Контакты
Подписка 2024
Статьи по информационной безопасности

Новое время диктует отказ от старых представлений о DLP-системах и защите от утечек информации

InfoWatch, 18/08/22

Информационный ландшафт значительно изменился под влиянием пандемийного и постпандемийного времени, подняв ценность информационных активов на новый уровень. 2022 год подлил масла в огонь, продемонстрировав абсолютное влияние мировой политики на работу российских компаний. При этом традиционные риски ИБ никуда не делись.

Инсайдеры продолжают "сливать" информацию, а хакеры – атаковать, вооружившись более технологичными инструментами. Все чаще эти две группы работают вместе, осуществляя гибридные атаки.

Теперь, чтобы соответствовать новой обстановке и актуальным требованиям регулятора, заказчикам приходится еще щепетильнее подходить к выбору DLP-системы (Data Loss Prevention). И этот выбор все больше зависит от наличия технологий искусственного интеллекта и возможностей автоматизации.

Искусственный интеллект автоматически обрабатывает большие массивы данных, кратно превосходящие те, что раньше обрабатывались вручную. С его помощью можно автоматизировать трудозатратные операции и минимизировать ручной труд, применяя гибкие инструменты для быстрого решения практических задач, на которые прежде тратились дни и недели, а также делать многое из того, о чем раньше оставалось только мечтать, например заранее прогнозировать инциденты.

В DLP-системе InfoWatch Traffic Monitor искусственный интеллект применяется для настройки политик безопасности, анализа данных и поведения сотрудников (UBA). Визуальная аналитика (BI-система), поддерживающая отечественные ОС, позволяет ускорять расследования с помощью динамичных виджетов статистики и графа связей.

Автоматическая категоризация документов за 1 час

Категоризация информации – трудоемкая задача для службы ИБ при внедрении DLP. Перечень информационных активов, требующих защиты, со временем меняется. А при быстрых изменениях внешней среды бизнес-процессы меняются еще быстрее, производя на свет новые виды конфиденциальных документов. Чтобы перечень оставался актуальным, можно опрашивать бизнес-подразделения или производить выборочную проверку трафика в режиме так называемой свободной охоты. Обычно это делается не чаще чем раз в полгода-год. Если делать чаще, то компании это обойдется дороже, не говоря уже об увеличении нагрузки на службу ИБ, у которой имеется и ряд других постоянных задач, помимо этой.

С помощью InfoWatch Data Explorer актуализировать перечень защищаемых документов можно хоть каждый день. Модуль "просматривает" весь трафик в организации и с помощью ИИ распределяет все документы, которые пересылались, по категориям, без участия человека. Специалисту ИБ остается лишь принять решения о том, что необходимо защищать.

"Автолингвист" обучает DLP новым категориям информации за 1 день

Когда известно, какие категории информации необходимо защищать, возникает другая задача: обучить DLP этим новым категориям.

Для формирования словаря раньше требовались профессиональные лингвисты и несколько дней. В результате получался словарь, который учитывал все словоформы, транслитерацию, опечатки и относительную частоту использования слов, что повышало точность детектирования.

"Автолингвист" может формировать словарь за один день, и не хуже, чем профессиональный лингвист.

Достаточно предъявить модулю DLP на основе искусственного интеллекта "Автолингвист" десятки документов по новой теме, и он автоматически сформирует словарь, на основе которого похожие документы в будущем начнут распознаваться как относящиеся к определенной тематике. Коллекцию документов можно подобрать самостоятельно или использовать результаты InfoWatch Data Explorer.

"Автолингвист" не требует от сотрудников специальных навыков и справляется с задачей за считанные минуты. Заказчик может самостоятельно обучить DLP-систему, а это значимое преимущество, если с конфиденциальными документами не должен работать никто из посторонних, включая специалистов по внедрению DLP.

То же относится и к графическим данным: систему можно обучить детектированию однотипных изображений, характерных для конкретного заказчика, будь то схемы бизнес-процессов, карты геологоразведки, чертежи или другие документы в графическом формате.

Одним из следствий цифровой трансформации за последние пять лет стало осознание ценности информации как критически важного ресурса и аналитики данных – как ключевой компетенции. Службы информационной безопасности компаний, вставших на путь цифровизации, неизбежно становятся частью этого процесса. Ориентируясь на новые потребности, специалисты ИБ выбирают современные методы и инструменты работы.

Быстрые расследования с помощью визуальной аналитики

BI-модуль визуального анализа данных в режиме реального времени представляет данные DLP в виде статистики и графа связей. Благодаря ему возможен быстрый поиск сопряженных с инцидентом событий. InfoWatch Vision позволяет исследовать коммуникации сотрудников и пути перемещения документов, анализировать круг общения подозреваемых, работать со статистикой в поисках инцидентов и аномалий даже в "серой зоне", выгружать отчеты.

Особенностью модуля является его высокая производительность. Граф связей может отображать одновременно до 50 тыс. узлов и быстро перестраиваться при изменении фильтров, что делает его пригодным для интерактивного анализа данных и коммуникаций. Такая скорость возможна благодаря использованию технологий, применяемых при разработке компьютерных игр.

