Инсайдерские угрозы редко выглядят как откровенная кража данных. Чаще это незаметные изменения в поведении: сотрудник начал задерживаться в офисе после работы, писать тем, с кем раньше не общался, или запрашивать доступ к необычным для себя документам. По отдельности эти события ничего не значат. Вместе — это маркеры, которые указывают на риск задолго до инцидента. Граф коммуникаций собирает эти сигналы в единую картину и показывает, кто на самом деле как работает и общается.
Граф коммуникаций сотрудников: что это и зачем нужен
Любая компания — это не только оргструктура и бизнес-процессы, но и тысячи писем, звонков и сообщений в чатах ежедневно. Именно с их помощью передаются данные, принимаются решения и, к сожалению, происходят утечки. Коммуникации становятся каналом для слива информации, индикатором готовящегося увольнения, признаком взлома учетной записи или сигналом о внутреннем конфликте.
Проблема в том, что вручную отследить эти потоки невозможно: их слишком много и они хаотичны. Нужен инструмент, который собирает разрозненные факты общения в единую картину и выделяет то, что выбивается из нормы. Таким инструментом становится граф коммуникаций.
Граф коммуникаций — это наглядная схема связей в компании. Каждый сотрудник обозначен точкой, а линии между ними показывают, кто с кем общается: переписывается по почте, перезванивается или обменивается сообщениями в чатах. Толщина линии может показывать интенсивность, цвет — канал связи (почта, мессенджер, телефон), форма точки — роль или отдел. Граф — универсальный инструмент: он применим для любых связей, которые присутствуют в бизнес-процессах — отслеживания файлов, доступов к сервисам, маршрутов передачи данных. Однако именно для анализа коммуникаций он раскрывается максимально полно. Коммуникации — самый насыщенный и динамичный слой корпоративной жизни, и граф превращает их в наглядную картину, где аномалии становятся очевидными.
Графы связей со Staffcop
Зафиксируйте скрытые связи между сотрудниками и контрагентами со Staffcop.
Зачем это нужно бизнесу
Для бизнеса, HR и службы безопасности граф коммуникаций поможет обнаружить скрытые угрозы:
Найти мошеннические схемы. Внезапное появление устойчивых связей с внешними адресами, особенно в нерабочее время или с передачей файлов, — классический маркер.
Выявить компрометацию учетных записей. Если злоумышленник получил доступ к чужой учетной записи, он рассылает письма десяткам новых внешних адресов, отправляет файлы туда, куда сотрудник никогда ничего не пересылал. В графе такие аномалии видны сразу: резкое расширение круга контактов, появление новых «толстых» ребер к внешним узлам, массовая передача данных туда, где раньше связи не было.
Контролировать подрядчиков и временный персонал. Граф позволяет отследить, не продолжают ли бывшие подрядчики получать информацию после закрытия доступа, и не создают ли они скрытых каналов обхода блокировок.
Диагностировать некорректно настроенные процессы. Когда два смежных отдела, например продажи и маркетинг, не общаются напрямую, а только через общего руководителя — это симптом, который ведет к потере скорости и качества работы.
Как граф коммуникаций помогает выявлять инсайдеров
Система строит поведенческий профиль для каждого сотрудника. Она знает, с кем он обычно общается, в какое время, какие файлы передает. Как только реальность расходится с профилем, это сигнал.
Типичные сценарии утечек, которые помогает выявить граф коммуникаций:
Слив перед увольнением. Сотрудник написал заявление. Граф за последний месяц показывает новые внешние контакты, рост исходящих писем с вложениями, обращения к базам, с которыми он раньше не работал.
Скомпрометированная учетка. Взломщик не знает привычек жертвы. Граф покажет аномалию: попытки связи с новыми адресами, входы из необычных локаций, действия в нерабочее время.
Неосторожный сотрудник. Человек отправляет рабочие данные на личную почту, подключает к переписке внешние адреса, которых раньше не было, или начинает активно обмениваться файлами с подозрительными контактами. В графе это выглядит как внезапное положение новых внешних узлов, с которыми ранее не было связи.
