Аналіз поведінки користувачів і виявлення аномалій в StaffCop Enterprise

1. Вступ
3. Статистичний аналіз
5. Попередження і розслідування
6. Додаткові можливості StaffCop
7. висновки

У статті розказано про можливості системи StaffCop Enterprise 4.1 в частині аналітики поведінки користувачів і виявлення аномалій. StaffCop Enterprise - це спеціалізований продукт з функціями UEBA, DLP і SIEM. Він призначений для вирішення комплексу завдань із захисту від витоків інформації, розслідування інцидентів усередині організації, контролю бізнес-процесів і моніторингу використання робочого часу співробітниками.

1. Вступ
2. Збір даних
3. Статистичний аналіз
4. Інтелектуальний аналіз. Автоматичний детектор аномалій
5. Попередження і розслідування
6. Додаткові можливості StaffCop
7. висновки

Вступ

Одна з основних, найбільш серйозних загроз для бізнесу сьогодні - це витоку конфіденційної інформації. Як правило, джерелами таких загроз є недобросовісні співробітники компаній - інсайдери. Інсайдером може стати абсолютно будь-який співробітник: і молодий сисадмін, і співробітниця бухгалтерії. Мотиви у них можуть бути абсолютно різні: підкуп з боку конкурентів або зацікавлених осіб, шантаж, особиста вигода і багато іншого.

Традиційно для захисту від витоків застосовуються системи класу DLP. Але чим складніше і витонченішими стають методи атак, тим складніше DLP-рішень контролювати потенційні канали витоків. Класичний алгоритм виявлення інсайдерів і запобігання витоків (налаштувати правило контролю / блокування - отримати повідомлення про витік) працює вже не так ефективно: виявити витік даних складно і довго, якщо, наприклад, «злив» стався через дозволені канали (USB-носії, месенджери) і користувач при цьому мав санкціонований доступ до ресурсів.

Одним з нових, але досить ефективних методів детектування інсайдерів став аналіз поведінки користувачів і виявлення аномалій в їх поведінці. Підхід передбачає, що незвичайна активність, яка не відповідає стандартному профілю, може більш точно вказувати на потенційні інциденти інформаційної безпеки. За класифікацією Gartner, цей клас рішень називається User and Entity Behavior Analytics (UEBA). Це новий тренд, активно набирає обертів на ринку інформаційної безпеки. Рішення цього класу аналізують зразки поведінки користувачів, застосовуючи спеціалізовані алгоритми і статистичний аналіз для детектування значних аномалій в поведінці, що вказують на потенційні загрози. Таким чином, UEBA покликані завчасно виявити і попередити про відхилення в поведінці.

StaffCop Enterprise, про який ми детально поговоримо в цій статті, - це спеціалізований продукт з функціями UEBA, DLP і SIEM. Він допомагає вирішувати комплекс завдань щодо запобігання витоку інформації, розслідування інцидентів, якщо такі відбулися, а також контролювати бізнес-процеси і то, як робоче временя використовується співробітниками.

Збір даних

Інформаційна безпека складається з двох взаємодоповнюючих частин: попередження і розслідування інцидентів. Обидва механізми працюють швидко і ефективно завдяки архітектурі StaffCop: агенти на робочих станціях збирають інформацію (події), а вся обробка відбувається на виділеному сервері.

Кожен тип події має свій набір вимірювань, за якими події різних типів можуть бути пов'язані між собою. Кожна подія має стандартний набір вимірів - дані про комп'ютер, користувача, дату і час, а також власні атрибути характерних для даних подій. Наприклад, події типу «пошта» мають додаткові виміри - дані про програму, атрибути, специфічні для діалогів: напрямок (вхідні / вихідні), відправник, отримувач, формат повідомлення, канал спілкування, учасники листування.

Малюнок 1. Контроль каналів витоку інформації

Типи подій в StaffCop Enterprise:

• час активності - дані про наявність активності;
• введення з клавіатури;
• вхід / вихід з системи;
• відвідування сайтів;
• операції з файлами;
• мережу - події, пов'язані з мережевими підключеннями, містять інформацію про IP-адресу підключення і сокеті;
• знімок екрану;
• знімок з веб-камери;
• запис з мікрофону;
• зовнішні диски - дані про операції зі знімними USB-накопичувачами;
• установка ПО - факти установок і деінсталяції програмного забезпечення;
• буфер обміну;
• інтернет-пейджер;
• пошта;
• перехоплений файл;
• пристрою - дані про підключення і відключення USB-пристроїв, в тому числі тих, які не є накопичувачами;
• активність - дані, зібрані за допомогою модуля контролю присутності на робочому місці;
• системний лог - використовується для зберігання логів агента при налагодженні;
• друк документів.

