Solar Dozor UBA последовательно реализует концепцию People-Centric Security и относится к системам класса UBA/UEBA. Она предполагает концентрацию внимания службы безопасности на главном источнике угроз — человеке. А именно, фокус на его фактической роли в коллективе, характере коммуникаций, особенностях работы с защищаемой информацией. Такой подход заметно эффективнее традиционного мониторинга разрозненных данных и низкоуровневых событий.
Solar Dozor UBA с помощью методов машинного обучения в реальном времени анализирует историю коммуникаций каждого сотрудника и автоматически формирует личный профиль его нормального поведения. На основе собранной информации система выявляет аномалии в поведении сотрудника. Одновременно модуль ищет работников, попадающих под значимые для безопасности паттерны поведения (комбинации поведенческих особенностей и аномалий).
Поведение представляется в форме измеряемых во времени показателей, количественных и качественных. Для каждого сотрудника ежедневно ведется расчет 18-ти таких показателей и суммирующего взвешенного показателя «Индекс уязвимости».
Количественные показатели поведения проходят постоянный скоринг - все измерения ранжируются по единой в организации 5-ти балльной шкале среди всех сотрудников. Таким образом, в каждой организации учитывается ее уникальная специфика коммуникаций.
Действия персоны, повторяющиеся во времени, определяют устойчивое (нормальное для персоны) поведение. Устойчивые показатели поведения составляют профиль нормального поведения.
Значительные отклонения от нормального поведения принято называть аномалиями поведения. Значительное отклонение определяется выходом за доверительный коридор поведения, который рассчитывается на основании исторических наблюдений за персоной.
Аномалии могут быть различных типов (появление, резкий рост, резкий скачок, резкий провал, резкий спад, спад до нуля уровня устойчивых показателей поведения) серьезности и продолжительности.
Специфичные сочетания показателей и аномалий могут говорить о значимых для безопасности шаблонах или паттернах поведения. В системе предусмотрено 19 паттернов поведения, связанных с серьезными аномалиями и особенностями профиля поведения персоны.
Модуль Solar Dozor UBA в реальном времени следит за особенностями поведения и распределяет персон по подходящим паттернам поведения. Таким образом, для организации определяется характерная статистика групповых поведенческих особенностей. Значительное изменение попавших в каждый паттерн персон может сигнализировать об опасных тенденциях безопасности. Такие факты опасных массовых тенденций автоматически выводятся пользователю.
- обнаружение опасных массовых поведенческих тенденций с использованием паттернов поведения;
- мониторинг поведения сотрудников, относящихся к группам особого контроля;
- предотвращение случайных утечек;
- выявление уязвимостей безопасности в бизнес-процессах;
- выявление и контроль сотрудников с подозрительным для своего подразделения поведением;
- обнаружение уязвимостей, связанных с человеческим фактором - уязвимых или подозрительных персон со схожими аномалиями и признаками риска;
- детализация аномалий поведения нарушителей норм безопасности в ходе расследования;
- определение как характерных, так и нетипичных контактов сотрудника: постоянный круг общения, неизвестные контакты, приватные эго-сети;
- определение для персоны состава передаваемых документов и значимых изменений в этом составе с целью предотвращения утечек;
- обнаружение нелояльных сотрудников и признаков планируемого увольнения, мошенничества, сговора.