Контакты
Подписка 2025
Статьи по информационной безопасности

DLP умерла. Да здравствует DLP!

InfoWatch, 03/09/21

Несмотря на то что в 2021 г. вендоры DLP продолжают анонсировать новую функциональность, далеко не всегда понятно, какой эффект для бизнеса стоит за этими изменениями и дадут ли они качественный скачок с точки зрения скорости и эффективности решения прикладных задач ИБ, количество которых не уменьшается. В гонке за вниманием производители DLP добавляют новые возможности, иногда выходя за границы задач защиты информации от утечек и усложняя продукты. А что могло бы на самом деле изменить жизнь специалистов ИБ, сделать актуальной их роль в современном бизнесе на современных скоростях?

DLP должна ощутимо снижать трудоемкость обработки инцидентов

Качество технологий анализа определяет трудоемкость обработки инцидентов. Если нельзя настроить систему так, чтобы она давала минимум ложных срабатываний без ущерба для надежности защиты, то неминуемо стоит ожидать большого количества ложноположительных срабатываний. Все их придется либо просматривать вручную, либо игнорировать.

Как SIEM называют кладбищем логов в безопасности, так и DLP скоро будут называть кладбищем нарушенных политик.

Отсюда первая очевидная задача – не пропустить важное. Удивительно, но она до сих пор не решена во многих DLP. Ведь ловить надо разные форматы документов: текстовые, несколько видов графических и т.д. Мы много лет занимаемся разработкой своих методов защиты, и, по нашим наблюдениям, защищать графику мало кто умеет. Под каждый тип графики есть свои технологии распознавания, которыми может похвастаться далеко не каждая современная DLP-система. Например, есть конфиденциальные фотографии (фото, связанные с исследованиями, технологическими разработками, медицинского характера), карты застройки территории, схемы помещений, карты георазведки, чертежи, схемотехника и пр. Максимум, что может большинство DLP-систем, – детектировать формат файлов и сообщать безопаснику: "Это документ AutoCAD". А нужно уметь "залезть" в файл и понять, что содержит изображение. Только так в ответственный момент DLP-система сможет определить, была ли отправлена через мессенджер фотография с корпоратива или фотография важного чертежа.

Претендовать на защиту конфиденциальных данных и обходить стороной качественное распознавание графической информации никак не получится. Разница в эффективности технологий защиты графики на реальных кейсах заказчиков очевидна. Возьмем, например, компанию-застройщика, которая часть своих чертежей размещает публично в Интернете вместе с официальной конкурсной документацией. А другая часть чертежей остается конфиденциальной, к примеру планы застройки территории. Конфиденциальные и неконфиденциальные чертежи визуально похожи. Поэтому защита, основанная на детектировании только формата файла, никогда не обезопасит компанию от утечки конфиденциального чертежа. Тут нужен графический копирайтный анализ.

Вторая понятная задача – не перегрузить ИБ-специалиста ненужными действиями. Например, в случае с персональными данными отлично видно, как использование системы без развитых технологий контентного анализа "аукается" отделу ИБ. Представьте себе, что у вас в мессенджере два сообщения с персональными данными, но в одном из них – ФИО, телефон и адрес клиента компании из вашей бизнес-системы, а в другом – такие же данные, но другая ситуация: кто-то по дружбе рекомендовал специалиста и поделился контактами. Если пытаться ловить утечку таких данных с использованием регулярных выражений, то оба сообщения будут нарушением. Более того, каждое письмо с подписью в почте будет считаться инцидентом. И другое дело, когда ваша DLP интегрирована с бизнес-системами и вы защищаете конкретные данные, которые имеют реальную ценность.

Итак, мы кратно снизили количество инцидентов, на которые надо реагировать. Но ведь есть события или череда событий, где совершенно неочевидно, что это надвигающийся инцидент.

Здесь приходит на помощь возможность прогнозировать риски безопасности с использованием технологий машинного обучения. В DLP-системе InfoWatch Traffic Monitor, например, за это отвечает модуль предиктивной аналитики InfoWatch Prediction, способный "увидеть" в разрозненных событиях цепочку и предупредить службу безопасности до того, как наступит реальная угроза.

И снова, чтобы не перегрузить безопасника и помочь с приоритизацией событий, важно, чтобы DLP-система сама уведомляла специалиста ИБ, на что ему стоит обратить внимание. Например, с помощью того же модуля предиктивной аналитики InfoWatch Prediction можно автоматизировать оповещения об аномальном поведении и даже цепочке событий. Офицеру безопасности остается только настроить, что он хочет видеть и как часто хочет получать оповещения.

Анализ данных должен быть удобным

Обнаружить инцидент, задействовав минимум ресурсов, – только первый этап, на котором DLP-система должна уметь показать свою эффективность. Основные трудозатраты наступают с переходом на этап расследования: требуется перекопать горы данных, нащупать направление и по крупицам восстановить картину произошедшего. Увеличить скорость реакции специалисту ИБ помогают инструменты визуальной аналитики.

