SIEM, UEBA, DLP и прочие красивые, но бестолковые слова

Маркетологи знают — мы покупаем не товары. Мы платим деньги за наши представления о них, а проще говоря за красивые слова. Швабра стоит 300 рублей, а ведро 100; но если положить их в одну коробку и назвать «комплекс для мытья пола», то за него выложат и 1000 рублей. А прикрутите распылитель для моющего средства за 300 и комплекс станет «инновационным» и за него уже грех просить меньше трех тысяч.

Точно так же это работает и на рынке программного обеспечения, в частности систем контроля сотрудников. Чтобы софт продавался, нужно придумать умные термины и аббревиатуры, причем обязательно на английском. И загипнотизированные магией букв, корпоративные покупатели откроют свои кошельки расчетные счета. При этом большинство покупателей не только не знает, что означают эти термины, но и не задумывается о том, что в ряде случаев функционал программы не соответствует заявленному в описании термину. То есть, вот захотелось создателям назвать свою систему гордым словом SIEM — и назвали, никакого подтверждения или сертификации для этого не требуется.

Один наш конкурент вообще написал о своем продукте «SIEM, DLP и UEBA в одном флаконе». Ага, что мелочиться-то? (Кстати, помните откуда к нам пришла фраза «в одном флаконе»? Из рекламы обычного шампуня в начале 90-х).

Давайте попробуем разобрать «по косточкам» именно эти три термина: SIEM, UEBA и DLP. Что это такое, может ли быть применено к обычной системе контроля сотрудников, и почему правильные системы контроля без умных аббревиатур справляются с заявленным задачами лучше.

SIEM — Security Information and Event Management

Каждую секунду в сетевой и ИТ-инфраструктуре (серверы, компьютеры и программы) вашей организации происходит множество событий. Сканируются порты, копируются файлы, запускаются программы… Большинство действий совершенно легальны и безобидны, но среди них встречаются и враждебные, целью которых является кража данных или причинение вреда компании. Но вот как их найти?

Для этой цели и применяются SIEM-системы. В их базы стекаются данные изо всех возможных логов и информационных систем предприятия. Дальше, в теории, на основе этих данных система должна выявить угрозы.

Путей для выявления два:

1. Трансформировать данные и так показать их в информационной панели (дашбоарде), чтобы оператор с одного взгляда понял что происходит.

2. Прогнать информацию через аналитическую систему (базирующуюся на технологии машинного обучения, нейросетях, гадании на кофейной гуще и пр.), которая сама обнаружит опасные действия, предупредит оператора, а то и примет меры.

Первый путь любим производителями «псевдо-SIEM» (ведь слепить дашбоард несоизмеримо проще, чем сделать автоматизированную аналитику), но абсолютно неприемлем для использования. Даже для компании среднего размера потребуется завести «диспетчерскую», где 5-10 человек будут неотрывно следить за графиками и показателями. 

А вот с созданием аналитической системы всё грустно. И тому есть две причины. Во-первых, никакая система в одиночку не способна собрать так много данных, чтобы выводы аналитики были действительно релевантны. Нужно взять логи файрвола, сетевого сниффера, Active Directory, файловых серверов и так далее.  А системы контроля сотрудников, которые лишь маскируются под SIEM способны предоставить лишь малое подмножество данных, вхоже оправленной и принятой почты/сообщений и пр.

Но вторая причины более важна и практически не преодолима в настоящее время. В случае борьбы со внешними угрозами (взломами сети) можно  определить четкие правила определения потенциальной опасности. Например, если с одного и того же IP-адресы были попытки обращения к нескольким порта, значит осуществляется сканирование портов. Что в свою очередь можно определить как попытка взлома, а в качестве превентивной меры доступ с этого IP запрещается.

Но всё не так просто, если речь идет об угрозе изнутри. Если сотрудник хочет украсть данные из CRM, то он выполняет следующую последовательность шагов: 

1. выгружает записи из CRM;

2. cжимает получившийся файл в архив (скорее всего закрытый паролем);

3. отправляет его по почте / копирует на флэшку или в облачное хранилище.

По отдельности все эти три операции вполне невинны. Если будете подозревать всех, кто экспортирует данные из информационных систем или оправляет вовне файлы, то уподобитесь пастушку из сказки, который постоянно орал «Волки!» и плохо кончил. И только все три операции вместе (причем разнесенные по времени на часы или дни) могут свидетельствовать о злом умысле сотрудника.

Беда только в том, что реализовать простую систему, позволяющих определить внутреннюю угрозу на основе серии пользовательских событий, НЕВОЗМОЖНО

Каких-то успехов добиваются сложные и дорогие продукты, которые требуют мощных серверов, огромных баз и долгосрочного (2-3 месяца) внедрения и обучения. Но даже после него вы всё равно получите множество ложных срабатываний. А значит нужно держать отдельного сотрудника СБ, который будет оперативно разбираться, где агнцы, а где козлища.

А просты системы контроля сотрудников подобный функционал дать не в состоянии. Их «анализаторы рисков» просто производят полнотекстовый поиск по всем перехваченным сообщениям и в случае совпадения, генерируют предупреждение. Недавно такой «анализатор» выдал клиенту (который после этого мигрировал на Kickidler) «возможна торговля наркотическими веществами» после того как бухгалтер в переписке упомянула слово «приход». Вам нужен такой «автоматизированный контроль»?

Что предлагаем мы?

Серьезное препятствием (в данном случае — технологическое) как телеграфный столб. Его не перешагнуть, но можно обойти. Поэтому создатели Kickidler не стали маскироваться под SIEM, а добавили в продукт гистограмму нарушений.

Когда сотрудник совершает потенциально подозрительное действие, оно отображается на гистограмме (чем больше активности, тем толще столбик гистограммы). Достаточно выделить на гистограмме любое подозрительное событие и откроется запись видео действий сотрудника (а на видео пишутся все рабочие столы, причем за все время работы ПК). И вот с помощью видео достаточно просто проверить что сделал сотрудник с данными из CRM — загрузил в Excel для анализа или отправил конкурентам.

Подробнее про это вот тут: https://www.kickidler.com/ru/video-recording.html

А где же рассказ про UEBA и DLP?

Увы, не уместился в рамках одной статьи. Но в следующий раз я напишу и про эти буквы. Как и в этот раз будет сеанс с разоблачением.

To be continued...