Дата-майнинг для информационной безопасности



    На Хабре много писали о суперкомпьютере IBM Watson. Предполагается, что такая машина должна служить людям: помогать ставить диагнозы и решать другие сложные проблемы путём анализа массивов структурированных и неструктурированных данных. Но можно ли систему дата-майнинга приспособить для нужд информационной безопасности компании?

    Компания IBM выпустила решение IBM Security Intelligence with Big Data для анализа информационных потоков внутри компании: сетевого трафика, логов, технических данных, и даже корпоративной почты и сообщений сотрудников в твиттере. Технологический директор подразделения IBM Security Systems Сэнди Бёрд (Sandy Bird) говорит, что автоматическое сканирование почты и социальных медиа позволяет оперативно выявить «недовольных» сотрудников, которые могут стать источниками утечек конфиденциальной информации.

    «Путём анализа электронной почты вы можете сделать вывод, что этот парень — недовольный сотрудник, и шансы на утечку данных от него выше», — говорит Сэнди Бёрд. Система анализирует эмоциональный тон текстовых сообщений сотрудников, суммируя оценку каждого слова/фразы (положительное, нейтральное, отрицательное) и вычисляя общее значение сообщения целиком.

    Среди факторов риска может быть такой, что при общении с менеджером и при общении с собеседниками за пределами компании у сотрудника наблюдается разный эмоциональный тон сообщений. Платформа IBM Security Intelligence позволяет пометить такого сотрудника для дальнейшей проверки отделом IT.

    Кроме контент-анализа, система IBM Security Intelligence анализирует сетевые логи, записывает все сетевые пакеты и другую техническую информацию для поиска «аномалий». Система основана на БД Hadoop, с графическим фронтендом для визуализации и изучения данных.

    IBM

    120,00

    Компания

    Поделиться публикацией
    Комментарии 43
      +4
      IBM неожиданно молодцы в последнее время на поле инфобеза. После долгих лет уныния с их устаревшими решениями типа Proventia, они купили компанию Q1 Labs. Я переживал, что они ее переварят ее вместе с костями без остатка, но нет, свежая кровь влилась не напрасно, IBM развивает направление, проявляет активность, интенсивно занимается интеграцией со своими решениями, обучает партнеров и так далее.

      Кстати, на следующей неделе в Праге пройдет конференция, как раз посвященная IBM Security. Я также приму в ней участие и если это кому-то интересно, могу написать фото-топик о конференции.
        +1
        будет интересно почитать об этой конференции
          0
          Ок, постараюсь что-нибудь подготовить. Если IBM сама не сделает что-то подобное.
        +8
        Чего только не придумают, лишь бы сотрудникам зарплату не поднимать…
          0
          Либо наоборот, чтобы поднять.
          0
          Twitter и популярные почтовые сервисы по умолчанию используют HTTPS, т.е. сетевой трафик шифруется. От сканирования в социальных медиа мощно защититься настройками приватности. А при использовании корпоративной почты никто не будет давать выход своим негативным эмоциям, потому что все используют ее строго для деловой переписки.
            +1
            Во многих фирмах, имеющих свой внутренний CA (certificate authority), без особых проблем настраивается SSL-intercept на веб трафик. И тогда не проблема заглянуть в большинство HTTPS трафика.

            На счёт невозможности негативных эмоций в деловой переписки — это у вас сарказм как я понял. Да?
              0
              А как быть с конституционным правом на тайну переписки?
                +1
                Вы к примеру свой трудовой договор внимательно читали?
                Обычно (сейчас уже в большинстве случаев) там уже давно про неразглашение пункты есть и пункты про контроль с использованием любых технических средств.
                  +2
                  Дело не в средствах, и речь не о разглашении. Дело в незаконности перлюстрации. Тема уже поднималась. Договор, ущемляющий Ваши права — не имеет силы.
                  0
                  этим правом можно пользоваться дома или с личного мобильного телефона, и не в рабочее время.
                  На счет системы, то это однозначно лучше и быстрее, когда анализирует система и выдает готовый результат, чем если бы это делали живые люди и читали все подрбоности переписки
                    0
                    То есть, трудовой договор не признается юридически ничтожным при нарушении конституции? Использование ресурсов компании в личных целях и тайна переписки не взаимозаменяемы. Да, читал… и писал.
                      0
                      это право касается только личной переписки (ключевое слово «личной») к тому же эта переписка еще должна лично оплачиваться.
                        0
                        Совершенно верно.
                          0
                          Нет, неверно. Личная переписка в рабочее время и с рабочего компьютера всё равно защищена Конституцией и прочими законами.
                            0
                            Не прочитали ветку? Совершенно верно, что личная переписка должна лично оплачиваться. И во внерабочее время. Тогда ресурсы компании не задействованы.
                              0
                              Это вы не прочитали законы. Личная переписка неприкосновенна независимо от того, где и как она написана и кем оплачена.