UBA на основе искусственного интеллекта для прогнозирования рисков

InfoWatch Prediction отличается от других решений класса UBA, оно создано на основе искусственного интеллекта для предиктивного анализа данных, которые собирает DLP-система Traffic Monitor. Чтобы прогнозировать инциденты, необходимо выявить признаки готовящегося нарушения. Отличие InfoWatch Prediction от аналогов в том, что система не делает выводы об аномалиях в поведении на основании жестко задаваемых усредненных параметров или, тем более, на основании психологического портрета сотрудника, не имеющего четкой связи с намерением совершить нарушение.

InfoWatch Prediction – UBA-система на основе искусственного интеллекта, с помощью которого она анализирует более 200 параметров по всем необходимым каналам связи, выстраивает профили пользователей, ищет отклонения от привычного поведения и выявляет подозрительные паттерны, состоящие из набора событий. InfoWatch Prediction автоматически формирует рейтинг сотрудников в соответствии с количеством и скорингом аномалий, привлекая внимание службы ИБ к наиболее значимым рискам. В рейтинге указываются группы риска, в которые попал сотрудник, например подготовка к увольнению или массовый вывод информации. Специалист ИБ может оценить динамику аномалий, их сочетание и перейти в события DLP для детальной проверки.

InfoWatch Prediction помогает отловить события, которые остались бы незамеченными без искусственного интеллекта, избежать кропотливой ручной работы по разбору неразмеченных событий и получить информацию для принятия конкретных решений.

DCAP-система для автоматического аудита информационных активов

Чтобы уменьшить "поверхность атаки", необходимо удостовериться, что конфиденциальные документы не лежат там, где не должны.

InfoWatch Data Discovery сканирует файловые ресурсы и рабочие станции с целью анализа и классификации хранимой информации, выявляя факты ненадлежащего хранения данных и обнаруживая конкретные документы, имеющие отношение к какому-либо инциденту.

Соответствие требованиям импортозамещения

InfoWatch Traffic Monitor имеет сертификат ФСТЭК России № 4340 (действителен до 16.12.2025) на соответствие требованиям документов:

  • По 5 классу защищенности СВТ от НСД "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992 г.).
  • Требованиям к уровням доверия по 4 уровню доверия (УД4) "Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий" (ФСТЭК России, 2018 г.).
  • Требованиям к средствам контроля съемных машинных носителей информации по 4 классу защиты СКН (ИТ.СКН.П4.ПЗ) "Профиль защиты средств контроля подключения съемных машинных носителей информации четвертого класса защиты" ИТ.СКН.П4.ПЗ (ФСТЭК России, 2014 г.).

InfoWatch Traffic Monitor включен в реестр отечественного ПО и помогает выполнять требования регуляторов:

  • 149-ФЗ "Об информации, информационных технологиях и о защите информации";
  • 152-ФЗ "О персональных данных";
  • 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации";
  • по защите коммерческой тайны (98-ФЗ);
  • по защите инсайдерской информации (224-ФЗ);
  • по защите данных в Национальной платежной системе (161-ФЗ, ПП-584, 382-П и др.);
  • приказы ФСТЭК России № 17 (ГИС), № 21 (ИСПДн), № 239 (КИИ).
Темы:InfowatchИскусственный интеллектDLPDCAPЖурнал "Информационная безопасность" №3, 2022

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024
Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Новые горизонты защиты: как ИИ революционизирует информационную безопасность
    Юрий Иванов, технический директор ООО “АВ Софт”, руководитель направления машинного обучения, к.т.н.
    Юрий Иванов, технический директор ООО “АВ Софт”, руководитель направления машинного обучения, к.т.н., поделился своим опытом реального применения элементов ИИ в продуктах для информационной безопасности.
  • О необходимости типизации российских многофункциональных межсетевых экранов
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    Об особенностях разработки российских решений, соответствующих требованиям ФСТЭК России по типу ММЭ уровня сети, а также о возможностях и сценариях их использования.
  • DCAP: обуздать корпоративный хаос
    Владимир Ульянов, руководитель аналитического центра Zecurion
    Сложно говорить о защите, когда не знаешь, где и какие данные хранятся, какую ценность представляют, кому принадлежат, кто имеет к ним доступ и какие угрозы наиболее актуальны. Подобную задачу решают системы класса DCAP, в том числе и российские.
  • DLP для эффективной работы с рисками информационной и кадровой безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Нерациональное поведение и ошибки людей – основные слабые стороны, выявляемые в инцидентах безопасности, создающие репутационные риски и являющиеся причинами высоких затрат. Как в решении данной проблемы может помочь DLP?
  • О физиках, лириках и флешках
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Техническая задача защиты флешки сводится к тому, чтобы сделать нелегальное физическое обладание ею бессмысленным. Эта задача решена в защищенной флешке “Секрет Особого Назначения”. Коротко рассмотрим, как.
  • Next Generation DLP. Поспорим о терминах
    Владимир Ульянов, руководитель аналитического центра Zecurion
    Совместное использования DLP и DCAP - это и есть идея DLP следующего поколения: соединить части, которые были искусственно разделены для обеспечения безопасности данных.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2024, ООО "ГРОТЕК"