Ключевой принцип подобной аналитики — сравнение сотрудника с ним же вчерашним и с коллегами из того же отдела. Если все инженеры общаются внутри и с техподдержкой, а один — еще и с неизвестным внешним адресом, это повод для проверки, все ли в штатном режиме.
Чтобы быстро замечать такие аномалии, нужен инструмент, который сам строит графы и ищет нестыковки. Staffcop анализирует поведение пользователей и строит графы коммуникаций. Система покажет, если сотрудник начал общаться с необычными контактами или запрашивать несвойственные ему данные.
Откуда берутся данные для построения графа: роль SIEM и UEBA
Граф коммуникаций строится на основе событий, которые собирают и обрабатывают системы класса SIEM и UEBA. В архитектуре безопасности эти компоненты могут быть объединены в одной платформе или работать как отдельные решения, дополняя друг друга. Их совместная задача — превратить разрозненные логи в наглядную картину связей и аномалий.
SIEM-система (Security Information and Event Management)
Собирает события со всех устройств и приложений в компании. Это своего рода центральный пульт, куда стекаются логи из Active Directory, почтовых серверов, прокси, DLP-систем, межсетевых экранов и антивирусов. Без SIEM граф коммуникаций строить не из чего — данные просто разрознены по разным источникам.
SIEM не только собирает события, но и приводит их к единому формату, связывает учетные записи одного человека, отсеивает дубли. Именно на этой очищенной и структурированной основе и строится граф.
UEBA (User and Entity Behavior Analytics)
Отвечает за поведенческий анализ. Это надстройка, которая учится понимать, что для конкретного сотрудника нормально, а что — отклонение. SIEM без UEBA будет слишком часто срабатывать ложно. Каждое событие по отдельности может быть безобидным, и система либо пропустит реальную угрозу, либо завалит аналитика шумом.
В реальной архитектуре безопасности возможны разные сценарии. SIEM может сам включать в себя UEBA-функции или получать от отдельной UEBA-системы уже обогащенные данные — аномалии, оценки рисков, поведенческие профили. Граф коммуникаций встраивается в эту экосистему как слой визуальной аналитики.
Без SIEM графу неоткуда брать данные — события просто разрознены по разным источникам. Без UEBA граф по-прежнему полезен: он показывает структуру связей и аномалии, которые можно выявить на уровне сетевого анализа, например новые кластеры или необычную центральность узлов. Но UEBA добавляет глубину: она понимает контекст каждого действия, отличает рабочий процесс от подозрительной активности.
Какие данные попадают в граф
Для построения базовой структуры графа достаточно метаданных: кто с кем, когда и как часто общается, передаются ли файлы. Система анализирует:
Почту: кто кому пишет, с какой частотой, есть ли вложения и скрытые копии.
Корпоративные мессенджеры: факты переписки, создание новых групп и каналов, приглашение внешних участников.
Телефонию: звонки, их длительность, номера абонентов.
Это позволяет увидеть сеть коммуникаций и выявить аномалии в паттернах общения. Но если добавить к графу данные анализа содержимого сообщений, его ценность кратно возрастает.
С текстами граф становится не просто схемой «кто с кем говорит», а полноценной картой смыслов. Например, можно построить отдельный граф конфликтных взаимодействий: кто с кем ведет напряженную переписку, использует агрессивную лексику, жалуется руководству. Или выделить граф обсуждения конкретной темы: кто участвует в переписке по проекту, кому пересылают ключевые документы, кто остается в стороне.
Такой подход особенно полезен для HR-задач — выявления токсичности, изоляции сотрудников или неформальных лидеров, — а также для расследований, когда нужно не просто понять, кому ушел файл, но и в каком контексте это происходило.
Как настроить работу графа коммуникаций
Система мониторинга не требует сложной ручной настройки. Достаточно подключить источники данных, и она начинает работать в два этапа: обучение и обнаружение.