Статистичний аналіз

В основі StaffCop Enterprise лежить технологія комплексного багатовимірного аналізу даних OLAP, яка дозволяє будувати багатовимірні звіти «на льоту» і обробляти величезні обсяги даних за секунди.

Давайте розглянемо декілька прикладів, як в StaffCop можна аналізувати поведінку користувачів і швидко виявляти їх небезпечні дії на основі статистики за допомогою конструктора звітів, різних таблиць і графіків.

Пошук і розслідування аномалій на прикладі файлових операцій

Завдання: проаналізувати операції копіювання файлів за участю знімних носіїв. Знайдемо відхилення від нормальної поведінки і сплески активності, дізнаємося, хто це був, що і коли було скопійовано.

Найбільш наочним способом буде побудувати лінійний графік кількості подій копіювання файлів на знімні носії. Зробити це дуже просто - вказати цікавить інтервал часу, в конструкторі звітів обмежити набір даних по вимірах «операції копіювання», «тип диска: Removable» і вибрати вид відображення «Лінійний графік».

Малюнок 2. Лінійний графік кількості подій копіювання файлів

Неозброєним поглядом видно значне перевищення фактів копіювання файлів в один із днів. При натисканні на вершину графіка можна перейти до списку всіх операцій копіювання в цей день.

Для деталізації даних можна просто клікнути на потрібний вузол графіка. На зображенні нижче ми «провалилися» глибше і візуалізували отримані дані за допомогою гістограми, розбивши в конструкторі дані по користувачах.

Малюнок 3. Деталізація даних: гістограма

Якщо ви віддаєте перевагу числові значення графічної уявленню можна скористатися таблицями.

Малюнок 4. Візуалізація звіту: числові значення

Варто відзначити, що всі графіки і таблиці мають власний конструктор для швидкої деталізації та уточнення даних.

Малюнок 5. На теплової діаграмі можна оцінити інтенсивність і час всіх операцій досліджуваного користувача

У нашому випадку користувач безперервно копіював файли з 11:15 до 13:37. У вікні перегляду подій легко здогадатися, що це вихідні коди одного з дистрибутивів Linux, які були скопійовані з жорсткого диска на флеш-накопичувач Kingston DataTraveler 2.0 USB Device.

Малюнок 6. Деталізація події в StaffCop Enterprise

Таким чином можна швидко і ефективно знаходити нетипову активність користувачів або програм. Такі дії можуть застосовуватися практично до будь-яких видів подій.

Небезпечні дії найчастіше виникають при спонтанної активізації:

• звернення до особистої пошти;
• мережева активність додатків;
• підключення знімних USB-пристроїв: флешок, телефонів і т. п .;
• використання принтера;
• активність у позаробочий час.

Інтелектуальний аналіз. Автоматичний детектор аномалій

Для того щоб спростити роботу співробітника служби безпеки для аналітики дій користувачів і виявлення відхилень в StaffCop реалізований автоматичний детектор аномалій. Він аналізує поведінку користувача за вибраний період часу і показує відхилення від нормальної поведінки.

Малюнок 7. Автоматичний детектор аномалій в StaffCop Enterprise

Наприклад, кожен співробітник щодня використовує одні й ті ж додатка приблизно однакове число раз. Якщо число операцій багаторазово перевищує стандартне значення, то StaffCop Enterprise видає таку подію за аномальна поведінка, що може бути потенційною загрозою.

Пошук і розслідування аномалій на прикладі копіювання в хмару

Робоча інструкція офіцера безпеки підприємства може включати різний набір інструкцій. У цьому прикладі однієї з таких щотижневих рутинних завдань є перевірка фактів копіювання файлів в хмарні сервіси.

