Контакты
Подписка 2025

Драйв инноваций в DLP наступает тогда, когда решаются прикладные задачи клиентов

InfoWatch, 22/07/20

Мы поговорили с экспертами компании InfoWatch о том, какими они видят ландшафт DLP-технологий в России и уровень развития российского рынка DLP, как заказчику выбрать технологии для решения его задач и что на самом деле влияет на развитие DLP в России и в мире.

Степан Дешевых, руководитель отдела развития продуктов для безопасности корпоративных данных и анализа информационных потоков
Александр Клевцов, руководитель направления по развитию DLP-системы решения Traffic Monitor для предотвращения утечек информации

- Давайте начнем с общего вопроса о ландшафте DLP-решений сегодня. Есть мировые и российские тренды, есть специфика конкретных отраслей и задач заказчиков в них. Как вы оцениваете этот ландшафт?

Степан Дешевых: Если коротко, то драйвить развитие DLP-решений продолжают всем известная цифровая трансформация и требования регуляторов. Рынок зрелый, продолжает стабильно развиваться, и мы вместе с международными аналитиками Gartner наблюдаем следующее: ужесточаются требования законодательства, бизнес-процессы работают в облаках, часто с доступом через личные устройства, компании присутствуют в соцсетях, а сотрудники решают рабочие вопросы в мессенджерах, куда уже "вползли" тяжелые форматы типа аудио и видео, растут объемы корпоративных данных и увеличивается динамика их изменений, данные устаревают, обновляются, появляются новые. Это задает DLP-технологиям вполне конкретный вектор развития: рынок наелся хайпом от модных слов ИИ, Machine Learning и пр. и теперь ждет, кто из вендоров яснее сможет показать реальную пользу от технологий на утилитарных задачах. А как клиенту это понять? Задавать вендору самые неприятные вопросы: про возможности интеграций с конкретными бизнес-системами, которые стоят в организации, про соцсети с личных устройств, про измерение ЛПС на пилотах – все, чтобы убедиться, что прикладные задачи действительно решаются.

Александр Клевцов: Да, цифровая трансформация происходила в последние годы плавно, а в 2020 г. ее как будто поставили на ускоренную перемотку. Переход на удаленную работу подействовал как катализатор и подсветил проблемы, на которые многие всё еще закрывали глаза.

Периметра давно нет. Продуктивность, а не безопасность стала мантрой сегодняшнего дня. Бизнесу приходится искать новые возможности для выживания и роста.

Электронная почта как средство оперативного решения рабочих вопросов постепенно уступает место облачным средствам коллаборации типа Slack, десяткам мессенджеров, виртуальных переговорных комнат, онлайн-офисов и CRM, доступных в том числе и с мобильного телефона в любой точке в любое время.

А теперь представьте, что вы пытаетесь решить проблему защиты корпоративных данных в этой среде с помощью DLP образца пятилетней давности. Это бесполезно. Осознавая это, мы, например, развиваем направление интеграции с различными информационными системами – добавляем новые возможности, доступные сразу из коробки. Только что, к примеру, вышла интеграция с Microsoft Exchange Online в дополнение к уже интегрированному Office 365.

Traffic Monitor поддерживает открытый API, поэтому клиенты могут самостоятельно или с помощью своих интеграторов обеспечивать защиту данных в собственных информационных системах.

- Какие тенденции развития DLP вы рассматриваете для себя как стратегические?

Степан Дешевых: Есть три ключевых аспекта, вокруг которых идет добавление новых возможностей в Traffic Monitor.

Первый – это использование DLP-систем для решения не только ИБ-задач. Нашими пользователями все чаще становятся департаменты экономической и кадровой безопасности. Это и понятно: DLP анализирует потоки данных, в которых содержатся сигналы экономических преступлений, мошеннических схем, конкретных действий сотрудников, влияющих на благополучие организации. Для удобства анализа этих данных мы разработали инструменты визуальной и предиктивной аналитики и продолжаем наращивать технологии контентного анализа.

