Разработка AI-системы детекции инсайдерских угроз
Инсайдерские угрозы — наиболее дорогостоящая категория инцидентов безопасности: $15.4M средний годовой ущерб на организацию (Ponemon 2023). 74% инцидентов — не злой умысел, а халатность, но злонамеренные инсайдеры причиняют в 3 раза больший ущерб.
Специфика проблемы
Инсайдер работает с легитимными учётными данными и имеет право доступа к данным. Традиционные DLP и SIEM дают огромное количество false positives (тысячи алертов в день) именно потому, что не умеют отличать нормальное поведение конкретного сотрудника от аномального.
Три типа инсайдеров с разными паттернами:
- Злонамеренный: постепенная эксфильтрация данных, маскировка под нормальную активность, часто — перед увольнением
- Халатный: случайные нарушения политик, shadow IT, использование личных облаков
- Скомпрометированный: учётные данные украдены, действует внешний атакующий через легитимный аккаунт
Каждый тип требует отдельной модели детекции.
Архитектура детекции
User and Entity Behavior Analytics (UEBA)
Ядро системы — построение нормального профиля поведения для каждого пользователя и сущности (серверы, приложения). Данные для профилирования:
- Endpoint telemetry: файловые операции (чтение, копирование, удаление), запуск приложений, подключения USB
- Network activity: DNS-запросы, исходящий трафик по направлениям и объёмам, использование облачных сервисов
- Authentication events: время входа, геолокация, устройства, частота MFA-запросов
- Application behavior: которые системы использует, какие запросы делает к БД, объёмы выгружаемых данных
- Communication patterns: email-паттерны (объём, получатели, вложения), использование мессенджеров
Модели детекции:
| Угроза | Метод | Сигналы |
|---|---|---|
| Data exfiltration | Isolation Forest + threshold | Резкий рост объёма исходящих данных |
| Account compromise | LSTM + sequence anomaly | Нетипичное время, геолокация, поведение |
| Privilege abuse | Graph-based detection | Необычные паттерны доступа к ресурсам |
| Pre-termination exfiltration | Supervised classifier | Паттерны уходящих сотрудников |
| Shadow IT usage | DNS + traffic analysis | Обращения к неодобренным облачным сервисам |
Risk Scoring Engine
Каждый пользователь получает динамический risk score (0–100) на основе взвешенного ансамбля моделей. Факторы, повышающие score:
- Уведомление HR о предстоящем увольнении (+значительный вес)
- Дисциплинарные взыскания в последние 90 дней
- Резкое изменение поведенческого паттерна
- Доступ к данным, нетипичным для роли
Contextual Investigation
При превышении порога risk score система не просто генерирует алерт, а собирает доказательную базу: timeline событий, граф взаимодействий, похожие исторические случаи. Это снижает нагрузку на SOC-аналитика — вместо ручного расследования готовая картина инцидента.
Сбор данных без нарушения privacy
Критичный вопрос — как балансировать мониторинг и права сотрудников. Рекомендуемый подход:
- Анонимизация на уровне хранения: behavioral features хранятся без привязки к имени, деанонимизация только по решению руководства + юридического отдела
- Pseudonymization: risk scores привязаны к ID, не к личным данным
- Audit trail: все случаи раскрытия идентификатора логируются
- Consent framework: сотрудники уведомлены о мониторинге корпоративных систем (обязательное требование GDPR)
Интеграции
EDR: CrowdStrike Falcon, Microsoft Defender for Endpoint, Carbon Black
DLP: Symantec DLP, Microsoft Purview
SIEM: Splunk, IBM QRadar, Microsoft Sentinel
IAM: Okta, Azure AD, CyberArk
Email: Microsoft 365, Google Workspace
HR systems: Workday, SAP HCM (для контекста увольнений/перемещений)
Результаты после внедрения
- Снижение MTTD инсайдерских инцидентов: с 85 дней до 7–14 дней
- Reduction в false positives vs. rule-based SIEM: -68%
- Покрытие векторов инсайдерских угроз: >90% известных паттернов
- ROI: каждые $1M в систему предотвращает $4–8M ущерба (по отраслевым данным Ponemon)
Обнаружение реальных инсайдеров происходит через кластеры аномалий во времени, а не через отдельные инциденты — именно поэтому ML-подход принципиально превосходит правиловые системы.