Предотвращение инсайдерских атак и утечек данных

Если сотрудник, недавно подавший заявление об увольнении, начинает копировать большое количество файлов из сети компании на свой флеш-накопитель, вполне возможно, что он делает это без злого умысла. Может быть, он просто сохраняет обычные файлы, необходимые для работы.

Однако в редких случаях увольняющийся может попытаться передать конкурентам конфиденциальные сведения о продукте, важную юридическую информацию, личные данные сотрудников или коммерческую тайну.

Компании может быть трудно даже обнаружить такие «внутренние риски», не говоря уже о том, чтобы отличить рутинное поведение от аномалий, угрожающих конкурентному преимуществу или репутации компании.

Поэтому Microsoft предлагает новое решение Insider Risk Management в Microsoft 365, которое использует машинное обучение для интеллектуального обнаружения потенциально опасного поведения внутри компании. Это решение быстро определяет, какие действия могут создавать реальную угрозу безопасности, даже непреднамеренно.

Практика показывает, что ошибки — больший источник риска, чем инсайдерские атаки, поэтому решение было разработано так, чтобы помогать сотрудникам делать правильный выбор и избегать распространенных ошибок безопасности. Инженеры понимали, что эффективное решение должно помогать людям в работе, а не мешать.

«Вообще, сотрудники компании обычно стараются поступать правильно, — говорит Брет Арсено, директор по информационной безопасности и корпоративный вице-президент Microsoft. — Но иногда намерения отличаются от результата».

Пару лет назад угрозы безопасности, из-за которых Арсено не спал по ночам, не ограничивались хакерами и киберпреступниками всех размеров, для борьбы с которыми Microsoft использует небольшую армию экспертов и передовые технологии. Он все больше беспокоился о рисках, вызванных в основном непреднамеренными, но иногда и злонамеренными действиями сотрудников, уже имеющих доступ к важнейшей информации компании.

Например, такую угрозу может представлять человек, который непреднамеренно хранит конфиденциальную информацию в общедоступной папке, подвергая ее риску кражи. Угрозой может быть и сотрудник, который случайно нажимает не на ту кнопку и по ошибке отправляет по электронной почте совершенно секретный документ за пределы компании.

В недавнем опросе специалистов в области кибербезопасности представители 90% организаций указали, что опасаются инсайдерских угроз, а две трети считают злонамеренные внутренние атаки или случайные нарушения более вероятными, чем внешние атаки. Более половины респондентов в прошлом году подверглись инсайдерским атакам. Это следует из отчета об инсайдерских угрозах, подготовленного компанией Crowd Research Partners.

«Индустрия безопасности уделяла внешним противникам непропорционально много внимания, — сказал Арсено. — Но в системы компании каждый день входят тысячи сотрудников, поэтому пользователи, действующие неосторожно или со злым умыслом, могут представлять больший риск. Осознав это, мы поняли, что нужно смотреть на безопасность шире».

Арсено поручил инженерам из своей команды безопасности и разработчикам Microsoft 365 создать решение, которое будет использовать машинное обучение для интеллектуального обнаружения и предотвращения внутренних угроз безопасности, и в конечном итоге сделать его доступным для потребителей. Но это решение должно соответствовать основным принципам Microsoft: обеспечивать конфиденциальность сотрудников, опираться на позитивные намерения, способствовать обмену информацией и сотрудничеству внутри компании.

Решение Insider Risk Management собирает широкий спектр сигналов от инструментов повышения производительности Microsoft 365, от операционных систем Windows и от облачных служб Azure с алгоритмами машинного обучения, которые могут выявлять аномальное и потенциально опасное поведение людей, использующих эти продукты.

Разработчики тесно сотрудничали со специалистами по внутренней безопасности, со специалистами по персоналу и другими экспертами Microsoft, а также консультировались с защитниками прав трудящихся из других стран, которые разделяют принципиальную позицию Microsoft относительно конфиденциальности, — и все это, чтобы соблюсти баланс между конфиденциальностью сотрудников и безопасностью рабочих процессов.

