Как и зачем цифровой профиль пользователя «выносит вердикт»?

Сегодня мы расскажем о профилировании пользователей в СКДПУ НТ Мониторинг и аналитика и объясним, почему эта функциональная возможность продукта нужна и важна.

Пользователь – это отдельный администратор ИС, подрядчик или аудитор, который работает с ИТ-инфраструктурой компании. СКДПУ НТ Мониторинг и аналитика составляет карту действий, характерных для каждого ИТ-специалиста в процессе «нормальной» работы. То есть профиль пользователя объединяет данные по его активности внутри сессий. Так, например, он накапливает информацию о действиях по запуску процессов, выполнению различных команд, открытию окон и передаче файлов, времени его работы, ip-адресе и даже активности внутри сессии.

Все доступные события важны для создания карты действий пользователя.  Мы получаем информацию о них не только из собственных систем, но и из тех, что уже есть в инфраструктуре. Чтобы увеличить объем этих (получаемых) данных, мы расширяем список технологических партнеров и интегрируемся с их решениями.                                                      

А что можно делать с этими накопленными данными?

Внутри нашей системы есть отдельные компоненты — детекторы аномалий, которые являются частью аналитической системы. Каждый из них обладает своим набором задач от проверки событий по «шаблонам» до алгоритмов математической статистики и машинного обучения. Благодаря детекторам аномалий наше решение «прогоняет» события конкретного пользователя через эти детекторы и ищет инциденты основе своего «знания» об этом пользователе. Они создаются автоматически, если система чувствует какие-то отклонения от «нормы» — аномалии. Инцидент фиксируется и «отражается» в профиле конкретного пользователя. Он влияет на уровень доверия системы. Существует базовый уровень доверия к пользователю, который снижается в случае обнаружения аномалий в работе конкретного специалиста. Такой процесс даже можно сравнить с отношениями между людьми в реальной жизни. Человек судит по поступкам другого и доверяет ему меньше, если его, например, предали. Если система перестает фиксировать инциденты в работе конкретного пользователя, уровень доверия к нему со временем возрастает. Но все его прошлые действия система, разумеется, помнит 😉

Все профилирование построено для того, чтобы офицер безопасности мог максимально оперативно визуально оценить каждого пользователя. Важно понять, как много инцидентов уже произошло из-за действий конкретного специалиста и сколько вреда он может принести дальше, насколько он потенциально опасен. Поэтому первое, что видит офицер безопасности в личном деле каждого пользователя, — это уровень его доверия. Но также благодаря карточке отдельного ИТ-администратора можно узнать и другую информацию. Например, подробности о каждом инциденте, который возник в ходе работы этого пользователя, количество его сессий и их продолжительность, данные о целевых системах, с которыми он работал.

В этом и выражено цифровое профилирование в СКДПУ НТ Мониторинг и аналитика. На основе событий из сессий система формирует поведенческую модель пользователя и определяет уровень доверия к нему. Эти данные помогают «вынести вердикт» по работе каждого привилегированного пользователя ИС в режиме, приближенном к реальному времени.