Второй – это изменения цифровой среды, в которой функционирует бизнес. Мы уже упоминали облачные сервисы и системы аудио-и видеоконференций, которые резко стали массово востребованными с переходом на удаленку и медленным выходом из нее. Все, что связано с современными концепциями совместной работы. Некоторые компании всерьез думают об отказе от почты в пользу мессенджеров и платформ коллабораций, практикуют динамические рабочие группы, а значит мы должны уметь обеспечивать безопасность данных в рамках коммуникаций, идущих в режиме реального времени и необходимо эффективно и безопасно делиться информацией для ускорения рабочих процессов.

И, наконец, третий: мы продолжаем работать на автоматизацию определенных функций DLP-системы. О чем это? Цифровизация и множество новых каналов коммуникаций прямо влияют на рост объема данных, которые обрабатывает система. Количество событий огромно. Красное событие в системе по факту реализации риска – это здорово, но зачастую ему предшествует целая цепь, идентифицировать которую в потоке из сотен тысяч событий в день – за пределами человеческих возможностей.

Мощь современной системы в том, что она способна выявлять и автоматически детектировать такие цепочки событий рискованные паттерны, которые говорят о том, что что-то пошло не так. Система должна интерпретировать события сама и выдавать подсказки, на что обратить внимание безопаснику.

Александр Клевцов: В значительной степени наше ноу-хау – это методология определения таких паттернов, методика и лучшие практики использования системы, а не только технологии машинного обучения. Хотя без них никакой предиктивной аналитики у нас не было бы.

- Расскажите подробнее про автоматизацию. Что еще умеет автоматизировать ваша DLP?

Степан Дешевых: Мы убеждены, что DLP не следует устанавливать из коробки, если хочешь обеспечить реальную безопасность данных. Требуется предварительная настройка, и это еще одно направление, которое мы автоматизируем.

Данные, процессы, а значит и политики не высечены в камне навсегда. Мы движемся к тому, чтобы автоматизировать настройку DLP под заказчика.

Александр Клевцов: Основа DLP системы – категоризация документов. Content Intelligence – это "мозги" DLP. У нас около десятка патентов на различные технологии анализа. В технологиях лингвистического анализа, например, мы всегда работали на опережение и давно ушли вперед. У InfoWatch самое большое на рынке количество баз контентной фильтрации (БКФ), проще говоря отраслевых словарей, доступных по 289 категориям. Мы очень давно, входя в новый проект, не сталкивались с тем, что у нас нет подходящего отраслевого словаря. А если нужно, то имеющийся словарь всегда можно доработать под специфику организации, добавить новую категорию. Мы создали возможность делать это автоматически на случай, если заказчик хочет сам дообучать систему. Такое требуется, например, если в силу специфики деятельности клиента документы для обучения системы не могут быть предоставлены никаким подрядчикам. Вы "скармливаете" системе большой объем документов, и она автоматически создает категории. Кстати, мы не ограничиваемся только русским, работаем на двадцати языках, в том числе с мультиязычными документами.

- А что с технологиями для графической информации? Что важно знать заказчикам, которым надо защищать графику?

Александр Клевцов: Защита графики в том или ином виде – распространенная задача, она касается и фото конфиденциальных документов, и изображений кредитных карт, и многого другого, вплоть до инженерных чертежей в векторных форматах. Случались и интересные запросы на защиту базы данных фотографий – собственности рекламного агентства.

Этой весной я проводил технологический DLP-марафон. Это была серия онлайн-встреч, на которых мы подробно рассказывали российским специалистам по ИБ и ЭБ про технологии анализа внутри InfoWatch Traffic Monitor. Самой популярной темой стала как раз защита информации в графическом формате – больше всего вопросов и обратной связи. Разумеется, мы и раньше проводили тысячи клиентских онлайн-и офлайн-встреч, но еще никогда не отмечали такого интереса безопасников именно к технологиям защиты графики.

Мы сталкивались с мнением, что для детектирования графических объектов достаточно OCR – распознавания текста на картинке. Но, как понятно из вышеприведенных примеров, OCR в большинстве случаев вообще остается не у дел, потому что текст есть не везде, и иногда эффективнее использовать другие технологии – с точки зрения качества детектирования и минимизации вычислительных мощностей, необходимых для работы системы.