«Мы знали, что инсайдерские угрозы становятся все более распространенной и дорогостоящей проблемой, но при этом понимали, что для ее решения нужен совершенно иной подход», — говорит Эрин Мияке, старший программный менеджер Microsoft по инсайдерским угрозам, которая работала со специалистами по персоналу, продуктам и соблюдению нормативных требований, участвующими в разработке нового решения.

По ее словам, в первую очередь надо учитывать, что сотрудники уже имеют доступ к ресурсам компании, так как это необходимо им для работы, а потому угрозы, исходящие от них, сложнее обнаружить.

Кроме этого, поскольку анализировать приходится действия людей, которые входят в число работников компании, важно сбалансировать управление рисками с нормами корпоративной культуры, конфиденциальности, справедливого отношения и законодательства. Как сказал Талхах Мир, главный программный менеджер из группы безопасности и соответствия требованиям Microsoft 365, таких соображений просто не возникает, когда речь идет о защите компании от безликих киберпреступников из чужих стран.

«Сотрудники, конечно же, должны иметь доступ к необходимым для работы ресурсам и не подвергаться ненужному давлению, — сказал Мир. — Речь на самом деле о том, чтобы взять все те сигналы, которые и так уже существуют в фоновом режиме, и изучать весь их объем с помощью машинного обучения, чтобы находить в этом море информации те зацепки, которые помогут выявлять подозрительную активность».

Все первоначальные сообщения о необычном поведении в системе Insider Risk Management можно сделать анонимными — для защиты репутации и предотвращения любой предвзятости, способной вкрасться в процесс. Но сами по себе сигналы поставленную задачу не решат, поэтому система также предлагает платформу для совместной работы исследователей, специалистов по персоналу и менеджеров, которые смогут определить, следует ли расценивать необычное поведение как угрозу или это просто что-то выходящее за рамки обычного рабочего процесса.

Инженеры Microsoft, работающие над решением Insider Risk Management, консультировались с юридическим и кадровым отделами компании, чтобы установить, какие границы, принятые в Microsoft, должны соблюдать все участники расследования, предпринимая необходимые последующие шаги.

«Система не выносит никаких суждений и не утверждает, что есть злой умысел, — говорит Мир. — Если есть аномалия, расследование начинается с предположения о том, что конечный пользователь, скорее всего, просто пытается выполнить свою работу. А мы будем доверять, но проверять».

Новое решение использует алгоритмы машинного обучения для поиска признаков необычного и потенциально опасного поведения, таких как загрузка сотен конфиденциальных файлов с сайта SharePoint, копирование файлов на USB-устройство, отключение защитных программ или отправка конфиденциальных файлов по электронной почте за пределы компании. Решение использует Microsoft Graph и другие службы для поиска аномальных сигналов в продуктах Windows, Azure и Office, таких как SharePoint, OneDrive, Teams и Outlook.

Ни одно из этих действий само по себе не указывает на угрозу, так как сотрудники делают это каждый день во время работы. Но такие признаки становятся более значимыми по мере того, как система получает информацию из других источников, таких как средства классификации и маркировки, предлагаемые в Office 365, с помощью которых можно помечать конфиденциальные документы и наборы данных.

Это позволяет алгоритмам научиться различать риски, связанные с сотрудником, который загружает обычные презентации или документы (например, когда собирается в командировку), и сотрудником, который копирует конфиденциальные сведения о новом продукте.

Система может также сообщить, содержат ли загруженные файлы информацию о банковских или кредитных картах клиентов, что явно указывает на потенциальную кражу личных данных. При наличии соответствующих разрешений аналитик может увидеть содержимое загруженных файлов и оценить, насколько опасной может быть утечка этой информации.

Insider Risk Management может подключаться к стороннему программному обеспечению для работы с персоналом, например, для ввода других релевантных данных, таких как информация о недавнем увольнении сотрудника.

Алгоритмы учитывают всю эту информацию и присваивают каждому необычному событию числовой «показатель риска», который помогает людям, отвечающим за управление инсайдерскими рисками, видеть, на что необходимо обратить больше внимания.

