1.    
  2.    
  3.     Еволюція безпеки: від охоронців до нейронних мереж

Еволюція безпеки: від охоронців до нейронних мереж

У той час як загрози для бізнесу перемістилися із зовнішнього середовища у внутрішнє (з рук сторонніх зловмисників в руки співробітників), аналіз big data набуває все більшого значення

Сьогодні ключовим аспектом для будь-якого бізнесу стають IT. І не важливо, що ви в кінцевому підсумку робите – возите вантажі, шиєте одяг або роздаєте кредити – все це перетворилося в автоматизований бізнес-процес, який без IT не працює. Навіть компанія з 50-ю співробітниками вже не може функціонувати без електронної пошти, файлового сховища, бухгалтерської програми, сотень електронних таблиць і хоча б доморослої CRM. IT- інфраструктура зі своїми системами і сервісами вже давно стала «кровоносною системою» будь-якої сучасної компанії.

Одночасно з цим змінився і характер втрат, які несе бізнес. Досить давно був пройдений етап, коли основним джерелом втрат для бізнесу були «розбійники з великої дороги». До сих пір прецеденти трапляються, але в цілому державні інститути і страхові компанії звели це, скоріше, до форс-мажорних обставин. З тих пір як це сталося, основним джерелом втрат для бізнесу стали співробітники. І якщо раніше охоронець дивився, щоб грабунку не відбулися ззовні, то тепер він почав «заглядати в сумки на виході з прохідної». Це, звичайно, перебільшений приклад, але в загальному-то системи безпеки пройшли саме такий «поворот на 360 °». З’явилися інститути внутрішнього контролю, сервіси відеоспостереження стали величезною індустрією, а для «підвищення якості обслуговування» стали записуватися всі розмови. З точки зору безпеки все подібні заходи, звичайно, дали певний ефект, але бізнесу (як ми вже з’ясовували, чиє існування неможливо без IT-технологій), з ростом можливих загроз, знову потрібно трансформуватися.

Тепер все бізнес-процеси «живуть» усередині IT-систем. І якщо ще 10-15 років тому щоб щось вкрасти з роботи, потрібно було винести предмет через прохідну, то зараз досить змінити реквізити в 1С або скасувати виставлений раніше рахунок. Можна прибрати людину з ланцюжка узгодження і тим самим просунути свого постачальника або отримати потрібне рішення кредитного комітету, можна змінити в клієнтській системі розмір знижки. Двома рухами мишки можна переслати конкуренту технологічні карти, які раніше перезнімали на мікроплівку спеціально навчені промислові шпигуни. Можна відкоригувати звітність для отримання премії. І найголовніше: завжди можна сказати – «це якась помилка в системі!» Найпарадоксальніше в цій ситуації те, що найчастіше, дійсно, мова може йти про помилку. Злий умисел не завжди є причиною зміни даних. Іноді ситуація може бути пов’язана не з помилкою, а з людським умінням «зрізати кути». Так уже влаштована людина, що завжди шукає спосіб зробити роботу найбільш простим способом. Зовсім не тим, який прописаний в посадовій інструкції. Це зазвичай і стає причиною «помилок», які не завжди помітні на одній ділянці процесу. Що ж стосується свідомих перекручень, тут все інакше.

Справа в тому, що ми всі звикли бачити під личиною злочинця людини або з відвертим девіантною поведінкою, або людини, якого змусила піти на поганий вчинок крайня потреба. Але останні 10-15 років і тут все стало не так однозначно. З злочинцями, як я вже згадав, більш-менш навчилися справлятися, а для інших потреба в грошах повністю перейшла в кредитні історії. На жаль, менше втрат від цього не стало. Чому? На жаль, все просто. По-перше, люди часто готові порушувати існуючі правила тільки тому, що можуть. Те саме інстинктивне «зрізання кутів», про який я вже згадував. По-друге, що наноситься збиток людина завжди обчислює своїм прибутком, а не чужий втратою, а значить збільшити знижку клієнту, щоб отримати додаткову виручку в цьому місяці і заробити 20 000 рублів премії, не виглядає як втрата 1 000 000 рублів через те, що ця знижка зробила маржинальність майже нульовий. А якщо до цього додати можливість заявити – «це якась помилка в системі!» … Загалом, статистично основні суми втрат тепер лежать саме в цій області. Здається дещо надуманим?

Давайте подивимося на ситуацію, коли при масовому виставленні рахунків при закритті періоду фахівець помилився в реквізитах і кілька сотень ваших клієнтів відправили платежі в інший банк. Нехай це теж ваш банк, і ваш спецрахунок. Ніякого злого наміру в цьому немає, але навряд чи це зробить ситуацію для вас більш простий: тепер потрібно домовиться з усіма такими клієнтами, щоб вони написали в банк про відкликання платежу, а потім, отримавши правильний рахунок, його оплатили знову. Все це означає, що ви отримаєте частину своєї виручки не раніше, ніж через місяць і, швидше за все, не доберете близько 10% (безумовно, знайдуться і ті, які скажуть: «Ми ваш рахунок оплатили, решта не наші проблеми» – і вони матимуть рацію).

Менеджер з продажу помилився і, вносячи дані про знижку в систему, поміняв місцями всього дві цифри – і клієнт отримує знижку не в 15%, а в 51% – це «з’їдає» всю маржу. Типові помилки, які тут же повторюються навмисне. Гроші, але вже на свій рахунок, знижку в обмін на «відкат».

Отже, змінилися сама модель загроз. Це означає, що повинна відбутися і трансформація методів захисту. Індустрія безпеки змінюється досить давно. На даний момент на ринку є системи контролю конфіденційної інформації (Infowatch, SolarDozor), які здатні розібрати трафік, що йде з робочого місця співробітника, і провести його семантичний аналіз. Системи контролю прав доступу до інформації (Varonis – дозволяє відстежити, хто і яким чином звертається інформаційного об’єкту) та інші. У всіх подібних рішень є один істотний недолік – вони вузько сегментовані і «дивляться» на дані в рамках однієї з систем. А середньостатистична компанія живе як мінімум в п’яти, причому сам бізнес-процес включає всі системи відразу. Отже, контроль однієї з систем – це приблизно, як спроба зрозуміти, «як виглядає слон якщо обмацувати його однією рукою з закритими очима». Улюблений «прийом» безпеки з вибудовування периметра захисту також не працює, основні втрати – всередині. Охоронець нудьгує на прохідній. Здавалося б, все виглядає досить погано для бізнесу, якби не одне «але».

У бізнес-процесу, що живе в рамках IT-систем, постійно відбувається безліч подій, які описують ту чи іншу зміну системи. Кожен співробітник, включаючи комп’ютер на початку дня або навіть просто підключаючись до корпоративної пошти з мобільного телефону, починає генерувати подібні події. Фактично нічого не може статися, не залишивши в системі інформаційного події. І хоча кожна така подія досить незначно, аналізуючи їх сукупність, ми можемо отримати досить серйозний інструмент, який допоможе пролити світло на ті самі «неточності» бізнес-процесів, в результаті яких бізнес несе втрати. Це нас підводить до роздумів про те, що називається «big data» в області безпеки. Я виділяю три підходи до аналізу «великих даних» в залежності від їх обсягів.

Аналіз даних об’єкта

Аналізуючи дані об’єкта, ми розглядаємо події, які відповідають життєвому циклу об’єкта (який в даному випадку збігається з продуктом або послугою компанії). Кожен з них має певну кількість ознак, що супроводжують процес формування цього об’єкта. Наприклад, доставка відправлення з Москви в Новосибірськ – це завжди надійшла заявка з маршрутом Москва-Новосибірськ, відмітка кур’єра про те, що він забрав посилку у відправника, відмітка складу про прийом на сортування, близько п’яти відміток про кожен етап сортування, відмітка про прийняття на складі Новосибірська, відмітка одержувача в накладній при отриманні. Це дуже скорочений список. Реальна кількість подій може перевищувати тисячі. Але для роботи з big data чим більше, тим краще. Завдання – взяти кілька еталонних об’єктів (записати патерн подій навколо них), зробити середньостатистичну картинку, додати рівень похибки, отримати еталон і кожен новий об’єкт порівнювати з еталоном. Як тільки події, супутні життєвого циклу об’єкта, починають різнитися з еталоном, система подає сигнал: щось йде не так. Відправлення зазвичай приходить з місця сортування в зону видачі за 10 хвилин, значить, якщо його немає в протягом 11 хвилин, система розуміє: воно застрягло саме на певній ділянці, в певний час, а, значить, ми можемо оперативно втрутитися в цей процес і виправити його. Звучить досить просто, але вимагає добре вибудуваної продуктової лінійки.