1. Детектор аномалій дозволяє в автоматичному режимі знаходити відхилення від стандартного поведінки користувачів. Для того щоб ця функція коректно працювала, необхідно задати представницький проміжок часу, щоб система змогла побудувати патерни поведінки і знайти в них відхилення від норми.
   Тому вибираємо 30-денний період.

Малюнок 8. Вибір часового періоду для запуску Детектора аномалій

1. Щоб запустити Детектор аномалій, необхідно натиснути відповідну опцію у випадаючому меню Звіти.

Малюнок 9. Запуск «Детектор аномалій» в StaffCop Enterprise

1. У який з'явився звіті знаходимо, що користувач Oksana в сім разів перевищила свою ж норму копіювання файлів в хмарний сервіс Dropbox.com.

Малюнок 10. Звіт по аномалій в StaffCop Enterprise

1. Простий комбінацією фільтрів в Конструкторі маємо дані в звіті таким чином, щоб назва ліченого з жорсткого диска файлу з'являлося в таблиці операцій поруч з ім'ям переданого в хмарний сервіс файлу.

Малюнок 11. У звіті StaffCop Enterprise видно, хто, коли і які файли передавав за периметр мережі

На наведеному скріншоті видно, що в 12:58:28 12 вересня 2017 р файл «Техніко-комерційну пропозицію StaffCop Enterprise.docx» був лічений з жорстокого диска комп'ютера користувача Oksana, а в наступну секунду (12:58:29) цей же файл був переданий в хмарний сервіс.

Висновок: за допомогою Детектора аномалій, вбудованого в StaffCop Enterprise 4.1, можливо виявляти інциденти автоматично.

Попередження і розслідування

Для попередження загроз StaffCop має ємну бібліотеку вбудованих фільтрів і надає широкі можливості для побудови власних: це може бути ключова фраза, файл або будь-яке інше подія на комп'ютері користувача.

Крім того, в системі передбачені також виключають фільтри (анти-фільтри) - можна виключити з вибірки свідомо нецікаві події. Таким чином, можливо корелювати і фільтрувати будь-які події, що містяться в базі даних.

Малюнок 12. Виключають фільтри (анти-фільтри) в StaffCop Enterprise 4.1

Спосіб оповіщення про спрацював фільтрі можна налаштувати в залежності від терміновості: відправкою повідомлення на електронну пошту офіцера ІБ або повідомленням в панелі адміністратора StaffCop.

Додаткові можливості StaffCop

StaffCop Enterprise дозволяє також легко контролювати дисципліну співробітників, виявляти блокують фактори і розслідувати причини їх появи:

• Облік робочого часу співробітників в онлайн-режимі (табель обліку робочого часу, деталізовані звіти про робочий час кожного співробітника).
• Контроль присутності на робочому місці.
• Знімки екрану.
• Перегляд віддаленого робочого столу і дистанційне керування.

Підключення до робочого столу користувача здійснюється прямо з консолі адміністратора в браузері, при бажанні можна захопити управління комп'ютером.

Малюнок 13. Віддалене підключення до робочого столу співробітника компанії

висновки

StaffCop Enterprise являє собою потужний набір інструментів для аналізу подій та інформації, що дозволяє оцінювати і контролювати продуктивність співробітників за комп'ютерами, швидко і точно розслідувати інциденти інформаційної безпеки всередині підприємства, а також вирішити широкий спектр завдань, пов'язаних з ІБ-аналітикою. За допомогою StaffCop Enterprise можна контролювати критичні інформаційні ресурси на предмет підозрілої активності і нетипової поведінки.

Система має гнучку настройку фільтрів і сповіщень, тому можливий витік або вторгнення вдається виявити на ранній стадії, ніж істотно скоротити наслідки. Глобальна система запису всіх можливих подій дозволяє в разі інциденту швидко дістатися до джерела витоку і точно назвати час, автора і обсяг втраченої інформації. Теплові карти активності, графи взаємодій співробітників і руху інформації, що настроюються графіки подій, встановлені і призначені для користувача фільтри - все це допомагає відстежити будь-який сценарій поведінки. Для аналізу не потрібно володіти спеціальними знаннями: досить розуміти, що шукаєш, і просто вибирати поля в формі.

Таким чином, StaffCop Enterprise дозволяє скоротити час, необхідний як на виявлення реальної загрози, так і на подальше розслідування інцидентів з критичними даними.