Данные исследовательской компании IDC говорят, что компании, которые не занимаются анализом эффективности своих процессов, теряют 20 – 30% дохода, хотя этих потерь вполне можно избежать. Фактически речь идет об исполнительской дисциплине и результативности сотрудника. Кроме того, такие системы выполняют функции защиты компании от действий сотрудника, которые могут нанести вред ее бизнесу. Вторая ипостась систем наблюдения за сотрудниками – контроль их поведения на предмет мошенничества и неправомерных действий – и ранее интересовала банки в свете «эпидемии» мошенничеств с применением социальной инженерии. А в условиях тотального перехода на дистанционную работу эти вопросы переместились в разряд «горячих» тем.
StaffCop Enterprise.
Так, наблюдением за работой удаленных сотрудников занимается система StaffCop Enterprise новосибирской компании «Атом Безопасность». Акцент сделан на всестороннем мониторинге удаленного персонального компьютера. Проще говоря, после установки на него соответствующего приложения системный администратор получает полный контроль над действиями пользователя в корпоративной сети: он не только может видеть список программ, которые запускаются пользователем, но и изучать, какие окна открыты у сотрудника, и даже блокировать определенные ресурсы. Встроенный модуль распознавания лиц поможет администратору убедиться, что за компьютером работает тот самый сотрудник компании.
Поскольку каждое совершаемое пользователем действие регистрируется в системном журнале, возможно построение полной картины бизнес-процессов либо для целей их контроля и оптимизации, либо для восстановления картины нарушения правил ИБ, если таковое имело место.
Контроль неправомерных действий пользователя за компьютером, реализованный в ПО StaffCop, включает регистрацию действий пользователей, которые потенциально могут нести риск: подключение USB-устройств, флеш-накопителей, принтеров, факты печати на принтере и перехват содержимого буфера обмена, мониторинг конфигурируемых лог-файлов и перехват нажатий клавиш на клавиатуре ПК. Более того, аудиозаписи с микрофонов, содержимое буфера обмена и другая информация, которая может представлять интерес для службы безопасности, проходит лингвистический и контентный анализ на предмет выявления конкретной информации, к которой проявил интерес потенциальный инсайдер-злоумышленник. При этом анализ видеозаписей с веб-камеры рабочего места вместе с аудиозаписями дает возможность понять, какие люди находились в кабинете в конкретный момент времени, и какие события при этом происходили.
В новой версии Staffcop Enterprise, представленной в начале лета, появился перехват новых типов мессенджеров, а также преобразование аудиозаписей в текст. Специалисту по ИБ больше не нужно прослушивать разговоры, достаточно посмотреть на текстовую расшифровку или, воспользовавшись словарем и регулярными выражениями, автоматизировать процесс обработки текстовых данных. Реализовано также подключение парсера контента Apache Tika, который позволяет извлекать данные из перехваченных файлов более, чем 100 типов, что увеличивает возможности контроля утечек критичной информации.
Специальные возможности алгоритма позволяют реагировать на обнаружение в потоке контента описаний банковских карт UnionPay и МИР.
CleverControl или TimeDoctor.
Похожий функционал «двойного назначения»: контроль использования сотрудниками рабочего времени и обеспечение информационной безопасности компании, – поддерживают другие программные комплексы данного класса, например, CleverControl или TimeDoctor. У каждого продукта – своя специфика. Например, в TimeDoctor хорошо проработан функционал записи с монитора ПК, веб-камеры и звука, а мониторинг в режиме реального времени, реализованный в CleverControl, отлично подойдет к ситуациям, когда необходимо знать, чем занимается персонал непосредственно в данный момент времени.
InfoWatch Traffic Monitor.
Так, DLP-система InfoWatch Traffic Monitor предотвращает утечки конфиденциальной информации на основе полноценного контентного анализа информационных потоков. При этом лингвистический анализ текста обеспечивается на 42 языках. Благодаря многомерному анализу их содержимого, система «понимает», о какой информации идет речь, и потому способна выявлять и блокировать утечки конфиденциальной информации любого формата. Например, банк «ДельтаКредит» использует InfoWatch Traffic Monitor, в первую очередь, для того, чтобы обезопасить себя от попыток недобросовестных сотрудников скопировать клиентские данные из корпоративных информационных систем.
DLP-решение InfoWatch Traffic Monitor включает анализатор векторной графики, который идентифицирует присутствие любого фрагмента конфиденциального чертежа в составе другого чертежа, даже если он был модифицирован. Программа сможет обнаружить выдержки из документов с конфиденциальной информацией, а также обеспечить защиту документов по нескольким признакам, например, выявит скан документа заполненного договора с печатью.
Продукт умеет контролировать как стандартные каналы, так и уникальные: корпоративная и веб-почта, мессенджеры, облачные хранилища, сетевые папки, FTP, терминальные соединения, локальные и сетевые принтеры, съемные носители. Контроль подразумевает не только выявление, но и пресечение (блокировку операций) действий по передаче конфиденциальной информации за пределы организации, а также в другие сетевые папки внутри инфраструктуры компании. В компании отмечают, что InfoWatch Traffic Monitor «поймает» сложные текстовые и графические объекты даже, если инсайдер смог их видоизменить.
EveryTag.
Собственные решения предлагает подобных задач предлагает компания EveryTag – они помогают контролировать возможные утечки из компании ценной информации: корпоративных документов, персональных данных, коммерческой тайны, уникальных разработок и разной деликатной информации.
Заключение.
Прогресс методов хищений вкупе с общим ростом числа атак на финансовые организации увеличивает интерес к системам противодействия мошенничеству в банковской сфере. Для предотвращения киберпреступлений все активнее применяются развитые антифрод-решения, позволяющие анализировать данные по клиентам и операциям в динамике и выявлять поведенческие аномалии.
В борьбе с социальной инженерией будет способствовать дальнейшая эволюция функционала антифрод-решений, особенно, внедрение систем кросс-канального мониторинга. В режиме реального времени система распознает и контролирует поведение сотрудников с помощью камер (фото, видеоданные) и микрофонов (аудиоданные). Анализ поведения сотрудника в целях противодействия мошенническим транзакциям осуществляется на основе оценки рисков. А для создания инцидентов по аномальным действиям сотрудников в системе используются преднастроенные правила.
Еще один способ выявления подозрительных поведенческих аномалий сотрудников – использование технологий машинного обучения на базе представительной обучающей выборки.
Подход предполагает постоянный мониторинг всех каналов обслуживания клиентов (даже без платежных операций), что наполняет аналитическую систему множеством данных о возможных подозрительных действиях, даже если они не являются непосредственно хищениями средств.