Контакты
Подписка 2023

DLP умерла. Да здравствует DLP!

InfoWatch, 03/09/21

Несмотря на то что в 2021 г. вендоры DLP продолжают анонсировать новую функциональность, далеко не всегда понятно, какой эффект для бизнеса стоит за этими изменениями и дадут ли они качественный скачок с точки зрения скорости и эффективности решения прикладных задач ИБ, количество которых не уменьшается. В гонке за вниманием производители DLP добавляют новые возможности, иногда выходя за границы задач защиты информации от утечек и усложняя продукты. А что могло бы на самом деле изменить жизнь специалистов ИБ, сделать актуальной их роль в современном бизнесе на современных скоростях?

DLP должна ощутимо снижать трудоемкость обработки инцидентов

Качество технологий анализа определяет трудоемкость обработки инцидентов. Если нельзя настроить систему так, чтобы она давала минимум ложных срабатываний без ущерба для надежности защиты, то неминуемо стоит ожидать большого количества ложноположительных срабатываний. Все их придется либо просматривать вручную, либо игнорировать.

Как SIEM называют кладбищем логов в безопасности, так и DLP скоро будут называть кладбищем нарушенных политик.

Отсюда первая очевидная задача – не пропустить важное. Удивительно, но она до сих пор не решена во многих DLP. Ведь ловить надо разные форматы документов: текстовые, несколько видов графических и т.д. Мы много лет занимаемся разработкой своих методов защиты, и, по нашим наблюдениям, защищать графику мало кто умеет. Под каждый тип графики есть свои технологии распознавания, которыми может похвастаться далеко не каждая современная DLP-система. Например, есть конфиденциальные фотографии (фото, связанные с исследованиями, технологическими разработками, медицинского характера), карты застройки территории, схемы помещений, карты георазведки, чертежи, схемотехника и пр. Максимум, что может большинство DLP-систем, – детектировать формат файлов и сообщать безопаснику: "Это документ AutoCAD". А нужно уметь "залезть" в файл и понять, что содержит изображение. Только так в ответственный момент DLP-система сможет определить, была ли отправлена через мессенджер фотография с корпоратива или фотография важного чертежа.

Претендовать на защиту конфиденциальных данных и обходить стороной качественное распознавание графической информации никак не получится. Разница в эффективности технологий защиты графики на реальных кейсах заказчиков очевидна. Возьмем, например, компанию-застройщика, которая часть своих чертежей размещает публично в Интернете вместе с официальной конкурсной документацией. А другая часть чертежей остается конфиденциальной, к примеру планы застройки территории. Конфиденциальные и неконфиденциальные чертежи визуально похожи. Поэтому защита, основанная на детектировании только формата файла, никогда не обезопасит компанию от утечки конфиденциального чертежа. Тут нужен графический копирайтный анализ.

Вторая понятная задача – не перегрузить ИБ-специалиста ненужными действиями. Например, в случае с персональными данными отлично видно, как использование системы без развитых технологий контентного анализа "аукается" отделу ИБ. Представьте себе, что у вас в мессенджере два сообщения с персональными данными, но в одном из них – ФИО, телефон и адрес клиента компании из вашей бизнес-системы, а в другом – такие же данные, но другая ситуация: кто-то по дружбе рекомендовал специалиста и поделился контактами. Если пытаться ловить утечку таких данных с использованием регулярных выражений, то оба сообщения будут нарушением. Более того, каждое письмо с подписью в почте будет считаться инцидентом. И другое дело, когда ваша DLP интегрирована с бизнес-системами и вы защищаете конкретные данные, которые имеют реальную ценность.

Итак, мы кратно снизили количество инцидентов, на которые надо реагировать. Но ведь есть события или череда событий, где совершенно неочевидно, что это надвигающийся инцидент.

Здесь приходит на помощь возможность прогнозировать риски безопасности с использованием технологий машинного обучения. В DLP-системе InfoWatch Traffic Monitor, например, за это отвечает модуль предиктивной аналитики InfoWatch Prediction, способный "увидеть" в разрозненных событиях цепочку и предупредить службу безопасности до того, как наступит реальная угроза.

И снова, чтобы не перегрузить безопасника и помочь с приоритизацией событий, важно, чтобы DLP-система сама уведомляла специалиста ИБ, на что ему стоит обратить внимание. Например, с помощью того же модуля предиктивной аналитики InfoWatch Prediction можно автоматизировать оповещения об аномальном поведении и даже цепочке событий. Офицеру безопасности остается только настроить, что он хочет видеть и как часто хочет получать оповещения.

Анализ данных должен быть удобным

Обнаружить инцидент, задействовав минимум ресурсов, – только первый этап, на котором DLP-система должна уметь показать свою эффективность. Основные трудозатраты наступают с переходом на этап расследования: требуется перекопать горы данных, нащупать направление и по крупицам восстановить картину произошедшего. Увеличить скорость реакции специалисту ИБ помогают инструменты визуальной аналитики.

