен процесс его ликвидации. С помощью аналитической платформы удалось выявить эти факты и приостановить работу и перевод оплаты недобросовестному подрядчику.

Мониторинг закупочных процедур

Система интегрируется с различными системами предприятия, закупочными сервисами и бухгалтерскими программами, включая почтовые сервисы для анализа переписки по электронной почте между закупщиками и поставщиками. Благодаря моделированию всей информации в одном месте система позволяет выявить потенциальный сговор при определении поставщиков, намеренное завышение закупочных цен, обход или подделку установленных процедур согласования.

Пример: разоблачили две компании из разных регионов, которые подавали коммерческие предложения на один и тот же конкурс. Анализ данных об участниках с помощью платформы «Гарда Аналитика» доказал, что хоть они и из разных регионов, но адрес учредителей и регистрации компаний совпадает. Экосистема смогла вычислить не только юридическую информацию, но и родственные связи владельцев компании из открытых источников.

Контроль доступа сотрудников к внутренним системам

Контроль легитимности как внешнего, так и внутреннего доступа необходим, чтобы отслеживать попытки использования служебного положения в личных и противоправных целях, — от утечки данных и перепродажи ноу-хау или иной закрытой служебной информации до манипулирования данными с целью злого умысла и шантажа. «Гарда Аналитика» помогает выявить неконтролируемые подключения к критически важным бизнес-системам. Бывают случаи выдачи избыточных прав доступа или нелегальное получение доступа с помощью привилегированных пользователей.

Пример: менеджер в банке просматривал много счетов премиальных клиентов без активных действий с ними. При обнаружении входящей транзакции по ним — перечислял деньги на подставные счета и обналичивал их.

Интеграция с операторами связи для выявления геолокации и подозрительных звонков

«Гарда Аналитика» интегрируется с операторами связи для получения данных по корпоративным номерам по сим-картам, находящимся у сотрудников. Эти данные позволяют строить глубокие аналитические отчеты, обогащенные информацией из других источников. Данные местоположения абонентов, информацию о фактах звонков и смс можно получить легально при заключении договора между работодателем и оператором связи. На основании операторской информации можно определить геолокацию через приложения телефона или систему навигации ГЛОНАСС. Это позволяет детектировать отклонение от привычных маршрутов до места присутствия. По данным о вызовах со служебных сим-карт можно определить круги общения сотрудника.

Пример: двое сотрудников из различных подразделений регулярно в течение длительного времени каждую неделю перемещались по одному адресу, хотя пересечений по работе у них не было. Анализ службы безопасности показал, что и дружеских отношений между ними не было. Оказалось, что они вместе совершали противоправные действия в отношении компании в виде передачи конфиденциальных данных о сделках.

Поведенческие модели и отклонения от них — основной вектор развития платформы «Гарда Аналитика». Благодаря такому подходу можно выявлять те нарушения безопасности, которые невозможно предсказать заранее, таких цепочек действий мошенники еще не предпринимали.

Защита от внешних атак и заражения вредоносными программами

«Гарда Аналитика» контролирует инфраструктуру предприятия на всех уровнях: как рабочие места, так и бизнес-системы. Автоматический мониторинг охватывает все процессы в сетевом трафике, благодаря чему происходит обнаружение и защита от DDoS-атак, попыток проникновения различных вирусов-шифровальщиков, нелегального майнинга криптовалют.

Пример: обнаружение атаки через корпоративный прокси-сервер. Целевые многоходовые кибератаки отследить крайне сложно, так как хакеры на каждом шагу могут использовать легальные инструменты. Сами по себе отдельные события не представляют угрозы, но когда складывается определенная последовательность, — атака может быть совершена. Важно отслеживать предпосылки таких атак, чтобы реагировать как можно раньше.

Большинство компаний используют прокси-сервер для доступа пользователей в интернет. Он зачастую доступен извне, что дает хакерам потенциальную возможность проникнуть в компанию. «Гарда Аналитика» позволяет применить подход «от обратного», когда система фокусируется на главной цели потенциального хакера и строит защиту от нее, развивая цепочку событий вплоть до раскрытия.

Профилирование действий сотрудников

«Гарда Аналитика» позволяет строить поведенческие модели сотрудников и отслеживать отклонение от нормального поведения, построив полностью картину рабочего дня в отношении сотрудника как его поведения в целом, так и в отношении критичных бизнес-ресурсов.

Пример: в любой компании у сотрудника есть своя роль — бухгалтер, инженер, строитель. У каждого есть определенные профессиональные задачи и профессиональное поведение. Система позволяет отслеживать действия пользователей согласно профилю и выявлять такие аномалии, как повышенный интерес к информации, не имеющей отношения к его должностным обязанностям, либо существенное отклонение от поведения коллег.

Комплексный подход к управлению безопасностью

Ключевые преимущества нового подхода, на котором строится логика работы платформы «Гарда Аналитика», — в объединении всех популярных источников и данных внутрикорпоративных систем в едином ситуационном центре.

«Гарда Аналитика» позволяет интегрироваться с социальными сетями и мессенджерами, что существенно ускоряет работу с онлайн-заявками с полным контролем действий сотрудников.

Платформа комплексно исследует конкретную предметную область предприятия, формируя единую картину всего, что происходит в компании и внешнем информационном поле. Система отслеживает именно те факторы риска, которые актуальны для конкретного предприятия, исходя из существующих бизнес-процессов.