Службы информационной безопасности хотят предотвращать инциденты, а не просто фиксировать факт и разбираться с последствиями. Как с прогнозированием рисков справляется автоматизированный профайлинг – и что это такое?
В двух частях рассказываем, для чего в ИБ нужен профайлинг и как автоматизированная методика работает на практике.
Что такое профайлинг
В поиске действенных способов вычислять инсайдеров «на подлете» в ИБ-сфере созрел запрос на технологию поведенческого анализа. Основное развитие в этом направлении получили технологии UEBA или UBA.
Они изучают действия пользователя и сигнализируют, если привычное поведение вдруг меняется: например, сотрудник, который обычно отправляет по 2-3 письма в день, вдруг делает массовую рассылку на 400 адресов. Но как любой другой сугубо статистический метод, UBA дает много ложноположительных сработок. Увидев «бум» в корпоративной почте, служба безопасности готовится взять сотрудника «на карандаш» – а он всего-то получил задание поздравить всех клиентов компании с грядущими праздниками.
Автоматизированный профайлинг пошел другим путем, сосредоточившись не на действиях, а на личностных характеристиках сотрудников.
Если вкратце, профайлинг – технология для составления психологических портретов. Методика появилась в 70-е годы как разработка израильской армии: военные использовали его, чтобы вычислить в группе людей потенциальных террористов.
По сей день в аэропортах Израиля, а также США и ряда других стран, которые позаимствовали подход, существует практика «странных вопросов» при досмотре пассажиров. Конечно, сотрудников аэропорта не интересует, правда ли вы сами собирали свой чемодан. Важнее другое: по реакции пассажира на вопрос, мимике, тону голоса и самому ответу специалисты складывают представление о нем как о человеке, склонном или не склонном к совершению преступления.
Но вычислением криминальных наклонностей метод не ограничивается. Это нетестовая диагностика, которая позволяет в относительно короткий срок определить психотип человека, его базовые ценности и черты характера. Так что в расширенном виде профайлинг проник далеко за пределы спецслужб.
Метод взяли на вооружение и специалисты по корпоративной безопасности, и люди, от вопросов безопасности довольно далекие. Например, профайлеров немало среди HR-специалистов, которым тоже нужно знать каждого сотрудника «в лицо».
Проанализировать психотипы всех сотрудников даже небольшой компании – работа большая и ресурсозатратная. Обычно услуги профайлера стоят недешево: от 5 тыс. рублей за профилирование одного человека, так что сложно представить применение методики к коллективам в сотни и тысячи человек. При этом профилирование даст срез на конкретную дату диагностики, не динамику. Прибавим к этому то, что руководители не горят желанием отвлекать людей от работы на беседы с профайлером.
Это не значит, что профайлинг непригоден для работы в отделах ИБ, просто он недоступен как массовый метод. Но ограничения легко снимала бы автоматизация процесса, чем наша компания и занялась в 2017 году. По нашей гипотезе, «сырьем» для анализа могла стать информация из «перехвата» DLP-систем, где скапливается огромный массив данных по каждому сотруднику. И она оказалась верна.
Как автоматизировали
Модуль профайлинга – часть DLP-системы. Для выстраивания профиля он «забирает» тексты рабочих переписок сотрудников – богатый материал для анализа.
Речь – один из ключевых ресурсов, который профайлеры используют для «чтения» психотипа испытуемых. Мы говорим так, как думаем – следовательно, и думаем так, как говорим. В век, когда основным инструментом коммуникации стали мессенджеры, письменная речь стала такой же иллюстративной, как устная. На этом основывается психолингвистика, которая дает инструменты для подробного анализа текста.
Модуль вычленяет из текстов наиболее «говорящие» фрагменты – неформальные, которые демонстрируют индивидуальные особенности речи пользователя. Поэтому для анализа не подходит деловая переписка в корпоративной почте. Куда полезнее для программы сообщения, которыми сотрудники обмениваются в корпоративных мессенджерах.
Чтобы составить ясную картину по конкретному сотруднику, модулю требуется рассмотреть около 20 тысяч набранных им лемм (исходных форм слов). Обычно этот объем удается собрать за 2-3 месяца. Затем текст очищается от «шума»: слов с опечатками, цифр, иноязычных вставок, копипаст. Чистый текст проверяется по ряду параметров, среди которых:
- длина и сложность предложений;
- использование личных местоимений;
- использование глаголов;
- «словарь» пользователя (использование редких слов, терминов, сленга и т.п.);
- расстановка знаков препинания;
- использование вводных конструкций («короче говоря», «к сожалению», «надо признаться» и т.п.);
- и т.д.
Каждый параметр указывает на ту или иную склонность человека. Например, частое употребление в речи глаголов говорит о человеке дела, активном и уверенном в себе. А вводные слова и сослагательное наклонение («хотелось бы»), наоборот, характеризуют говорящего как нерешительного, более склонного к размышлениям.
Конечно, это большое упрощение, в реальности программа прогоняет текст по более чем 70 критериям. Результаты программа автоматически проверяет на соответствие 8-ми психотипам (радикалам), которые выделяет классический профайлинг. Они описывают самые распространенные «наборы черт» разных людей. Например, эмотивам свойственны миролюбие и чуткость, а эпилептоиды любят четкие правила и контроль.
Обычно в каждом человеке сочетаются проявления сразу нескольких психотипов, но профайлеры выделяют ведущую пару наиболее ярких, дополняющих друг друга радикалов. Всего таких пар 64.
Алгоритм составляет такую пару, показывает сильные и слабые стороны человека и уровень их проявлений. Резюмирует, как представитель того или иного типажа склонен вести себя в коллективе: насколько он амбициозный, лояльный или конфликтный, инициативный или исполнительный.
В итоге формируется полноценный профиль, в котором кроме прочего даются предупреждения о возможных рисках и рекомендации, как работодателю их избежать. Программа поддерживает около 78 000 вариантов расширенных профилей, определяет риск-рейтинг каждого пользователя. Кроме того, модуль показывает, как связаны поведение человека и спровоцированные им инциденты безопасности.
Профили разных пользователей можно сравнивать и ранжировать в зависимости от того, как сильно выражены те или иные черты характера.
Сегодня точность прогнозов, которые выдает модуль, достигает 75-85%. Это высокий уровень достоверности, достаточный, чтобы выявлять группы риска, составлять команды из дополняющих друг друга специалистов, следить за уровнем лояльности.
Чтобы повысить точность, нужно подключать другие источники для анализа: не только текст, но и голос, мимику, интонации. Пока для увеличения точности мы «учим» систему считывать клавиатурный почерк пользователей.
До конца года профайлинг выйдет на англоязычный рынок, идет работа над испанской версией. При этом на российском рынке модуль уже показал себя на практике. С момента релиза в 2018 году его протестировали около сотни компаний.
Подробнее о том, как работает автоматизированный профайлинг, можно прочитать здесь. А о самых ярких кейсах, когда с помощью методики бизнесу удалось найти инсайдеров, оптимизировать штат, во второй части материала.