                              Про рабочее время, ресурсы компани и т.п. вы просто фантазируете. Может, вам это го и хотелось бы, но это не так.
                              Если ваш сотрудник напишет любовное письмо своей любовнице в рабочий полдень с рабочего компьютера, а вы, директор компании, его перехватите и прочтёте — это преступление.
                              И даже если он напишет бытовое письмо своей жене — тоже.

                              Другое дело, что разглашением переписки является событие, когда она стала известна людям, которым не положено по должности быть с ней ознакомленными. Людям, а не роботам.

                              А вот если вы добьётесь от сотрудника письменного разрешения читать именно его ЛИЧНУЮ переписку — тогда читайте на здоровье.
                                0
                                Ну и понятно, что проблема личной переписки на работе — вовсе не в 0,0001 киловатт-часа, которые потрачены на пересылку письма. И не в 3 минутах, потраченных на его написание и отсылку. И ясно, что все сотрудники всех компаний пишут и будут писать личные письма в рабочее время.

                                И проблема также не в том, что они якобы меньше работают. давно известно, что если у них есть известная свобода, хоть даже в игры играть и ролики с Ютьюба качать, то работают они лучше.

                                Проблема именно с контролем настроений, контактов, намерений.
                                  0
                                  Ваше утверждение в первом предложении великолепно. На самом деле предмет спора отсутствует.
                                    0
                                    «Это преступление»… прям так громко сказано… аж страшно:)
                                    Я прочитал законы, если вкратце то, есть несколько проблем, перавая — закон и конституция не дает четких определений, например что такое «нарушение тайны переписки», когда и как это происходит и т.п., вторая проблема частично вытекает из первой это то, что доказать факты практически невозможно, особенно когда касается интернета и софта.
                                    Третья это свобода выбора, т.е. любой человек может позаботиться о том чтобы его переписку не прочитали, например использовать свои личные средства связи, зашифровать сообщение и т.д.
                                    Кроме того в странах СНГ пока еще небыло прецедентов, и даже на западе с этим не все так однозначно и разные решения были, так что прям так сразу — преступление, я бы не писал.
                                      0
                                      Вы что, серьёзно думаете, что если преступление трудно доказать, что если вам непонятно написанное в законе определение преступления, а жертва иногда может от него защититься, то преступления как бы и нет?
                                      Похоже, да.
                                      Какая всё-таки чудовищная вторичная дикость у айтишников. Белые дикари какие-то.
                                        0
                                        во первых давайте не обобщать, есть уголовное преступление, есть административное правонарушение, т.к. мы говорим о конкретной теме, то преступление — перегиб, это все равно что вы нарушили ПДД а Вас начнут называть преступником.
                                        Во вторых я не писал что лично мне не понятно, я написал что
                                        «закон и конституция не дает четких определений»
                                        в частности про «нарушение тайны переписки» это не мое личное мнение, а мнение большинства юристов и адвокатов. Ну а суть моего ответа в том, что прежде чем что-то доказывать, нужно сначала определиться что именно и при каких обстоятелствах это является правонарушением, вот и приведите пожалуйста конкретные пунткты законов или конституции.
                                        Какая всё-таки чудовищная вторичная дикость у айтишников. Белые дикари какие-то.

                                        Это тоже не нужно обобщать на всех айтишников, такими фразами вы делаете подмену понятий, зомбируете как по ящику и т.д. также как например пишут что «Украина ворует газ в России» я с этим не согласен, также как и с дикостью айтишников
                                          0
                                          Нарушение тайны переписки — уголовное преступление. Сколько вы ни сомневайтесь, данное обстоятельство от этого не изменится.

                                          А законы вы вполне в стоянии поискать сами, мне совершенно неинтересно вам это доказывать. Просто вы гоните пургу, я слегка закрыл форточку.