Может ли офицер безопасности сам быстро составить маршрут движения конфиденциального документа и провести расследование утечки за пять минут? Скорее всего, нет. Но если он обратится к инструменту визуальной аналитики данных DLP и построит граф перемещения информации, то тут же увидит, в каком направлении вести расследование дальше: кто создал документ, куда его отправлял и какими способами, когда документ покидал периметр компании и т.д. Даже с учетом различных нюансов, возникающих во время "жизненного пути" документа. Например, "договор" и "договор_правки" – это может быть один и тот же документ, название которого в процессе его "путешествия" дополняется комментариями и пометками. Факторы такого рода не должны стать помехой для поиска.

DLP должна быть актуальной

Любая компания – это живой организм, и процессы в ней постоянно меняются. Бизнес обычно не согласовывает свои действия с ИБ, не уведомляет об изменениях и редко приносит в отдел ИБ шаблоны новых документов, которые нужно защищать. Как успевать за скоростью изменений?

На графе связей визуально выделятся то, что зачастую остается вне зоны внимания безопасника, например, коммуникации с одним адресатом по двум параллельным каналам – личному и корпоративному, общение с уволившимися сотрудниками, отправка данных самому себе на личный адрес и другие действия, несущие потенциальную опасность для сохранности конфиденциальной информации. В частности, и такое можно увидеть, используя инструмент визуализации InfoWatch Vision.

Второй пример – когда нужно оперативно настроить политику защиты новых типов документов, появляющихся в компании. Ведь было бы идеально делать это автоматически. В InfoWatch такую технологию на основе ИИ сделали. Это "Автолингвист". Он позволяет автоматически настроить политику защиты документов такого же типа.

Следующий логичный шаг – вовремя узнать о появлении новых типов документов в компании. Это означает, что нужно научить DLP автоматически категоризировать данные. Кто сделает это первым, тот сможет доказать рынку и клиентам, что он действительно понимает боль безопасников, работающих с DLP-системами, и способен думать на несколько шагов вперед с позиций заказчика. 

Благодарим экспертов ГК InfoWatch Александра Клевцова и Марину Маркелову за помощь в подготовке материала.

InfoWatch Traffic Monitor – ИБ-решение года в России

Объявлены лучшие ИТ-решения по выбору TAdviser 2021. В рамках ежегодного TAdviser SummIT, прошедшего 26 мая 2021 года в Москве, состоялось награждение участников пятой церемонии награждения TAdviser IT PRIZE. ГК InfoWatch стала лауреатом премии в "ИБ-решение года России – 2021". Выбором TAdviser 2021 года среди ИБ-продуктов стала DLP-система Traffic Monitor за уникальные технологии анализа, расширяющие возможности DLP.

DLP-система InfoWatch Traffic Monitor – это высокотехнологичное решение на основе искусственного интеллекта для защиты от утечек данных и прогнозирования рисков информационной безопасности компаний и организаций. С момента создания в 2003 году InfoWatch задает тон на рынке DLP и на протяжении многих лет остается лидером в этом сегменте.
Темы:DLPЖурнал "Информационная безопасность" №3, 2021

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Слово не воробей, но DLP его поймает
    Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
    Информация – ценный актив и важнейшее достояние компании, требующее надежной защиты. Подходы к защите информации могут значительно различаться, но требования регуляторов обязывают компании обеспечивать безопасность данных, включая защиту ПДн. А ответственность за необходимость охраны коммерческой тайны ложится на плечи подразделений информационной безопасности. Помимо прочего, существует “чувствительная информация”, утечка которой способна привести к крайне негативным последствиям.
  • DCAP и DLP: гармония взаимодействия
    Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
    Защита данных как “в движении", так и “в покое" – одна из задач подразделения информационной безопасности современного предприятия. Основное внимание уделяется охране персональных данных и коммерческой тайны, объединяемых под понятием “чувствительная информация". Информация “в движении" защищается системами DLP, а защиту данных “в покое" обеспечивают системы DCAP.
  • Инновации в DLP и DCAP и новые классы решений
    Эксперты в области систем для защиты от утечек поделились своим мнением о том, как развиваются решения классов DLP и DCAP и какие инновации появились в этом сегменте за последний год.
  • "Открытый контроль" как профилактика утечек информации. Что предлагают DLP?
    Алексей Дрозд, Директор учебного центра "СёрчИнформ"
    Исследование “СёрчИнформ” показало, что только 18% компаний в России оценивают уровень киберграмотности своих сотрудников как хороший.
  • Из DLP в DLP. Обзор развития российского рынка DCAP
    Владимир Ульянов, руководитель аналитического центра Zecurion
    DCAP долгое время находился в поисках своего места в сложной иерархии средств информационной безопасности. Он родился под названием DAG, конкурировал с такими альтернативами, как DSG и UDM, а как только обрел общепринятое название в рамках концепции DCAP, начал испытывать притязания со стороны старого союзника – DLP, вместе с которым защищал корпоративные данные еще до выделения в отдельный класс. Разберемся в истории развития DCAP и его перспективах.
  • ГК InfoWatch: как в 3 раза ускорить расследование инцидентов ИБ без дополнительной нагрузки на офицера безопасности
    Сергей Кузьмин, руководитель направления Центр расследований ГК InfoWatch
    С учетом того, как стремительно масштабируются DLP-системы и какой огромный массив данных генерирует каждый инструмент безопасности, защита информации требует к себе принципиально нового подхода. Рассмотрим, как снизить нагрузку на офицера безопасности, улучшить качество его работы и при этом в несколько раз увеличить скорость проведения расследований.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"