Аналіз даних процесу

Аналіз даних процесу практично однаковий з аналізом даних об’єкта – відрізняється від нього тільки тим, що спрямований на процес, тобто ми дивимося трохи ширше. Навіть якщо в компанії не описані бізнес-процеси в рамках будь-якої нотації, все одно вони існують. І навіть неформалізовані процес повторюється постійно з великою часткою збігів. Прийшла заявка – з’явився проект договору – він розісланий п’яти учасникам для узгодження – отримані відповіді – чернетка зведений і відправлений для аналізу економічної моделі – отримана відповідь – договір відправлений клієнту – отримана відповідь – дані клієнта занесені в CRM. І навіть якщо процес не формалізований, то все одно вибудовується середньостатистична картинка, як він фактично живе, а порівнюючи моделі, ми бачимо різницю. На складі однієї з ритейл-мереж, на якому на тривалому зберіганні знаходився досить дорогий товар, співробітники «спростили» собі процес інвентаризації, зібравши штрих-коду з більш ніж 2000 одиниць товару. Навіщо ходити зі сканером по складу, набагато простіше провести це сидячи за столом. В результаті інвентаризація «сходилася», а товару на місці вже не було, що виявили, коли потрібно було робити відвантаження того, що по системі перебувало на складі. Ситуація, яка легко видно, якщо порівнювати час між скануванням штрих-коду – 10-15 секунд на операцію, коли товар на полиці, 1-2 секунди коли штрихкод відділений від коробки.

Аналіз паттерна користувача

Найцікавіші результати виходять при порівнянні патернів користувача. Незважаючи на те, що всі ми любимо вважати свою діяльність унікальної, творчої і іноді абсолютно непередбачуваною, насправді ми майже завжди робимо все однаково. Події, які генерує кожна людина протягом роботи, складають його цифровий відбиток. Унікальний як відбиток пальця. У кожного з нас унікальна схема натискань на клавіатуру, свій малюнок руху миші. Ми в однаковій послідовності відкриваємо новинні сайти, певним чином розставляємо коми, відповідаємо на пошту в своїй манері. Так, безумовно, такий відбиток постійно змінюється, раз-два на рік його необхідно актуалізувати відповідно до нових звичками і процесами, до яких залучається людина. Але, в цілому, система цілком здатна ідентифікувати картину «нормальних» дій для людини і побачити, коли він починає відхиляться від звичної схеми. Наприклад, коли інвентаризація товару в торговому залу зайняла дві хвилини замість звичайних 40 хвилин. Система видасть інцидент і, швидше за все, виявиться, що стікери з товарів були зібрані в одному місці, і ніхто не ходив по залу, перевіряючи товар. Так, такий метод дає величезну кількість хибно позитивних спрацьовувань. Хворий дитина змінює звичну структуру дня, і людина шукає лікарів і ліки. Те ж саме робить наближається відпустку. Але все це теж має загальний характер і піддається шаблонізаціі. Машина, досить довго аналізує структуру поведінки багатьох людей, через якийсь час все-таки побудує досить велику базу природних відхилень. І точно так система може показати, коли дії співробітника виходять за рамки його звичної картини.

Звучить складно? Але це працює. Навіть не вдаючись до порівняння особливостей поведінкової моделі і її відхилень, навіть на базових етапах – можна бачити загальну логіку і її порушення. Найпростіший приклад – виявлення «мертвих душ» у рамках операційного процесу. Того самого, в якому, здавалося б, мінімум IT-складової. Ситуація, на жаль, характеру майже для кожного великого виробничого підприємства. Як вона зазвичай виглядає? Співробітник оформився на роботу, отримав зарплатну карту, його керівник приніс відомість, в якій зазначено кількість відпрацьованих змін, система порахувала вартість зміни і нарахувала зарплату. Періодично з’являються приписані зміни або взагалі фіктивні струднікі. Але якщо дивитися з точки зору сукупності систем і моделі поведінки, то кожен співробітник ще й, наприклад, проходить через турнікети на постах охорони. І не по одному разу в день. А, значить, звичайна картина виглядає як кількість змін, поєднане з кількістю входів-виходів + проміжні проходження (туалет курилка їдальня). Рівне один додатковий фактор – і вже обдурити цю систему стає на порядок складніше, а відхилення видно в автоматичному режимі.

Ясна річ, цей спосіб аналізу не завжди може розділяти інцидент безпеки, в рамках якого співробітник завдає шкоди компанії, і просто подія, яка вибилося із загальної картини світу з ряду інших причин. Але пам’ятайте, на початку я вже згадував, в чому полягає основна причина втрат в наш час? У відсутності контролю, який дозволяє «зрізати кути», у створенні безконтрольної середовища, в якій, людина вважає, деяке відхилення пройде непомітним. Не завжди це інцидент, але завжди передумова до нього. І єдиний спосіб з цим боротися – це вибудовувати контрольну середу дій, що ми і можемо зробити на основі аналізу подій інформаційних систем.

02.09.2018

Написати коментар