InfoWatch, 08/09/23
В карете прошлого далеко не уедешь.
М. Горький, “На дне", 1902 г.
Мы находимся в зоне постоянной турбулентности: смена парка ИТ-решений на волне импортозамещения, поиск и наладка новых коммуникационных каналов, требования бизнеса высокой скорости принятия решений, новые требования регуляторов и обсуждаемые законы об ужесточении контроля персональных данных. Чтобы оставаться на волне в бушующем океане данных и быстроизменяющемся мире ИТ, компания InfoWatch [1] делает ставку на когнитивные технологии и автоматизацию процессов информационной безопасности.
На ранних стадиях шахматной партии, в то время как стратегия противника и его предполагаемые действия еще неясны, следует тщательно проанализировать и адаптировать собственный план игры, исходя из текущей ситуации на доске. Ключевым аналогом этому в контексте информационной безопасности становится вопрос об обеспечении непрерывного и всестороннего контроля над информационными потоками внутри организации. В первую очередь это касается прозрачности хранения и передачи данных, а также понимания, насколько детально мы осведомлены об информации, которую используют наши сотрудники, насколько актуальными остаются политики безопасности и с какой частотой их следует обновлять.
Интеллектуальный анализ и автоматическая классификация для актуализации ИБ-политик
На вебинаре InfoWatch летом 2023 г. вместе с представителем одной крупной финансовой структуры мы подняли важный вопрос о необходимости регулярного обновления политик безопасности и борьбе с "серой зоной" событий, которые не были размечены DLP-системой. Эта дискуссия вызвала большой резонанс, и мы решили освежить основные моменты в этой статье.
"Серая зона"
"Серая зона" – это те события в трафике компании, которые не затронуты правилами (политиками) защиты данных DLP-cистемы. Причин появления таких событий несколько: это может быть принципиально новое событие, связанное с расширением филиальной структуры компании или перераспределением бизнес-задач существующих подразделений, когда отдел начал работать с новым типом документов. Или это может быть новый процесс внутри организации, который не отражен в правилах защиты, когда сотрудник использует в работе нетипичный для отдела вид документов.
Подобные данные и события, не соответствующие определенным шаблонам или политикам, могут не быть должным образом обработаны или классифицированы DLP-системами. В контексте ИБ это считается проблемной областью, потому что новые или неразмеченные события могут привести к выходу важных данных за периметр организации.
Новое поколение DLP стремится более эффективно обрабатывать "серую зону", используя более продвинутые методы обнаружения и анализа данных, о чем мы и рассказали на вебинаре по поиску и расследованию инцидентов. В результате дискуссии спикеры пришли к выводу, что само желание разобрать и минимизировать "серую зону", когда система отрабатывает более 2 млн событий в неделю, – это уже начало решения. Компания InfoWatch разрабатывает технологии для автоматизации процесса обновления политик безопасности: речь о технологии для автоматической категоризации документов, в том числе из "серой зоны".
Головным мозгом DLP-системы InfoWatch Traffic Monitor являются технологии анализа, а вестибулярным аппаратом – технология категоризации документов, которая помогает удерживать равновесие – состояние, когда под контролем находятся 100% важных документов. Процесс сортировки по смыслу ранее неизвестных системе документов называется кластеризацией (рис. 1). В ее основе используется принцип машинного обучения без учителя, именно поэтому технология способна эффективно работать без предварительных настроек и словарей в условиях полной неизвестности. В результате исследования документооборота компании кластеризация разложит договоры на закупки, договоры на продажу, прайслисты, даже если соответствующие события не размечены политиками. Аннотация к каждой категории поможет ознакомиться со смыслом документов, а теги позволят офицеру безопасности быстро найти конкретный файл в трафике.
Рис. 1. Автоматизация процесса разбора большого количества документов на категории по смыслу с аннотацией для быстрого ознакомления и тегами для оперативного поиска
После того как система разложила все документы на категории, можно переходить к следующему этапу, который относится к уникальным возможностям DLP-системы InfoWatch Traffic Monitor. Речь об автоматизированном процессе настройки политик и мгновенном создании новых отраслевых словарей, в основе которых лежит машинное обучение с учителем. После того как технология кластеризации поможет разложить документы по смыслу, сотрудник отдела информационной безопасности может ознакомиться и найти новые для себя категории документов, а также определить, нужно ли создавать новый объект защиты и новое правило в DLPсистеме. Обучение системы новым категориям документов происходит в автоматическом режиме, сотрудник отдела ИБ загружает в нее разложенные на предыдущем этапе образцы документов и сообщает, что это будет словарь "производство" или "пожарная безопасность". Примечательно то, что технология реализована как для текстовых, так и для графических данных, что максимально расширяет возможности обучения системы на самых специфичных изображениях, будь то планы местности, схемы или чертежи.