                                          Вы же и так знаете мнение большинства юристов? Ну вот и поинтересуйтесь у большинства юристов номерами статей УК.
                                            0
                                            Сколько вы ни сомневайтесь

                                            Я ни капли не сомневаюсь, просто я смотрю на это гороздо шире, так что это наверно за гранью вашего понимания или вы слишком категоричны и не хотите даже попытаться посмотреть шире.
                                            Но вы не один такой, поэтому попробую объяснить на пальцах, вот смотрите — нарушение правил ПДД это уголовное преступление или административное правонарушение?
                                            Да, и то и другое только все зависит от обстоятельств, бывает и так и так, только ПДД расписаны подробнейшим образом в самих ПДД, кроме того есть закон о дорожном движении. А вот про тайну связи, только несколько общих фраз и никакой конкретики, вот в этом и проблема. Когда невозможно четко определить правонарушение или преступление, то и говорить о таковом не имеет смысла, особенно так категорично как вы!
                                            Кроме того наказание за тайну связи штраф или срок, как правило если штраф то это не уголовное преступление а админ правонарушение, потом ущерб моральный, а не материальный или физический, так что тут тоже неувязки есть, и по большинству критериев попадает под административное правонарушение.
                                            В любом случае уголовный срок за такие правонарушения это слишком жестко и не справедливо, ну пусть станут достоянием гласности какие-то пикантные детали чьей-то личной жизни, и что сажать за это на 7 лет кого-то? это нормально разве, искалечить чью-то другую личную жизнь за это? Ставить это в один ряд с убийствами и терроризмом по меньшей мере глупо и несправедливо.
                                            Я уже молчу про то как легко можно подставы делать, и сажать кого угодно направо и налево.
                                            Так что статья скорее носит устрашительный характер и не более. Кстати корни истоки уголовной принадлежности тянутся еще из УК СССР
                                              0
                                              Да я уж вижу, как широко вы мыслите и смотрите, мне и в самом деле трудновато понять. Это прямо-таки за гранью моего понимания.
                                              Есть уголовная статья, но вам кажется, что
                                              У вас и единственно верный счётчик справедливости есть, и мнение большинства юристов вам известно, и критерии правонарушений вы сами определяете.
                                              Вам кажется, что если вы можете задать много дурацких вопросов (как в известной поговорке про 100 вопросов от известно кого), то это как бы делает преступление не преступлением.

                                              Типа, да, гравитация есть, но мне кажется, что на самом деле люди могут летать просто силой мысли, если взглянуть шире…
                                              А кто вообще решил, а если мне надо лететь, а что за дискриминация…

                                              Ну пусть вам продолжает казаться. Это пройдёт после первого уголовного дела.
                                              Не вижу что тут ещё обсуждать, извините.
                                                0
                                                я еще раз повторяю мне ничего не кажется и ни в чем не сомневаюсь, это мое мнение не согласны и ладно, думаю большинство понимает, а ваш тон и категоричность не делает вам чести, обсуждать эту тему с таким подходом как у вас действительно нечего.
                                                И еще раз повторяю что небыло ни одного судебного прецедента по этой статье, и быть не может, почему я уже написал выше.
                                                Хотя у нас в Украине может конечно быть все что угодно, у нас и так все в тупую толкают и людей сажают, как раз такие люли как вы с таким подходом как у вас
                                              0
                                              Исходя чисто из логики и здравого смысла, нарушением тайны связи (личной переписки) должно признаваться ознакомление с личным (тайным) сообщением какого-либо лица или лиц кроме отправителя и получателя (его уполномоченного представителя) без их согласия.

                                              И вот теперь вопросы:

                                              1. В какой форме может быть получено согласие, особенно если это электронное сообщение?
                                              2. Как технически 100% определить получателя, особенно если например ящик анонимный, как доказать?
                                              3. Как быть в случае ошибки отправителя
                                              4. Как быть в случае технического сбоя
                                              5. В случае взлома серверов, ящиков вредоносного ПО и т.д.?
                                              6. Кто конкретно будет виноват если сообщение получат тысячи получателей?

                                              Вопросов и нюансов очень много, думаю осмыслив эти вопросы многие не станут так категорично называть это уголовным преступлением.
                          +1
                          А как быть с конституционным правом на тайну переписки?

                          Чтение роботами его не затрагивает. Запрет ознакомления — про людей.
                          Вашу переписку и сейчас читает огромное число почтовых и антиспамерских роботов.
                            0
                            Совершенно верно. :)
                              0
                              Отчего такая дискриминация роботов? А если робот, обрабатывая письма автоматически размещает их на публичных ресурсах?