Вот простой и далеко не всем очевидный пример. Для детектирования растровых изображений мы используем не бинарные цифровые отпечатки, как делают почти все, а растровые – это отдельная технология, запатентованная нами. Она определит изображение в том случае, если его пересохранили в другом формате, изменили разрешение или повернули. Бинарные отпечатки с этим не справятся, отсюда, кстати, мнение, что DLP плохо работает с графикой. Мы развенчали этот миф.

- Как вы позиционируете себя, с таким парком технологий, относительно остального мира? А главное, как реализуется прикладной аспект прикручивание технологий к деятельности заказчиков, чтобы было максимально полезно?

Степан Дешевых: Мы в лидерах, по отчетам Gartner. Для зрелых рынков, каким является DLP, вместо "магического квадранта" у них предусмотрен формат Market Guide. Это независимый показатель того, где мы относительно мира.

Технологии приходят в DLP не ради того, чтобы космические корабли бороздили просторы Большого театра , а только ради того, чтобы решить конкретную клиентскую задачу.

Поэтому прикручивать ничего не надо. Все начинается с целей заказчика, для чего он внедряет DLP. Технологии – всего лишь способ эффективнее решать проблемы, которые есть у заказчика.

Приведу два примера, как раз про прикладной аспект. У нас есть инструмент визуальной аналитики InfoWatch Vision. Он позволяет визуализировать инфопотоки в компании, определять карту коммуникаций, центры компетенций среди сотрудников. Один взгляд на граф связей – и наглядно видны пути распространения информации, коммуникационные потоки и аномалии, если такие возникают. Чем не прикладная задача?

Еще есть инструмент предиктивной аналитики InfoWatch Prediction. Он умеет выявлять аномалии в шаблоне поведения сотрудника и помогает работать с группами риска. Обычный сотрудник генерирует большое количество малозначительных событий. Проблема в том, что цепочка незначащих событий может сложиться в паттерн, говорящий о реализации серьезного нарушения, которое не выглядит как одно событие в силу растянутости во времени или "размазанности по периметру". А если событий много? А если совместить их с другими событиями, на первый взгляд непримечательными? Например, ни для кого не секрет, что при увольнении некоторые сотрудники пытаются забрать с собой конфиденциальные данные. Собирают и постепенно копируют их. Система такую активность заметит, сопоставит с другими факторами поведения и предупредит об аномальном поведении.

Александр Клевцов: Безопасник – это же человек, который имеет дело с самыми настоящими данными. Это не данные опроса, которые могут искажаться, это не корпоративные мифы. Сидя на данных, безопасник видит ре-аль-ную картину происходящего в организации. В момент совершения критической сделки, расширения штата или возникновения репутационного риска он может оказаться тем самым человеком, который даст базу для адекватной оценки ситуации или принятия взвешенного решения. Поэтому наше дело – снабдить его современными инструментами для удобной работы с данными.

InfoWatch Traffic Monitor

Производитель: АО "ИнфоВотч"
Сертификаты: №3205 от 21.07.2014 г. и №3831 от 28.11.2017 г., выданы ФСТЭК России
Назначение: DLP-система для контроля и анализа информационных потоков и защиты от утечек данных

Особенности

InfoWatch Traffic Monitor использует уникальные технологии контекстного и графического анализа, не имеющие аналогов на рынке, для анализа текста, изображений, выгрузок БД и файлов любых форматов. На основе высокоточных технологий анализа выполняется блокировка по максимальному количеству каналов. DLP-система надежно работает в организациях с сотнями тысяч рабочих мест даже в сложившихся условиях массового перехода на удаленную работу

Возможности

При помощи различных инструментов InfoWatch Traffic Monitor решает широкий спектр задач, выходящий за рамки обеспечения безопасности:

