15 мая Федеральная служба по интеллектуальной собственности (Роспатент) выдала ГК InfoWatch патент на изобретение InfoWatch под названием «Способ автоматизации детектирования аномалий в поведении сотрудников». Процесс изучения патентной заявки шел с марта 2023 года. Разработанная технология позволила существенно повысить точность и эффективность работы UBA-системы InfoWatch Prediction, которая используется в связке с DLP-системой InfoWatch Traffic Monitor и ее модулями.
Что такое UBA-система?
UBA-система — это система предиктивной поведенческой аналитики (User Behavior Analytics). Если DLP-система (Data Leak Prevention) сообщает об уже случившихся инцидентах, то UBA-система подсказывает, где есть ИБ-риски, которые еще не сработали, на что обратить внимание в первую очередь.
UBA-система помогает заметить те нарушения, которые пока находятся вне зоны «видимости» ИБ-сотрудников, она помогает идентифицировать отклонения от нормального течения бизнес-процессов.
Применение UBA-системы в связке с DLP-системой помогает точнее и качественнее предотвращать нарушения.
Практический опыт
«Способ автоматизации детектирования аномалий в поведении сотрудников» — это технология, которая применяется в составе ПАК. ПО отслеживает и анализирует метаданные, возникающие или изменяющиеся в результате действий каждого сотрудника, описывая их в рамках математической модели. Она определяет типичное поведение и выявляет аномалии в поведении каждого сотрудника. Результат — прогноз вероятности его увольнения.
Опыт разработки этой технологии позволил команде InfoWatch значительно продвинуться в разработке алгоритмов поведенческой аналитики, результатом которой стала UBA-система InfoWatch Prediction.
Как работает InfoWatch Prediction
InfoWatch Prediction анализирует поведение сотрудников. Основой служат метаданные из различных источников, включая DLP-систему InfoWatch Traffic Monitor и систему мониторинга активности сотрудников InfoWatch Activity Monitor.
На основе сотен входящих параметров с помощью технологии машинного обучения формируется математическая модель. Она определяет типичное поведение каждого сотрудника и его коллег. С ее помощью выявляются аномалии в поведении, которые сопоставляются в том числе с данными коллег и уволившихся сотрудников. Это позволяет сэкономить время на обучении системы и с высокой точностью прогнозировать действия новых сотрудников, которые еще не «сгенерировали» большого объема метаданных.
Система автоматически анализирует данные из почты и мессенджеров, использование почты на смартфоне, работу с внешними накопителями и с облачными хранилищами, печать документов и нарушение политик безопасности. Система использует динамическую модель — данные обновляются каждый час.
Таким образом, поведенческие паттерны позволяют выявлять отклонения от нормы и определять группы риска.
В их числе:
аномальный вывод информации;
нетипичные внешние коммуникации;
снижение производительности;
подготовка к увольнению.
Кроме того, InfoWatch Prediction составляет рейтинг различных рисков. Он позволяет обратить внимание на аналитику по потенциальным угрозам и проверить связанные с ними события.
Источник: habr.com