                              Ещё вариант: у меня информационная система построена так, что все письма электронной почты передаются во внешние информационные системы путём их перепечатывания живым секретарём. Нарушает такой секретарь закон, если вдруг попалось письмо с личным содержимым?

                              По моему мнению, переписка, ведущаяся с использованием оборудования компании, всего лишь часть информационной системы этой компании, поэтому знакомство ответственных сотрудников с их содержимым не является нарушением. Вот если такие сотрудники выносят информацию за пределы компании, то это совсем другое дело.
                              –1
                              А собода передвижения позволяет езить на красный свет или под кирпич?
                              0
                              Не холивара ради, а уточнения для. Слово «заглянуть» зацепило.

                              За «заглянуть» (глазами) в некоторых юрисдикциях можно огрести. Приличная формулировка этого пункта NDA такова —
                              1. Да, я не буду использовать ресурсы компании в личных целях.
                              2. Да, я позволяю контролировать себя любыми средствами, которые не нарушают мои права.

                              IBM сделал прекрасный подарок безопасникам — получать оценку сообщения, не видя самого сообщения.
                                +1
                                Тут однако возникает риск забавных «неверифицируемых» ложноположительных результатов.

                                Не имея возможности прочитать переписку, сотрудники рискуют быть брошенными на нейтрализацию угрозы, существующей лишь в программно-аппаратных хитросплетениях электронного «мозга». Обнаружение этого забавного факта может потребовать немало времени (и сил).

                                P.S.:
                                На всякий случай уточню, что говорю о ложноположительном результате у «условно-нормально» функционирующей системы, а не о случае «глюков» (что конечно еще более интересная тема)

                                P.P.S.:
                                Кажется Лем что-то такое писал… про гипотетическое будущее где «ранее успешный» компьютерный «вождь» вдруг решает переодеть военных в розовое, и затруднения связанные с «оспариванием» такого решения.

                                Надо перечитать Лема :-)
                                  0
                                  Я встречал, фирмы, где при начале браузанья пишут «Я согласен что мои действия мониторятся и записываются» И дальше конпки Да-Нет.

                                  Я придерживаюсь принципа — используя средства (компьютер, сеть, помещения) работодателя, будь готов к полному сбору информации и твоих действиях.
                                  +1
                                  Не совсем понял, какое отношение имеет внутренний СА к https траффику сервера, пользующегося своим собственным сертификатом, не имеющим никакого отношения к внутрифирменному СА?
                                    0
                                    MITM

                                    Нет, браузер конечно скажет что «ой, какой-то сертификат странный», но если вы его не примете — вы просто не сможете зайти на github. Такие дела.
                                      0
                                      Даже если после ругани браузера я приму сертификат, это не поможет раскрыть https траффик. Дело в том, что для шифрования используют _публичную_ часть ключа, известную всем. А для расшифровки уже нужна _приватная_ часть, имеющаяся исключительно на удаленном сервере. Так что никто посторонний, даже ваш шеф, заглянуть в трафик, не имея серверного сертификата, не сможет.
                                        0
                                        Я вёл речь про такой вид: Клиент<->Прокси<->Интерент
                                        В моём случае мне достаточно видеть что внутри трафика между клентом и прокси. Для проверки на вирусы или DLP.
                                        Что там дальше уже не моё поле действий.
                                          0
                                          Разве траффик между клиентом и прокси не будет закрыт ключом инетовского сервера?
                                            0
                                            Нет, так как создаётся 2 отдельных ССЛ соединения: клиент — прокси(или какой либо content switch) и прикси — запрашиваемый сервер. В таком случае прокси эмулирует сертификат запрашиваемого сервера, т.е выдаёт сторонний сертификать за свой (подписанный корпоративным CA).
                                            Стоить отметить, что при использовании клиентского сертификата (например online банкинг итд), данный setup не будет работать.
                                              0
                                              Я понял. Завтра на работе проверю, чей сертификат высветит браузер при заходе на gmail например.
                                                0
                                                Проверил. Хоть и сидим за прокси, сертификат все же гугловский. Очевидно, наша контора еще не докатилась до тотального контроля :)
                                0
                                Интересно, а как в системе с мультиязычностью. Для каких языков есть анализ тональности. Уверен там нет русского

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                Самое читаемое