Аналогичную функциональность имеют такие решения, как Azure Secure Score и Azure Security Center, которые помогают клиентам Microsoft защищать свои данные в облаке посредством мониторинга, выявления и приоритизации наиболее серьезных уязвимостей в системе безопасности. Сюда могут относиться ошибки в настройке клиентского брандмауэра, позволяющие хакерам получить доступ, и это решение отражает общую ответственность по защите данных в облаке от любых угроз, которую несут предприятия и поставщики облачных услуг.

Команда Microsoft по управлению цифровыми рисками разработала первые алгоритмы машинного обучения для оценки инсайдерских рисков в рамках собственного решения, чтобы лучше выявлять потенциальные внутренние угрозы на основе данных, которые уже поступают от 150 тысяч сотрудников компании по всему миру. По словам Арсено, обнаружение аномалий (с использованием журналов аудита, полученных с помощью существующих инструментов) входит в длинный список технологий, которые позволили компании улучшить систему безопасности таким образом, что сотрудники практически ее не замечают.

Как сказал Арсено, чтобы решение подходило для Microsoft, оно должно уметь обнаруживать необычное поведение так, чтобы это не подрывало культуру производительности, инноваций и доверия, которая сделала компанию успешной.

«Люди обычно идут туда, куда их приглашают, но остаются там, где находят свое место. Я не хотел, чтобы из-за моих действий это изменилось», — сказал Арсено.

Разработчики продуктов Microsoft 365 работали с командой внутренней безопасности над масштабированием решения и обеспечением его соответствия потребностям других клиентов.

«Клиенты действительно нуждаются в таком решении, потому что у них просто нет эффективного способа решать эту проблему, — сказал Алим Райани, старший директор Microsoft 365+ Security. — То, что делаем мы и другие производители для защиты от внешних злоумышленников, которые охотятся за деньгами или за информацией о клиентах, определенно помогло нам. Люди все еще не взялись за решение проблемы этих внутренних рисков, в том числе с технологической точки зрения, и такие риски могут иметь самые разные вариации».

Вот почему Microsoft хотела предложить комплексное решение, которое позволяет компаниям не только обнаруживать, но и расследовать и предотвращать потенциальные нарушения безопасности и утечки данных. Если аналитик внутренних рисков следует протоколу, чтобы вывести расследование за пределы анонимной фазы, он может использовать соответствующий инструмент, чтобы пригласить к сотрудничеству других людей (например, менеджера сотрудника), которые могут предоставить дополнительную информацию.

Менеджер может прояснить, связано ли аномальное поведение с тем, что сотруднику поручили сделать, является ли оно частью его работы, и тем самым поможет быстро и эффективно закрыть дело.

Решение Insider Risk Management также разработано для предотвращения непреднамеренных нарушений безопасности посредством обучения. Если сотрудник хранит конфиденциальные документы на незащищенном сайте SharePoint или не соблюдает правила безопасности, то специалист, который увидит оповещение об этом, может предотвратить потенциальные проблемы, отправив этому сотруднику напоминание о политике компании или порекомендовав пройти онлайн-обучение по соблюдению правил.

По словам Мира, другие инструменты мониторинга внутренней безопасности требуют от компаний установки специального программного обеспечения для сбора телеметрии с ноутбуков или передачи данных на отдельный сервер для анализа. Но решение Microsoft Insider Risk Management может использовать сигналы тех же инструментов повышения производительности, которые уже используются миллионами сотрудников во всем мире.

«Наше решение по большому счету сразу готово к использованию, — сказал Мир. — Если клиенты уже пользуются всем, что предлагает Microsoft 365 для повышения производительности, безопасности и соблюдения требований, то они могут просто настроить решение с учетом своих требований и начать работу».

Заглавное изображение: Эрин Мияке, старший программный менеджер Microsoft по внутренним угрозам (слева), и Талхах Мир, главный программный менеджер группы безопасности и соответствия Microsoft 365 (справа), сотрудничали со специалистами по безопасности, персоналу и соответствию из разных подразделений компании, чтобы разрабатывать решение Insider Risk Management. Фото: Скотт Эклунд / Red Box Pictures.