Контакты
Подписка 2024

DLP умерла. Да здравствует DLP!

InfoWatch, 03/09/21

Несмотря на то что в 2021 г. вендоры DLP продолжают анонсировать новую функциональность, далеко не всегда понятно, какой эффект для бизнеса стоит за этими изменениями и дадут ли они качественный скачок с точки зрения скорости и эффективности решения прикладных задач ИБ, количество которых не уменьшается. В гонке за вниманием производители DLP добавляют новые возможности, иногда выходя за границы задач защиты информации от утечек и усложняя продукты. А что могло бы на самом деле изменить жизнь специалистов ИБ, сделать актуальной их роль в современном бизнесе на современных скоростях?

DLP должна ощутимо снижать трудоемкость обработки инцидентов

Качество технологий анализа определяет трудоемкость обработки инцидентов. Если нельзя настроить систему так, чтобы она давала минимум ложных срабатываний без ущерба для надежности защиты, то неминуемо стоит ожидать большого количества ложноположительных срабатываний. Все их придется либо просматривать вручную, либо игнорировать.

Как SIEM называют кладбищем логов в безопасности, так и DLP скоро будут называть кладбищем нарушенных политик.

Отсюда первая очевидная задача – не пропустить важное. Удивительно, но она до сих пор не решена во многих DLP. Ведь ловить надо разные форматы документов: текстовые, несколько видов графических и т.д. Мы много лет занимаемся разработкой своих методов защиты, и, по нашим наблюдениям, защищать графику мало кто умеет. Под каждый тип графики есть свои технологии распознавания, которыми может похвастаться далеко не каждая современная DLP-система. Например, есть конфиденциальные фотографии (фото, связанные с исследованиями, технологическими разработками, медицинского характера), карты застройки территории, схемы помещений, карты георазведки, чертежи, схемотехника и пр. Максимум, что может большинство DLP-систем, – детектировать формат файлов и сообщать безопаснику: "Это документ AutoCAD". А нужно уметь "залезть" в файл и понять, что содержит изображение. Только так в ответственный момент DLP-система сможет определить, была ли отправлена через мессенджер фотография с корпоратива или фотография важного чертежа.

Претендовать на защиту конфиденциальных данных и обходить стороной качественное распознавание графической информации никак не получится. Разница в эффективности технологий защиты графики на реальных кейсах заказчиков очевидна. Возьмем, например, компанию-застройщика, которая часть своих чертежей размещает публично в Интернете вместе с официальной конкурсной документацией. А другая часть чертежей остается конфиденциальной, к примеру планы застройки территории. Конфиденциальные и неконфиденциальные чертежи визуально похожи. Поэтому защита, основанная на детектировании только формата файла, никогда не обезопасит компанию от утечки конфиденциального чертежа. Тут нужен графический копирайтный анализ.

Вторая понятная задача – не перегрузить ИБ-специалиста ненужными действиями. Например, в случае с персональными данными отлично видно, как использование системы без развитых технологий контентного анализа "аукается" отделу ИБ. Представьте себе, что у вас в мессенджере два сообщения с персональными данными, но в одном из них – ФИО, телефон и адрес клиента компании из вашей бизнес-системы, а в другом – такие же данные, но другая ситуация: кто-то по дружбе рекомендовал специалиста и поделился контактами. Если пытаться ловить утечку таких данных с использованием регулярных выражений, то оба сообщения будут нарушением. Более того, каждое письмо с подписью в почте будет считаться инцидентом. И другое дело, когда ваша DLP интегрирована с бизнес-системами и вы защищаете конкретные данные, которые имеют реальную ценность.

Итак, мы кратно снизили количество инцидентов, на которые надо реагировать. Но ведь есть события или череда событий, где совершенно неочевидно, что это надвигающийся инцидент.

Здесь приходит на помощь возможность прогнозировать риски безопасности с использованием технологий машинного обучения. В DLP-системе InfoWatch Traffic Monitor, например, за это отвечает модуль предиктивной аналитики InfoWatch Prediction, способный "увидеть" в разрозненных событиях цепочку и предупредить службу безопасности до того, как наступит реальная угроза.

И снова, чтобы не перегрузить безопасника и помочь с приоритизацией событий, важно, чтобы DLP-система сама уведомляла специалиста ИБ, на что ему стоит обратить внимание. Например, с помощью того же модуля предиктивной аналитики InfoWatch Prediction можно автоматизировать оповещения об аномальном поведении и даже цепочке событий. Офицеру безопасности остается только настроить, что он хочет видеть и как часто хочет получать оповещения.

Анализ данных должен быть удобным

Обнаружить инцидент, задействовав минимум ресурсов, – только первый этап, на котором DLP-система должна уметь показать свою эффективность. Основные трудозатраты наступают с переходом на этап расследования: требуется перекопать горы данных, нащупать направление и по крупицам восстановить картину произошедшего. Увеличить скорость реакции специалисту ИБ помогают инструменты визуальной аналитики.