Регулярный пересмотр политик необходим, как и ежедневные гигиенические процедуры, а с помощью удобных инструментов автоматической классификации данных, встроенных в DLP-систему нового поколения InfoWatch Traffic Monitor, процесс становится понятным и быстрым, что позволяет офицеру безопасности контролировать актуальные информационные потоки компании и защищать 100% документов.
Помимо автоматизированных инструментов настройки политик и анализа данных команда InfoWatch уделяет особое внимание процессам перехвата каналов передачи данных и, помимо стандартного перехвата на агенте, предлагает рынку отказоустойчивую технологию универсального перехвата файлов, которая позволяет организовать процесс перехвата файлов независимо от версии приложения, от обновления протокола в любых типах мессенджеров, файловых хранилищ и архиваторов.
Анализ поведения пользователей и инсайты с InfoWatch Prediction
В 70% ситуаций, когда сотрудник готовится к нарушению, его поведение отличается от обычного. Часто специалисты в области ИБ замечают такие аномалии, полагаясь на свои профессиональные инстинкты, их опыт и наблюдательность позволяют устанавливать связи между событиями, даже если таковые не очевидны. Опираться на инстинкты можно, если число сотрудников не превышает пятидесяти человек. Но если число сотрудников больше, искусственный интеллект поможет обработать и проанализировать огромный пласт информации, которая на первый взгляд является неочевидным признаком готовящегося нарушения, но в совокупности с другими событиями даст новые инсайты отделу ИБ. InfoWatch Prediction поможет вовремя замечать подозрительных сотрудников и тратить на это не более получаса в день.
Отличие UBA-системы InfoWatch Prediction от аналогов в том, что система делает выводы об аномалиях в поведении не на основании задаваемых усредненных параметров, а с помощью искусственного интеллекта на основании автоматического анализа действий и коммуникаций сотрудников. Решение анализирует более 230 параметров по всем существующим каналам связи данного сотрудника, выстраивает профиль пользователя, ищет отклонения от привычного поведения и выявляет подозрительные паттерны, состоящие из набора событий.
Контроль и перехват всех приложений, где могут находиться конфиденциальные данные
Расширенные интеграционные возможности InfoWatch Traffic Monitor позволяют DLP-системе быть для сторонних приложений как источником информации, так и центром принятия решений. Открытый API позволяет самостоятельно интегрировать InfoWatch Traffic Monitor в существующую инфраструктуру и контролировать все корпоративные приложения, бизнес-системы и каналы коммуникаций.
Контроль движения данных в корпоративных бизнес-приложениях и системах – трудоемкая задача, включающая в себя не только мониторинг информационных потоков, но и применение обширного спектра обеспечивающих мер. Эта задача становится еще более сложной в свете перехода на отечественные корпоративные бизнес-системы и постоянно растущей угрозы гибридных типов атак, которые становятся все более изощренными и сложными для обнаружения и предотвращения.
Интеграция DLP-системы в ИТ-ландшафт предприятия позволит выделить приоритетные события в информационном потоке, контролировать и защищать важные данные на всех этапах жизненного цикла, от создания и хранения до передачи и уничтожения. Более того, с помощью интеграции DLP-системы появляется возможность анализировать и классифицировать данные, движущиеся через всю ИТ-инфраструктуру, а также отслеживать путь информации внутри и вне предприятия. Это обеспечивает сотрудникам отдела ИБ полный контроль и позволяет принимать обоснованные решения по ИБ независимо от особенностей бизнес-процессов, количества филиалов, и других количественных параметров компании.
Сценарий интеграции № 1
Сценарий № 1 – автоматизация работы с большими данными через интеграцию с информационными бизнес-системами с миллионами записей.
Отправка конфиденциальных данных из корпоративной бизнес-системы может быть либо частью бизнес-процесса, либо нарушением, в зависимости от того, кому отправляются данные.
Банковская выписка может быть отправлена владельцу банковской карты или постороннему лицу, конфиденциальные данные – подрядчику, с которым подписано соглашение о неразглашении (NDA), или конкуренту. С помощью интеграции с базой данных с миллионами записей можно настроить проверку допустимого получателя (рис. 2) и автоматически определять, имеет ли конкретный получатель право на ту порцию данных, которую кто-либо пытается ему отправить.
Сценарий интеграции № 2
Сценарий № 2: интеграция с ВКС – платформой для создания единого центра мониторинга и предотвращения утечек.
В результате интеграции всю информацию, передаваемую через ВКС-платформу, контролирует DLP-система, создавая таким образом безопасное пространство корпоративных коммуникаций. В том случае, если сотрудники в корпоративном мессенджере или во время видеоконференции попытаются передать чувствительную информацию за пределы предприятия, система InfoWatch Traffic Monitor немедленно обнаружит и заблокирует такую попытку, оповестив специалистов отдела ИБ о происшествии.
Заключение
Искусственный интеллект, машинное обучение и когнитивные технологии для автоматизации работы с большими данными – это не хайп, а реальный инструмент для анализа и классификации большого объема информации, выявления непостижимых для человеческого мозга связей и закономерностей.
