Когда каждый вход в систему может оказаться угрозой: разбираем, как система поведенческой аналитики превращает невидимые данные в управленческую выгоду

Обычно бизнес видит корпоративный мессенджер как удобный канал общения сотрудников. Но в тот момент, когда пользователь просто нажимает «войти» или отправляет сообщение, в фоне может запускаться куда более ценная история — аккуратный сбор и превращение технического запроса в управленческую аналитику. Вместо черного ящика, мессенджер становится источником данных о том, чем живет внутренняя коммуникация и насколько эффективно работают цифровые процессы компании. О том, как это выглядит на практике, наша статья.

Чем грозит «слепота» бизнеса в мессенджерах

К разработке Internet Inspector нас сподвигла классическая проблема: корпоративный мессенджер ежедневно используется десятками сотрудников, не давая ни малейшего представления о том, что реально происходит внутри.

В тени остается масса деталей:

• с каких устройств и локаций заходят пользователи;
• есть ли подозрительные паттерны поведения (ночные входы, смена геолокации);
• какие интеграции реально востребованы, а какие висят мертвым грузом?

«Туман войны» в коммуникациях создает множественные риски. В первую очередь под удар попадает безопасность. По данным исследования Insider Threats in Banking (2024), инсайдерские угрозы составляют до 34% всех инцидентов ИБ, при этом средний ущерб от одной утечки — $15,4 млн. Без поведенческой аналитики выявить компрометацию учетных записей или недобросовестного сотрудника практически невозможно.​

Страдает и операционная эффективность: компании тратят бюджет на инфраструктуру, не понимая реальной взаимосвязи элементов внутренних систем. Практика показывает: до 30% корпоративных интеграций не используются, но продолжают потреблять ресурсы.​

Наконец, комплаенс: регуляторы (152-ФЗ, отраслевые стандарты) не только требуют контроля доступа к данным, но и постоянно ужесточают требования. Отсутствие логирования и аналитики — прямое нарушение, грозящее штрафами до 6% от оборота и по прогнозам дальше не будет легче.

Традиционные подходы, по нашему мнению, слабо отвечают реалиям рынка. Классические SIEM-системы фиксируют события, но не понимают контекста. Они генерируют сотни алертов, 95% которых — ложные срабатывания, в то же время аналитик тонет в информационном шуме, пропуская реальные угрозы.

Мы решили пойти другим путем: начать с малого — собрать «сырые» данные о входах пользователей, научиться их систематизировать и представлять визуально, а уже потом добавлять машинное обучение для выявления аномалий.

Как выглядит и работает Internet Inspector от WB Tech

Ключевым требованием, от которого строилась система, нам виделась необходимость сохранить существующую инфраструктуру. На всех этапах внедрения в корпоративный мессенджер сотрудники должны работать, как обычно, не замечая появления инструментов мониторинга.

В основе решения — прозрачный прокси‑слой. Пользователь отправляет запрос на вход или любое действие в корпоративном мессенджере. Запрос проходит через прокси, где аккуратно перехватывается и фиксируется, но при этом не тормозит работу сервиса и не меняет привычный сценарий для персонала. Дальше все происходит как обычно: запрос уходит в мессенджер, авторизует сотрудника, открывает ему чаты и каналы. 

• Главное — параллельно этому тот же запрос направляется в отдельный сервис обработки данных, который превращает «сухой» технический вызов к API (HTTP-пакеты в JSON-формате) в понятную бизнесу информацию.

Сервис обработки данных выступает «переводчиком» между техническим миром и управленческими задачами. Он не только разбирает параметры запроса, но и обогащает их: подтягивает дополнительные сведения из внешнего сервиса (например, по IP‑адресу или по конкретному API), увязывает с типом клиента, подразделением, сценарием использования. 

На выходе получается уже не просто запись «кто‑то куда‑то зашел», а контекст: 

• какой отдел активно пользуется мессенджером; 
• какие интеграции нагружают систему;
• где появляются аномальные паттерны поведения. 

Эти данные приводятся к удобному для бизнеса виду — с нужными разрезами, метками и атрибутами — и сохраняются в специализированной базе, готовой к аналитике, отчетам и визуализации.

Важная деталь: благодаря принципам Clean Architecture, мы смогли построить доменно-ориентированную модель с четкой иерархией слоев.

• Presentation Layer: прием данных от Nginx.
• Domain Layer: бизнес-логика трансформации.
• Data Layer: отправка в каналы уведомлений.

Это дало нужную гибкость: если понадобится, завтра мы легко заменим корпоративный мессенджер, например Telegram на Mattermost, Slack или собственный дашборд — без переписывания ядра системы.

