Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
Поведенческая аналитика и DLP-системы наконец заняли достойное место в арсенале средств ИБ и активно интегрируются с SOC/SIEM
Примерно год назад в рамках «Международного конгресса по кибербезопасности» (ICC 2019) Герман Греф, президент, председатель правления Сбербанка, произнес крайне любопытную для любого «безопасника» фразу: «Два года назад мы ввели в действие SOC и были уверены, что достигли очередной планки соответствия, но сейчас понимаем, сколько нам еще нужно сделать». С учетом масштаба инвестиций в этот комплекс SOC/SIEM, широкого международного сотрудничества Банка при его создании и эксплуатации было бы интересно услышать о конкретных планах. Но, увы, Герман Греф об этом не сказал.
Зато руководитель службы кибербезопасности Сбербанка Сергей Лебедь сделал несколько предположений по этому поводу: более широкое использование элементов искусственного интеллекта и более активное внедрение средств поведенческой аналитики. Одну из причин будущих нововведений он обозначил так: «Бедой цифровой экономики является цифровой же хаос». А если учесть последовавшую через полгода пандемию COVID-19, разом отправившую на «удаленку» массу офисных сотрудников с обострением связанных с этим рисков, то этот хаос явно приобрел «человеческое лицо».
Нельзя сказать, что проблема человеческого фактора в ИБ ранее не представляла серьезной угрозы. Наоборот, проблема инсайдеров была, есть и, к сожалению, будет. Уже наработан приличный технологический бэкграунд в этой сфере. Но он помогает больше в условиях функционирования бизнеса в статичной среде в рамках офисов. Ни того, ни другого сегодня нет. Зато есть пандемия COVID-19, из-за которой отменена масса ИБ-форумов, в том числе ICC 2020. Огромное число экспертов ожидали от форума двух ответов на злобу дня: действительно ли необходимо расширять функционал SOC средствами поведенческой аналитики и достаточно ли этой возможной связки для контроля удаленных сотрудников для нужд ИБ?
Поэтому «Б.О» попросил высказаться экспертов на эту тему с перспективой на весь финансовой рынок страны.
В отличие от «чистого» SIEM, в котором создаются статические правила, системы класса UEBA формируют профили
Марсель Айсин, эксперт направления информационной безопасности IT-компании КРОК, рассказал: «Последние несколько лет мы наблюдаем рост интереса к использованию систем User and Entity Behavioral Analytics (UEBA) в банковском сегменте. На основе алгоритмов машинного обучения и статистического анализа они позволяют строить профили поведения пользователей и выявлять ранее неизвестные аномалии. В отличие от “чистого” SIEM, в котором создаются статические правила, системы класса UEBA формируют профили. Например, с переходом сотрудников на работу из дома резко возросло количество удаленных подключений и число способов удаленного подключения к корпоративным ресурсам».
Под видом легитимного подключения может скрываться злоумышленник, который скомпрометировал рабочую станцию пользователя. В большом потоке событий его вычислить крайне сложно, кроме того, для разбора каждого события требуются колоссальные человеческие ресурсы.
По мнению эксперта, применение технологии UEBA позволяет обогатить событие о подключении дополнительными признаками, например запускаемыми процессами, временем совершения события, геоданными и т.п. Механизм профилирования позволяет избегать ложных тревог, корректируя благодаря постоянному дообучению профиль пользователя на основе поведения за определенный промежуток времени.
«В целом, симбиоз UEBA и SIEM-систем позволяет выявить сложные атаки, которые невозможно охватить статистическими правилами, так как они нацелены на выявление ранее известных сценариев атак и не позволяют включить в себя весь контент происходящего: информация о компании во внешнем мире, IT-активах, уязвимостях, местонахождении, бизнес-ролях пользователей и т.п.», — заключил представитель КРОК.
На сегодня UEBA в ИБ пока больше ассоциируется с контролем легитимных действий добросовестных сотрудников. Но среди них всегда находятся те, кто сознательно идут как на нарушение корпоративного режима ИБ, так и на действия, которые прямо подпадают под нормы Уголовного кодекса, описывающие хищение приватной информации и данных, составляющих коммерческую тайну. Таких сотрудников принято называть инсайдерами, а IT-решения, призванные бороться с их действиями, — системами по предотвращению утечек (Data Leak Prevention, DLP).
