Новый подход к борьбе с инсайдером: Синергия ITM и UEBA

erid: 2SDnjdx5yjJ

Инсайдеры остаются одной из самых сложных и дорогостоящих проблем в кибербезопасности. Согласно отчёту IBM за 2024 год, средняя стоимость инцидента, связанного с действиями инсайдеров, достигает $4,99 млн, а их доля в общем числе утечек неуклонно растёт. Россия уже несколько лет подряд входит в топ-5 стран по количеству утечек персональных данных. Традиционные инструменты, такие как межсетевые экраны, SIEM или DLP здесь часто бессильны, ведь они не обладают полным контекстом информации, как поведенческий анализ. Поэтому связка Insider Threat Matrix (ITM) и Ankey ASAP становится мощным решением, позволяющим не только выявлять, но и понимать инсайдерские угрозы на новом уровне.

Что такое Insider Threat Matrix?

Insider Threat Matrix (ITM) — это структурированный фреймворк, который помогает анализировать и выявлять угрозы, исходящие от инсайдеров (сотрудников, подрядчиков, партнёров) внутри организации. Он вдохновлён таким инструментом, как MITRE ATT&CK, но сосредоточен исключительно на внутренних рисках. ITM помогает аналитикам систематизировать расследования, предоставляя базу знаний об арсенале инсайдеров и о методах предотвращения и обнаружения атак.

Структура ITM

ITM разбивает жизненный цикл инсайдерской угрозы на ключевые компоненты, которые охватывают этапы от мотивации до сокрытия следов.

Кроме того, на официальном сайте есть полезная информация об обнаружении (DT) и предотвращении (PV) инсайдерских угроз.

Сравнение с MITRE ATT&CK

ITM отличается от MITRE ATT&CK, который фокусируется на внешних угрозах. В то время как MITRE ATT&CK описывает тактики, техники и процедуры (TTPs) для атак извне, ITM сосредоточена на внутренних угрозах и уделяет внимание мотивам и поведению инсайдеров. Это делает её уникальным инструментом для организаций, где внутренние риски играют ключевую роль.

Например, MITRE ATT&CK может быть полезен для анализа фишинговых атак, тогда как ITM поможет понять, почему сотрудник решил передать конфиденциальные данные конкурентам. Обе матрицы могут дополнять друг друга, особенно в условиях, когда инсайдеры используют внешние техники для своих целей.

ITM поддерживается сертификацией Certified Insider Threat Investigator (CITI), предлагаемой Security Blue Team. Эта программа обучения направлена на подготовку специалистов, способных эффективно использовать ITM в расследованиях, что делает её важным инструментом для профессионалов в области кибербезопасности.

Роль Ankey ASAP в борьбе с инсайдерами

Ankey ASAP — это продукт класса UEBA, разработанный компанией «Газинформсервис» для обнаружения и расследования киберинцидентов, в частности тех, что связаны с угрозами со стороны инсайдеров. В нём используются технологии поведенческого анализа (UEBA) и машинного обучения (ML), чтобы анализировать поведение пользователей и устройств, выявлять подозрительные действия и предоставлять аналитикам инструменты для быстрого реагирования.

Основные возможности:

В отличие от стандартных UEBA-решений, Ankey ASAP уже внедряет классификацию по ITM. Это позволяет автоматически сопоставлять аномалии с мотивами, средствами и сценариями нарушений, предоставляя аналитикам SOC готовый контекст для оперативного реагирования.

Ankey ASAP и Insider Threat Matrix

• Обнаружение: Ankey ASAP анализирует большие объёмы данных, используя UEBA и ML, чтобы выявить аномалии, такие как множественное копирование конфиденциальных файлов или использование легитимных утилит для обхода средств защиты. Это позволяет быстро идентифицировать потенциальные внутренние угрозы.
• Расследование: после обнаружения подозрительной активности ITM предоставляет структурированный подход для расследования. Аналитики могут использовать ITM для отображения тактик, техник и процедур (TTP) инсайдера, например анализируя, использовал ли он легитимные учётные записи для доступа к данным или пытался скрыть свои действия. Это упрощает процесс сбора доказательств и помогает понять мотивы.

Первоосновой в процессе Detection Engineering является проведение расследования инцидента, которое завершается работой над ошибками и корректировкой правил обнаружения. Например, если Ankey ASAP обнаружит аномалию, а ITM поможет классифицировать её как попытку утечки данных, то платформа настроится для автоматического выявления подобных случаев в будущем.

Как связка ITM и Ankey ASAP помогает сотрудникам SOC?

Центры управления безопасностью (SOC) ежедневно обрабатывают огромные объёмы данных, требующие быстрого реагирования. Ankey ASAP, благодаря автоматизации с помощью машинного обучения, может значительно облегчить работу аналитиков:

• Автоматизировать рутинные задачи. Ankey ASAP выделяет аномалии из нормальной активности пользователей, а ITM классифицирует их для последующей фильтрации.
• Ускорить реакции на инциденты. При обнаружении подозрительной активности (например, копирование большого объёма файлов) ITM предлагает шаги для проверки, а Ankey ASAP предоставляет данные в реальном времени, сокращая время принятия решений.
• База экспертизы. ITM содержит информацию о предотвращении (PV) и обнаружении (DT) инсайдерских угроз, которая будет полезна в DFIR-сценариях.

Кому будет полезно внедрить связку ITM и ASAP?

1. Компаниям с ценными данными. Организации, работающие с интеллектуальной собственностью, клиентскими базами или финансовой информацией (например, технологические стартапы, банки, фармацевтические компании), наиболее уязвимы к утечкам.

2. Крупным корпорациям с удалённой работой. Рост дистанционной занятости увеличивает риски из-за использования личных устройств и незащищённых сетей.

3. Организациям с высокой текучестью кадров. В секторах вроде ритейла или call-центров, где сотрудники часто меняются, риск утечек перед увольнением высок.

4. Компаниям со зрелым уровнем ИБ. Организация, уже имея SIEM, DLP и SOC, может дополнить их ITM и UEBA, чтобы перейти от реагирования к прогнозированию угроз, усиливая проактивный подход.

Вывод

Синергия Insider Threat Matrix и Ankey ASAP поднимает защиту от инсайдерских угроз на новый уровень. Комбинация структурированной методологии ITM и передовой аналитики Ankey ASAP позволяет не только реагировать на инциденты, но и предугадывать их, минимизируя риски для данных и репутации. В условиях растущей сложности инсайдерских угроз эта связка становится важным инструментом для современных организаций.

Александр Кабанов, инженер-аналитик аналитического центра кибербезопасности компании «Газинформсервис»