  • Инструмент для визуальной аналитики InfoWatch Vision позволяет найти общие связи и нетипичное взаимодействие сотрудников, выявить потенциальный сговор и мошеннические схемы, обнаружить проблемы взаимодействия между подразделениями. Визуальный анализ помогает построить эффективную работу с большими данными, которые обрабатывает DLP-система, что особенно актуально для компаний с распределенной филиальной структурой
  • Для снижения ИБ-рисков и управления кадровой политикой применяется инструмент предиктивной аналитики – InfoWatch Prediction. Инструмент позволяет прогнозировать вероятность увольнения и минимизировать риски возможных последствий, а также предотвращает управленческие, кадровые и финансовые риски
  • Уникальные интеграционные решения InfoWatch Traffic Monitor с ведущими системами позволяют защищать динамически живущие данные, не оставляя их без внимания DLP-системы. Мониторинг работы в облачных сервисах позволяет значительно повысить уровень информационной безопасности организации
Характеристики
  • Менее 10 Гбайт/день: RAID-массив с Fault Tolerance: 600 Гбайт, 2CPU 8xC + Hyper-threading (Intel® Xeon® Processor E5-2640 v3 – частота 2,6 Гц), 24 Гбайт ОЗУ
  • От 10 до 50 Гбайт/день: RAID-массив с Fault Tolerance, 2SRVx2CPU 10xC, 32-48 Гбайт ОЗУ на каждый из серверов
  • Более 50 Гбайт/день: RAID-массив с Fault Tolerance, процессор рассчитывается по запросу, от 32 Гбайт ОЗУ на каждый из серверов Ориентировочная цена: зависит от комплектации продукта

Время появления на российском рынке: 2003 г.
Подробная информация о Traffic Monitor  
Фирма, предоставившая информацию: ГК InfoWatch

Темы:DLPЖурнал "Информационная безопасность" №3, 2020

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Инновации в DLP и DCAP и новые классы решений
    Эксперты в области систем для защиты от утечек поделились своим мнением о том, как развиваются решения классов DLP и DCAP и какие инновации появились в этом сегменте за последний год.
  • "Открытый контроль" как профилактика утечек информации. Что предлагают DLP?
    Алексей Дрозд, Директор учебного центра "СёрчИнформ"
    Исследование “СёрчИнформ” показало, что только 18% компаний в России оценивают уровень киберграмотности своих сотрудников как хороший.
  • Из DLP в DLP. Обзор развития российского рынка DCAP
    Владимир Ульянов, руководитель аналитического центра Zecurion
    DCAP долгое время находился в поисках своего места в сложной иерархии средств информационной безопасности. Он родился под названием DAG, конкурировал с такими альтернативами, как DSG и UDM, а как только обрел общепринятое название в рамках концепции DCAP, начал испытывать притязания со стороны старого союзника – DLP, вместе с которым защищал корпоративные данные еще до выделения в отдельный класс. Разберемся в истории развития DCAP и его перспективах.
  • ГК InfoWatch: как в 3 раза ускорить расследование инцидентов ИБ без дополнительной нагрузки на офицера безопасности
    Сергей Кузьмин, руководитель направления Центр расследований ГК InfoWatch
    С учетом того, как стремительно масштабируются DLP-системы и какой огромный массив данных генерирует каждый инструмент безопасности, защита информации требует к себе принципиально нового подхода. Рассмотрим, как снизить нагрузку на офицера безопасности, улучшить качество его работы и при этом в несколько раз увеличить скорость проведения расследований.
  • Безопасность как движущий фактор трансформации файлового обмена
    Владимир Емышев, директор по развитию ООО “МСОФТ”
    Представьте себе компанию, в которой сотрудники не используют компьютер. Сложно? Пожалуй, да. Вряд ли сегодня такая найдется. А теперь попробуйте представить, что люди, работающие c компьютером, не используют файлы. “Нереально!” – скажете вы и будете абсолютно правы. Файлы – настолько же привычная сущность, как водопровод в городской квартире или лифт в многоэтажке.
  • Только правильно внедренный DCAP дополняет DLP
    Роман Подкопаев, Генеральный директор компании Makves
    Последние несколько лет показали, что на безопасности нельзя экономить и о ней нужно думать заранее. Информационная безопасность начинается с безопасности данных. DCAP поможет навести порядок в файловых хранилищах и проследить за доступом к ним. Мы вновь беседуем с Романом Подкопаевым, генеральным директором компании Makves (входит в группу компаний “Гарда”).

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...