Режим обучения
На первом этапе система накапливает данные и учится понимать, что для каждого сотрудника нормально. Для этого не обязательно иметь отдельный UEBA-движок — профили можно строить на основе статистики и простых правил. Но если в контуре есть UEBA, она значительно облегчает анализ: автоматически выделяет аномалии, сравнивает сотрудников с коллегами по роли и быстрее адаптируется к изменениям:
— Типичный круг общения: с кем и по каким каналам человек обычно взаимодействует.
— Интенсивность: сколько писем, сообщений, звонков в день считается нормой.
— Режим работы: в какие часы и дни сотрудник активен.
— Типичные действия: к каким данным и приложениям он обращается.
Боевой режим
Как только профили построены, система переходит в режим реального времени. Здесь UEBA и SIEM работают в связке. SIEM поставляет свежие события, а UEBA сверяет их с профилями. Любое отклонение повышает уровень риска сотрудника.
На этом этапе в игру вступает граф коммуникаций. Он работает не просто как визуализатор готовых аномалий, а как самостоятельный аналитический инструмент. Данные поведенческой аналитики (UEBA) могут подаваться на вход графа, но часто граф строится напрямую из событий — и уже по его структуре система или аналитик видят отклонения. Например, когда вокруг конкретного сотрудника внезапно появляются новые узлы, связи становятся толще, меняется канал коммуникации или время активности — это может быть первым сигналом, который еще не успела зафиксировать UEBA, потому что у нее не хватило обучающей выборки. Граф показывает аномалии связей, которые поведенческий анализ мог бы пропустить.
Пример. Сотрудник финансового отдела входит в систему в нерабочее время. SIEM фиксирует событие входа. UEBA сравнивает с профилем — отклонение, уровень риска +1. Далее SIEM видит обращение к зарплатной базе, с которой сотрудник обычно не работает. UEBA добавляет еще одно отклонение. Затем система замечает архивацию данных и попытку отправки на личную почту. На каждом шаге уровень риска растет.
Когда сумма аномалий превышает порог, система может действовать автоматически:
— Отправить оповещение в SOC с готовой визуализацией графа: кто, кому, по какому каналу пытается передать данные.
— Заблокировать отправку подозрительного сообщения.
— Приостановить сессию пользователя до выяснения обстоятельств.
Инцидент предотвращается еще на стадии попытки.
Как визуализируются данные
Когда в компании тысячи контактов и миллионы событий, таблицы и логи бесполезны. Но информация, визуально организованная в граф, распознается с первого взгляда.
Современные системы мониторинга используют несколько форматов отображения графов, каждый из которых отвечает на свой вопрос:
Пузырьковые диаграммы. Здесь каждый сотрудник — это узел, размер которого зависит от его коммуникационной активности. Чем больше узел, тем чаще с ним взаимодействуют коллеги и внешние контакты. Такой формат позволяет за секунду найти людей, через которые проходят основные информационные потоки, — неформальных лидеров, которые не всегда занимают высокие должности, но реально влияют на работу.
Тепловые карты связей. Они показывают интенсивность общения между отделами, группами или конкретными сотрудниками. Это удобный способ увидеть, где коммуникация нарушена. Например, два смежных отдела должны активно обмениваться информацией, но на тепловой карте видна «холодная зона» — значит, процесс сломан и пора вмешаться. И наоборот, аномально горячая зона может указывать на скрытый канал утечки.
Динамические графы. Статичная картинка показывает срез на текущий момент. Динамика позволяет отмотать время назад и посмотреть, как менялись связи: кто с кем начал общаться, какие новые внешние контакты появились у сотрудников, кто вдруг потянулся к данным, к которым раньше не имел доступа. Это особенно полезно при расследованиях — можно восстановить хронологию событий шаг за шагом.
Любая визуализация становится по-настоящему полезной, когда она интерактивна. Аналитик может кликнуть на узел и увидеть профиль сотрудника, все его учетные записи, историю коммуникаций. Навести на ребро — прочитать последние сообщения или посмотреть детали звонков. Наложить фильтры по дате, каналу связи или отделу, чтобы отсечь лишнее и сфокусироваться на подозрительном.
В итоге вместо бесконечных логов перед аналитиком — понятная картина. В ней сразу видно, кто, с кем, как часто и в какое время общается, а главное — где эта картина расходится с нормой. Именно это и нужно для раннего выявления инсайдеров.
Как измерить эффективность системы мониторинга с графом коммуникаций
Внедрение любой системы безопасности должно давать измеримый результат. Вот четыре метрики, которые реально показывают отдачу от использования графа коммуникаций в составе системы мониторинга.
Критерий 1. Снижение числа инцидентов с утечками данных
Сравнение количества утечек год к году — самая прямая метрика. Если до внедрения системы фиксировали, скажем, 10 инцидентов в год, а после стало 2 или 3, значит, инструмент работает. Но важно смотреть не только на количество, но и на критичность: исчезли ли утечки самого чувствительного типа?
Пример. В торговой компании после внедрения мониторинга с графом коммуникаций перестали пропадать базы поставщиков. Раньше каждые полгода всплывало, что коммерческие предложения и контакты утекали к конкурентам. Система заметила закономерность: перед каждым увольнением менеджеры начинали переписываться с одним и тем же внешним адресом. Оказалось, конкурент перекупал сотрудников вместе с данными. После того как служба безопасности заблокировала эти каналы (а в двух случаях просто показала сотрудникам, что их действия видны), утечки прекратились.
Критерий 2. Сокращение времени обнаружения
Без поведенческого анализа утечку могут обнаружить через месяцы, когда данные уже проданы и ущерб нанесен.
Пример. Система зафиксировала, что учетная запись сотрудника службы поддержки, который всегда работал строго с 9 до 18, начала проявлять активность в 3 часа ночи. Причем обращалась не к стандартным скриптам, а к базе клиентов с премиальными подписками. Через 15 минут после начала аномалии аналитик SOC уже изучал граф: увидел, что сессия идет из страны, где у компании нет офисов, и данные начали передаваться на внешний сервер. Сессию заблокировали. Взломщик не успел выгрузить и десятой части базы.
Критерий 3. Снижение доли ложных срабатываний
Без контекста аналитики тратят много времени на разбор событий, которые оказываются ложными. Система с графом коммуникаций отсеивает шум, показывая только те аномалии, которые действительно выходят за рамки нормального поведения.
Пример. В крупном банке DLP-система каждый день выдавала сотни алертов на отправку файлов по почте. Аналитики вручную проверяли каждый и в 95% случаев ничего не находили: это были рабочие отчеты, договоры с контрагентами, рассылки внутри команды. После подключения модуля поведенческого анализа система начала учитывать контекст: кому отправляет, в какое время, как часто, какие файлы. Теперь алерт приходит, только если, скажем, бухгалтер отправляет архив на личную почту ночью, а не когда он шлет ежеквартальный отчет своему руководителю днем. Нагрузка на SOC упала в 10 раз, а реальные инциденты перестали тонуть в шуме.
Критерий 4. Количество предотвращенных инцидентов
Это, пожалуй, самая показательная метрика. Она считает, сколько раз система не просто зафиксировала, а именно заблокировала подозрительное действие до того, как случилась утечка. Здесь важен не только сам факт блокировки, но и ее обоснованность: система не должна мешать работе добросовестных сотрудников.
Пример. Сотрудник финансового отдела, собиравшийся уйти к конкуренту, в пятницу вечером попытался скачать полную базу зарплатных ведомостей. Доступ у него был, так как он занимался начислением зарплаты. Система в реальном времени распознала цепочку аномалий: нерабочее время — для него нетипичное, запрос необычно большого объема данных из раздела архива, попытка их заархивировать с паролем и отправить на личный почтовый ящик. На этапе отправки сработала автоматическая блокировка, письмо не ушло. Инцидент зафиксировали, сотрудника пригласили в службу безопасности, он признал попытку выноса данных.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.