Может ли офицер безопасности сам быстро составить маршрут движения конфиденциального документа и провести расследование утечки за пять минут? Скорее всего, нет. Но если он обратится к инструменту визуальной аналитики данных DLP и построит граф перемещения информации, то тут же увидит, в каком направлении вести расследование дальше: кто создал документ, куда его отправлял и какими способами, когда документ покидал периметр компании и т.д. Даже с учетом различных нюансов, возникающих во время "жизненного пути" документа. Например, "договор" и "договор_правки" – это может быть один и тот же документ, название которого в процессе его "путешествия" дополняется комментариями и пометками. Факторы такого рода не должны стать помехой для поиска.

DLP должна быть актуальной

Любая компания – это живой организм, и процессы в ней постоянно меняются. Бизнес обычно не согласовывает свои действия с ИБ, не уведомляет об изменениях и редко приносит в отдел ИБ шаблоны новых документов, которые нужно защищать. Как успевать за скоростью изменений?

На графе связей визуально выделятся то, что зачастую остается вне зоны внимания безопасника, например, коммуникации с одним адресатом по двум параллельным каналам – личному и корпоративному, общение с уволившимися сотрудниками, отправка данных самому себе на личный адрес и другие действия, несущие потенциальную опасность для сохранности конфиденциальной информации. В частности, и такое можно увидеть, используя инструмент визуализации InfoWatch Vision.

Второй пример – когда нужно оперативно настроить политику защиты новых типов документов, появляющихся в компании. Ведь было бы идеально делать это автоматически. В InfoWatch такую технологию на основе ИИ сделали. Это "Автолингвист". Он позволяет автоматически настроить политику защиты документов такого же типа.

Следующий логичный шаг – вовремя узнать о появлении новых типов документов в компании. Это означает, что нужно научить DLP автоматически категоризировать данные. Кто сделает это первым, тот сможет доказать рынку и клиентам, что он действительно понимает боль безопасников, работающих с DLP-системами, и способен думать на несколько шагов вперед с позиций заказчика. 

Благодарим экспертов ГК InfoWatch Александра Клевцова и Марину Маркелову за помощь в подготовке материала.

InfoWatch Traffic Monitor – ИБ-решение года в России

Объявлены лучшие ИТ-решения по выбору TAdviser 2021. В рамках ежегодного TAdviser SummIT, прошедшего 26 мая 2021 года в Москве, состоялось награждение участников пятой церемонии награждения TAdviser IT PRIZE. ГК InfoWatch стала лауреатом премии в "ИБ-решение года России – 2021". Выбором TAdviser 2021 года среди ИБ-продуктов стала DLP-система Traffic Monitor за уникальные технологии анализа, расширяющие возможности DLP.

DLP-система InfoWatch Traffic Monitor – это высокотехнологичное решение на основе искусственного интеллекта для защиты от утечек данных и прогнозирования рисков информационной безопасности компаний и организаций. С момента создания в 2003 году InfoWatch задает тон на рынке DLP и на протяжении многих лет остается лидером в этом сегменте.

Темы:DLPЖурнал "Информационная безопасность" №3, 2021

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • DLP для эффективной работы с рисками информационной и кадровой безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Нерациональное поведение и ошибки людей – основные слабые стороны, выявляемые в инцидентах безопасности, создающие репутационные риски и являющиеся причинами высоких затрат. Как в решении данной проблемы может помочь DLP?
  • О физиках, лириках и флешках
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Техническая задача защиты флешки сводится к тому, чтобы сделать нелегальное физическое обладание ею бессмысленным. Эта задача решена в защищенной флешке “Секрет Особого Назначения”. Коротко рассмотрим, как.
  • Next Generation DLP. Поспорим о терминах
    Владимир Ульянов, руководитель аналитического центра Zecurion
    Совместное использования DLP и DCAP - это и есть идея DLP следующего поколения: соединить части, которые были искусственно разделены для обеспечения безопасности данных.
  • Атакующий дебют: разбор неразмеченных событий в DLP
    ИИ, машинное обучение и когнитивные технологии для автоматизации работы с большими данными – это не хайп, а реальный инструмент для анализа и классификации большого объема информации, выявления непостижимых для человеческого мозга связей и закономерностей.
  • DLP: маловато будет. Защита персональных данных на протяжении всего жизненного цикла
    Рустэм Хайретдинов, заместитель генерального директора группы компаний “Гарда”
    При защите персональных данных самые мощные аналитические инструменты DLP-систем – контентный анализ и "цифровые отпечатки" недостаточно эффективны.
  • Роль аутсорсинга и психологии в DLP. Круглый стол вендоров решений класса DLP
    Импортозамещение коснулось многих классов решений в сфере информационной безопасности. Но производители DLP-систем чувствуют себя в новой реальности более чем уверенно. Почему это так, как будет развиваться ситуация в перспективе 2–3 лет, что нового ждать в функциональности систем?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать