Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Одно из таких агентств, являющееся, пожалуй, лидером в области борьбы с внутренними угрозами, ввело в действие компьютерную систему выявления потенциальных внутренних угроз. Система использует такую информацию, как логины, пропуски, частоту и время доступа к определенным файлам и объектам, а также иные потенциально имеющие значение факты вроде мелких нарушений правил безопасности, наличия у пользователя родственников за рубежом, финансовых трудностей и повторяющихся сценариев поездок за границу. Общая идея во многом похожа на оценку заемщика или анализ мошенничества и злоупотреблений в сфере медицинского обслуживания. Система может определять закономерности действий, которые отличаются от обычных и напоминают поведение уже известных преступников.

Ключевым новшеством является настройка распознавания сходства с нарушителями, пойманными ранее. Используя термин из области интеллектуального анализа данных, можно назвать этот поиск скорее контролируемым, чем бесконтрольным. Компьютерные методы анализа закономерностей очень хороши для выявления необычных моделей поведения, но все еще довольно плохо различают, какие из них важны. Благодаря тесному сотрудничеству со следователями были сделаны полезные выводы о ряде наиболее часто встречающихся «необычных моделей», которые не представляли особого интереса при дальнейшем рассмотрении. Модифицировав систему таким образом, чтобы она больше не учитывала подобные закономерности, удалось добиться выдачи гораздо более конструктивного набора случаев, требующих проведения дальнейшей проверки уже людьми.

Субъектами проверок являются сотрудники, имеющие допуск к работе с секретной информацией и, как следствие, отказавшиеся от многих прав на неприкосновенность частной жизни, что есть у обычных граждан. Тем не менее агентство стремится избежать чрезмерного вмешательства и ускорить восстановление в правах, которое обычно является результатом расследования очевидных аномалий. Основная цель – профилактика, а не наказание.

Применяется множество методов распознавания образов, ассоциаций, а также соответствия эмпирическим правилам. Наиболее продуктивным считается объединение нескольких подходов и тем, включая обратную связь, полученную в ходе последующих расследований специалистами-людьми. В этом случае предполагается выделение совокупностей фрагментов информации, которые сами по себе, скорее всего, безобидны, но могут представлять интерес в сочетании, например: необычное поведение по отношению к коллегам, плюс финансовые проблемы, плюс внезапное увеличение числа зарубежных поездок. С помощью подобных методов можно провести большую работу по кодированию и анализу поведенческих признаков вплоть до уровня биологических маркеров, которые могут стать частью анализа наряду с более традиционными маркерами.

Данное агентство построило наблюдательную станцию, чтобы обеспечить возможность наблюдения и сопоставления многочисленных потоков информации в одном месте и в одно время. Скажем, перемещения и доступ лиц, представляющих явный интерес (в текущих условиях), могут привлечь внимание наблюдателя-человека и подвергнуться более тщательному изучению. Другие агентства проявляют большой интерес к наблюдательной станции и, скорее всего, обзаведутся такой же или станут пользоваться имеющейся вместе.

Новая работа того же агентства касается отображения с помощью виртуальной реальности больших данных, представляющих интересующие модели поведения. Система создает пространство, в котором человек-аналитик может вести расследование. Она опирается на способность людей замечать необычные закономерности, которой машины пока еще не владеют на должном уровне.

Аресты крупных нарушителей безопасности в реальности случаются редко и никогда не обсуждаются открыто до окончания следствия, а иногда и долгое время после его окончания, чтобы не помешать работе обвинения, но и тогда опускаются многие детали выявления нарушителя и проведения расследования. Случаи предотвращения нарушений более желательны и происходят чаще, но их еще реже обсуждают открыто. Раскрытие источников и методов, с помощью которых ведется разработка и использование информации, связанной с безопасностью, считается одним из наиболее серьезных и губительных нарушений безопасности. В любом случае можно говорить о том, что данное агентство получило большую выгоду от применения указанных методов, о чем свидетельствуют два наиболее надежных показателя полезности в контексте любой организации: они продолжают закупать подобные решения, а их сотрудники, в том числе ранее настроенные скептически, стремятся узнать больше о том, как их использовать.