О том, как именно удаленный режим работы провоцирует некоторых людей на пренебрежение к требованиям ИБ, сейчас говорить не будем, а дадим слово Марии Вороновой, директору по консалтингу ГК InfoWatch. Она утверждает: «Классически понятие SOC — это так называемый ситуационный центр, который объединяет в себе данные, поступающие из различных систем безопасности и мониторинга. Он позволяет их коррелировать наиболее полезным образом для выявления потенциальных или уже свершившихся инцидентов кибербезопасности. Решения классов DLP и UEBA — это поставщики двух дополнительных срезов данных для SOC, причем в фокусе обеих систем находятся именно сотрудники и другой внутренний персонал, другими словами — инсайдеры».
DLP обеспечивает мониторинг на уровне контентного анализа, то есть всего, что связано с потоками любой информации по каналам передачи данных
При этом DLP обеспечивает мониторинг на уровне контентного анализа, то есть всего, что связано с потоками любой информации по каналам передачи данных. А UEBA добавляет сюда же какие-либо аномалии в поведении персонала, которые могут свидетельствовать либо о компрометации учетной записи сотрудника, либо о его нестабильном моральном состоянии, в котором он может нанести ущерб. Если сюда же добавить данные о событиях, поступающих из SIEM-систем, где скапливается множество информации другого уровня (в основном это лог-файлы из различных источников), можно получить более достоверную и прозрачную картину сценариев тех или иных инцидентов или попыток их совершения.
Мария Воронова продолжает: «Тут можно привести простой пример — система DLP фиксирует попытку утечки данных. Одновременно от системы класса UEBA поступает информация о девиантном поведении учетной записи N.N. Далее лог-файлы говорят, что пользователь штатно вошел в систему со стационарного рабочего места (неудаленным способом), а данные с пропускной системы говорят, что входа по пропуску сотрудника с учетной записью N.N. зафиксировано не было. Все это скапливается в “едином окне”, да еще в виде дашбордов и графов событий, что крайне удобно для офицеров безопасности».
Итак, мы начали анализ с того, что все большее число экспертов в области ИБ называют одной из главных проблем нарождающейся цифровой экономики хаос, вызванный все более ускоряющимся развитием технологий и порой непредсказуемым их воздействием на государство в целом, бизнес и отдельных людей. ГК InfoWatch даже предложила специальный термин, описывающий это явление, — VUCA-мир. Причем технологии в этом мире привносят куда меньший уровень неопределенности, чем действия людей. До поры до времени с этим мало что можно было поделать, пока эти самые люди не научились делегировать часть своих способностей элементам искусственного интеллекта. Благодаря этому DLP- и UEBA-системы совершили качественный технологический скачок и в симбиозе SOC/SIEM, в полном соответствии с теорией Стивена Манна, способны трансформировать обычный хаос в управляемый его вариант. Или это пока только иллюзии?
Вместе с изменениями в бизнесе, которые повлекли за собой пандемия COVID-19 и сопутствующие ограничительные меры, меняются и требования к SOC в финансовых учреждениях. В частности, переход на удаленную работу сотрудников заставляет бизнес внедрять новые технологии, подключать дополнительные источники данных, а также менять методологии внедрения. Именно поэтому на рынке SOC/SIEM наблюдается оживление и появляется много новых идей. Какие из них «выстрелят», мы узнаем уже очень скоро, ведь успех зависит не только от идеи, но и от уровня зрелости процессов организаций
Более 75% заявок на потребительские кредиты приходит через интернет, внутри которого доминирует и постоянно растет доля заявок, заполняемых в мобильном телефоне. Несмотря на то что российские банки преуспели в создании удобных банковских приложений, представление и обработка онлайн-заявок у них сильно различаются и не всегда оптимальны
О том, как работает PR среднего по размеру универсального банка, как привлечь к нему интерес и уметь писать на все темы, Яна Шишкина, главный редактор «Б.О», расспросила Елену Габисония, руководителя пресс-службы Банковской группы ТКБ
26 марта в Еврейском музее и Центре толерантности состоится благотворительная тусовка «21/03» в пользу фондов «Синдром любви» и «Даунсайд Ап». Она приурочена к Международному дню человека с синдромом Дауна, который отмечается ежегодно 21 марта