Что происходит с данными: от машинного кода к смыслам

Центральная «магия» сервиса — обогащение и нормализация данных.

Входные данные (что видит Nginx):

Выходные данные (что видит аналитик):

Парсинг User-Agent — нетривиальная задача. Для него мы используем питоновские библиотеки, которые «разворачивают» закодированные строки в понятные метрики. Это позволяет:​

• отслеживать, с каких устройств заходят сотрудники (ПК, мобильные, планшеты);
• выявлять устаревшие браузеры (потенциальная уязвимость);
• определять ботов и парсеры (нештатная активность)​.

Обогащение по IP включает геолокацию. Если сотрудник обычно заходит в корпоративный мессенджер из Москвы, а тут внезапно — из Амстердама, система отмечает это как аномалию (пока без автоматической блокировки, но с уведомлением).

DFD (Data Flow Diagram): как данные движутся по системе

Для документирования потоков информации мы используем DFD-нотацию — классический инструмент бизнес-анализа. Она показывает, откуда приходят данные, как обрабатываются и куда уходят.​

Контекстная диаграмма (уровень 0):

• Внешняя сущность: Пользователь (сотрудник компании)
• Процесс: Internet Inspector
• Хранилище: База событий
• Выход: Канал уведомлений (Mattermost / Dashboard)

Диаграмма первого уровня:

1. Процесс 1: Nginx перехватывает запрос → сохраняет в логи
2. Процесс 2: Крон забирает логи → отправляет в Inspector
3. Процесс 3: Inspector парсит данные → обогащает метаданными
4. Процесс 4: Сохранение в БД + отправка в канал

Такая структура соответствует методологии SADT (Structured Analysis and Design Technique), где каждый процесс имеет четкий вход и выход, а хранилища данных отделены от логики.​ Мы считаем, это критически важно для аудита ИБ и планирования интеграций: новый разработчик за 15 минут понимает, где какие данные хранятся и куда идут.

Достоинства сервиса Internet Inspector

Для руководителя ценность такого подхода в том, что аналитика появляется сама по себе, без ломки привычных инструментов. Сотрудники продолжают работать в привычном мессенджере, а бизнес в это время получает живую картину: как часто люди пользуются каналами, какие интеграции реально востребованы, где проседает производительность команд и как меняется загрузка сервиса по времени и подразделениям. Все эти данные помогают принимать обоснованные решения — от перераспределения лицензий и оптимизации инфраструктуры до обоснования инвестиций в развитие продукта и внедрения новых цифровых сервисов.

Еще один важный эффект — повышение управляемости и безопасности. Централизованный сбор запросов позволяет заранее обнаруживать подозрительную активность, видеть всплески ошибок и перегрузки, контролировать соблюдение политик доступа. При необходимости система может возвращать результаты анализа обратно в мессенджер: например, отправлять автоматические оповещения в служебные каналы, формировать регулярные отчеты или подсказки для руководителей. 

В итоге корпоративный мессенджер перестает быть просто средством переписки и превращается в управляемую платформу: оставаясь привычным и удобным для сотрудников, он одновременно становится источником данных для бизнеса, помогая снижать риски, оптимизировать затраты и точнее управлять компанией.

Целевой аудиторией для такого решения мы видим несколько групп пользователей:

• Владельцы бизнеса и топ‑менеджмент. Для них важно, как мессенджер влияет на выручку, управляемость, прозрачность процессов и риски. Им нужны формулировки про повышение эффективности, экономию затрат, контроль и стратегические преимущества, а не технические детали.
• Руководители функций и продуктов. Это директора по IT, цифровой трансформации, безопасности, руководители продуктовых и операционных команд. Им важны сценарии использования, интеграции, аналитика, возможности масштабирования и управления доступами.
• Закупки и инициаторы внедрения. Руководители отделов, которые готовят обоснование внедрения: проектные менеджеры, бизнес‑аналитики, специалисты по закупкам. Им нужно показать аргументы в пользу решения, ожидаемые эффекты, метрики успешности и понятное объяснение архитектуры «человеческим языком».

Звучит приятно, согласны. Но мы понимаем: нужны не слова, а примеры. Поэтому давайте посмотрим, что конкретно предлагает Internet Inspector интегрированный в корпоративный мессенджер.

1. Прозрачность без вмешательства

Система собирает данные «фоном», не требуя от пользователей изменения привычек. Пользователь нажимает «Войти» — система фиксирует девайс, локацию, время. Без анкет, без доп. действий. Плюс: снизилась нагрузка на поддержку. Раньше на вопрос «Кто и когда заходил?» администратор тратил час на ручной анализ логов. Теперь достаточно 30 секунд на запрос в дашборд.