Может ли офицер безопасности сам быстро составить маршрут движения конфиденциального документа и провести расследование утечки за пять минут? Скорее всего, нет. Но если он обратится к инструменту визуальной аналитики данных DLP и построит граф перемещения информации, то тут же увидит, в каком направлении вести расследование дальше: кто создал документ, куда его отправлял и какими способами, когда документ покидал периметр компании и т.д. Даже с учетом различных нюансов, возникающих во время "жизненного пути" документа. Например, "договор" и "договор_правки" – это может быть один и тот же документ, название которого в процессе его "путешествия" дополняется комментариями и пометками. Факторы такого рода не должны стать помехой для поиска.

DLP должна быть актуальной

Любая компания – это живой организм, и процессы в ней постоянно меняются. Бизнес обычно не согласовывает свои действия с ИБ, не уведомляет об изменениях и редко приносит в отдел ИБ шаблоны новых документов, которые нужно защищать. Как успевать за скоростью изменений?

На графе связей визуально выделятся то, что зачастую остается вне зоны внимания безопасника, например, коммуникации с одним адресатом по двум параллельным каналам – личному и корпоративному, общение с уволившимися сотрудниками, отправка данных самому себе на личный адрес и другие действия, несущие потенциальную опасность для сохранности конфиденциальной информации. В частности, и такое можно увидеть, используя инструмент визуализации InfoWatch Vision.

Второй пример – когда нужно оперативно настроить политику защиты новых типов документов, появляющихся в компании. Ведь было бы идеально делать это автоматически. В InfoWatch такую технологию на основе ИИ сделали. Это "Автолингвист". Он позволяет автоматически настроить политику защиты документов такого же типа.

Следующий логичный шаг – вовремя узнать о появлении новых типов документов в компании. Это означает, что нужно научить DLP автоматически категоризировать данные. Кто сделает это первым, тот сможет доказать рынку и клиентам, что он действительно понимает боль безопасников, работающих с DLP-системами, и способен думать на несколько шагов вперед с позиций заказчика. 

Благодарим экспертов ГК InfoWatch Александра Клевцова и Марину Маркелову за помощь в подготовке материала.

InfoWatch Traffic Monitor – ИБ-решение года в России

Объявлены лучшие ИТ-решения по выбору TAdviser 2021. В рамках ежегодного TAdviser SummIT, прошедшего 26 мая 2021 года в Москве, состоялось награждение участников пятой церемонии награждения TAdviser IT PRIZE. ГК InfoWatch стала лауреатом премии в "ИБ-решение года России – 2021". Выбором TAdviser 2021 года среди ИБ-продуктов стала DLP-система Traffic Monitor за уникальные технологии анализа, расширяющие возможности DLP.

DLP-система InfoWatch Traffic Monitor – это высокотехнологичное решение на основе искусственного интеллекта для защиты от утечек данных и прогнозирования рисков информационной безопасности компаний и организаций. С момента создания в 2003 году InfoWatch задает тон на рынке DLP и на протяжении многих лет остается лидером в этом сегменте.

Темы:DLPЖурнал "Информационная безопасность" №3, 2021

Импортозамещение ИТ-решений и ПО в ключевых отраслях

22 июня 2023

Жми для участия
22 июня 2023. Импортозамещение ИТ-решений и ПО
22 июня 2023. Импортозамещение ИТ-решений и ПО в госсекторе и ключевых отраслях
Жми, чтобы участвовать
Статьи по той же темеСтатьи по той же теме

  • Роль аутсорсинга и психологии в DLP. Круглый стол вендоров решений класса DLP
    Импортозамещение коснулось многих классов решений в сфере информационной безопасности. Но производители DLP-систем чувствуют себя в новой реальности более чем уверенно. Почему это так, как будет развиваться ситуация в перспективе 2–3 лет, что нового ждать в функциональности систем?
  • DCAP выявляет нарушения в 100% внедрений
    Роман Подкопаев, Генеральный директор компании Makves
    Роман Подкопаев, основатель и генеральный директор компании Makves, о том, почему DCAP-решения являются неотъемлемой частью надежной ИБ-системы любой компании.
  • Как инсайдер помог наладить дисциплину в компании
    Владислав Эркенов, начальник отдела безопасности ООО НПО “НТЭС”
    Теперь наша главная задача – профилактика
  • Импортозамещение DLP уже закончилось
    Мария Разумовская, руководитель пресс-службы Zecurion
    Между западным и российским подходами к защите информации от утечек существует огромная разница.
  • Главные обновления "СерчИнформ КИБ"
    Если вы задумали внедрять DLP, «СёрчИнформ КИБ» скорее всего войдет в число систем, которые вы будете тестировать.
  • DCAP и DLP: в чем разница?
    Дмитрий Горлянский, Руководитель направления технического сопровождения продаж “Гарда Технологии”
    Несмотря на некоторую схожесть функциональности, DLP и DCAP являются самостоятельными системами для решения совершенно разных задач

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Безопасные российские СУБД и защита от утечек
20.06.23. Безопасные российские СУБД и защита от утечек
Жми, чтобы участвовать

More...
Форум ITSEC 2023: информационная и кибербезопасность России
Форум ITSEC 11-20 апреля 2023: информационная и кибербезопасность России
Жми, чтобы участвовать