2. Основа для предиктивной безопасности

На данном этапе система не блокирует, но уведомляет о потенциальных рисках. Например, если пользователь:

• входит из незнакомой страны;
• использует новое устройство;
• активен в нетипичное время (3 ночи при обычном графике 9-18).

В перспективе по мере накопления данных (6-12 месяцев) мы планируем подключить машинное обучение для построения индивидуальных «профилей нормальности». Система будет автоматически выявлять аномалии с точностью 90%+ (стандарт для mature UEBA-решений).​​

ROI-расчёт: согласно McKinsey (2024), компании с data-driven подходом к безопасности снижают средний ущерб от инцидентов на 40%. Если средний инцидент стоит 1,5 млн₽, экономия — 600 тыс. ₽ в год. При стоимости разработки ~2 млн₽ окупаемость — 4 месяца.​

3. Оптимизация расходов на инфраструктуру

Компании платят за лицензии мессенджеров, облачные ресурсы, интеграции, но не знают, что реально работает и приносит прибыль, а что паразитирует на бюджете.

Internet Inspector показывает:

• какие каналы/команды наиболее активны;
• какие интеграции (боты, API) реально задействованы;
• где пиковая нагрузка (время суток, отделы);
• паттерны использования по регионам и устройствам.

Пример: компания платит за облачный экземпляр мессенджера на 1000 пользователей, но пиковая нагрузка приходится на 09:00–11:00. Остальные часы — простой, зато каждый пик обходится в лишние расходы на compute-ресурсы. Internet Inspector показывает реальный паттерн, и ваш IT-администратор может либо уменьшить экземпляр с автоскейлингом, либо перейти на модель платежа по потреблению — и сэкономить 20–35% от облачного счета.

Скрытые затраты на мессенджер и облако

По данным исследований, компании теряют в среднем $127 млн в год на неиспользованные программные лицензии, а 27% всех расходов на облако уходит впустую на неиспользуемые ресурсы. При стратегической оптимизации инфраструктуры (right-sizing) компании снижают облачные расходы на 25–40% без потери производительности. Для среднего бизнеса это означает экономию от 500 тыс. до 2 млн рублей в год.

4. Compliance и аудит

152-ФЗ, PCI DSS и отраслевые стандарты требуют логирования доступа к персональным данным и возможности расследования инцидентов.

Чем здесь может помочь Inspector?

• Показать полную историю входов с метаданными (кто, когда, откуда).
• Предоставить возможность построить timeline событий для расследования инцидентов.
• Формировать готовые отчеты для внешних и внутренних аудиторов (CSV-экспорт за любой период).

С интеграцией Internet Inspector в корпоративный мессенджер время подготовки к аудиту сокращается с недель до дней, буквально, мы проверяли.

5. Готовность к масштабированию

Благодаря Clean Architecture и микросервисной модели, система легко растет вместе с компанией. Добавление новых источников данных — не только в мессенджер, но и в CRM, ERP — теперь занимает 1–2 дня вместо недель. Подключение новых каналов вывода (BI-системы) не требует изменений ядра, что бывает раздражающим фактором для компаний, которые уже инвестировали в собственный стек инструментов. Горизонтальное масштабирование (увеличение числа пользователей) происходит легко — просто добавляем инстансы, без архитектурной перестройки.

Сравнение показательно: в традиционных SIEM-системах любое изменение архитектуры — это долгий проект на 3–6 месяцев. Internet Inspector укладывается в 2 недели. 

Текущие результаты и метрики: что уже работает (декабрь 2025)

Метрика	Значение
Количество отслеживаемых событий	~15 000/день
Латентность обработки	< 5 сек от события до визуализации
Uptime системы	99,7% (простой только на обновления)
Стоимость инфраструктуры	~30 000₽/мес (VM + БД + трафик)
Время разработки MVP	2 недели (1 разработчик)
Test coverage	85%

На практике система уже доказывает свою жизнеспособность. Internet Inspector обрабатывает около 15 тыс. событий в день с латентностью менее 5 секунд — от события до визуализации в дашборде. Система держит 99,7% uptime, включая только плановые обновления. Инфраструктурные затраты минимальны — около 30 тыс. рублей в месяц на VM, базу данных и трафик. 

Качественные эффекты еще интереснее. ИБ-служба уже экономит 10 часов в неделю на ручном анализе логов — время, которое теперь расходуется на реальные инциденты вместо отработки алертов. За первый месяц система выявила 3 случая подозрительной активности: входы с VPN в необычные часы. Они оказались легитимными, но требовали проверки — и поймал их именно автомат, а не случайный взгляд аналитика. Руководство теперь получает еженедельный отчет по активности без дополнительных запросов к IT-отделу, хотя раньше это занимало 2–3 дней на подготовку (читай: перекидывание горящего мяча).

Roadmap: что дальше

Успех вдохновляет, и мы довольны текущими показателями системы. Но это только начало. Впереди — амбициозные планы по трансформации Internet Inspector из инструмента мониторинга в полноценную платформу предиктивной аналитики.

Краткосрочные цели (3-6 месяцев)

Первый этап — подготовка данных и первые шаги в машинном обучении. Нам нужно накопить исторические данные за 6 месяцев по всем пользователям — именно такой объем обучающей выборки требуется для работающих ML-моделей. Параллельно хотим подключить базовую детекцию анамалий через статистические методы без сложной предварительной подготовки. Z-score, Isolation Forest и похожие алгоритмы уже будут ловить очевидные отклонения: вход в необычное время (больше двух стандартных отклонений от среднего), резкий скачок трафика, новая геолокация и т. п. 

Также на этом этапе будем пытаться интегрировать с SIEM-системами, которые уже стоят у 80% наших корпоративных клиентов (QRadar, ArcSight, отечественные аналоги). Internet Inspector будет отправлять события в SIEM — это усилит корреляцию с другими источниками: файрволы, DLP, системы контроля доступа.

Среднесрочные цели (6-12 месяцев)

Здесь начинается настоящее обучение моделей на базе LSTM (Long Short-Term Memory) и RNN, понимающих последовательности событий. Условно цепочка среднего сотрудника выглядит так: 

• вход → чтение почты → задачи → выход. 

Но если юнит вошел и тут же принялся скачивать архивы файлов — это аномалия, которую нейросеть должна заметить и сообщить о ней админу. Здесь мы ориентируемся на показатели исследований, где LSTM-модели для детекции угроз достигают 98,7% точности и одновременно снижают количество ложных срабатываний на 38%.​

На основе этих моделей мы собираемся реализовать автоматическое реагирование. При критичных аномалиях (риск-скор выше 95) система будет блокировать сессию, отправлять алерт администратору и требовать повторную аутентификацию через MFA. Это уже переводит Internet Inspector из режима «только наблюдаем» в режим «активно защищаем».

Параллельно планируем расширять источники данных. Помимо мессенджера, хотим подключить корпоративную почту, CRM-систему, облачные хранилища (S3, Яндекс.Диск), чтобы получить 360-градусную картину поведения пользователя.

Долгосрочная перспектива (12+ месяцев)

Это самая амбициозная часть. Каждому пользователю будет присвоен динамический risk score от 0 до 100, который меняется в реальном времени. Скор учитывает все: историю активности, текущие действия, контекст (отдел, должность, доступ к конфиденциальным данным). Это не просто число — это динамический индикатор риска для компании.

Система будет предсказывать угрозу до того, как она произойдет. Пример: сотрудник Иванов в последнее время изменил стиль работы, заходит чаще, скачивает больше. При этом в кадровой системе есть запись об увольнении через месяц. Риск утечки? 75%. Система предупредит HR и Security еще до критической ситуации.

Чтобы это работало, мы планируем связать Internet Inspector с HR и DLP-системами. Корреляция между увольнениями и активностью в системах — это мощный сигнал. DLP покажет, что именно копируют и отправляют скомпрометированные учетные записи.

На финальном этапе, если все получится, откроем платформу: опубликуем API и позволим сообществу добавлять свои аналитические модули. Это превратит Internet Inspector в экосистему, где каждая компания может добавить свой контекст, свои правила, свои алгоритмы. Неограниченная масштабируемость.

Вывод: Internet Inspector как основа data-driven безопасности

Мы создали не просто «еще один микросервис». Internet Inspector — это фундамент для превращения корпоративной инфраструктуры в управляемую, прозрачную систему.

Ключевые достижения:

• бизнес видит, что происходит, кто заходит, откуда, когда;
• ИБ получает инструмент превентивного реагирования (пока ручного, но скоро — автоматического);
• архитектура готова к масштабированию — добавление источников, аналитики, ML — без переписывания с нуля;
• ROI понятен — экономия времени ИБ + предотвращение инцидентов окупают разработку за 4 месяца.

Если ваша компания хочет перейти от реактивной безопасности («тушим пожары») к проактивной («видим угрозы до атаки»), технологии UEBA — это must have, а не «было бы nice to have».

Есть идеи насчет внедрения поведенческой аналитики в компании? Оставьте заявку и мы покажем, как Internet Inspector может адаптироваться под ваши задачи — где корпоративный мессенджер это первая ступень, а полноценная защита всей ИТ-инфраструктуры последняя.