Контакты
Подписка 2025

Новое время диктует отказ от старых представлений о DLP-системах и защите от утечек информации

InfoWatch, 18/08/22

Информационный ландшафт значительно изменился под влиянием пандемийного и постпандемийного времени, подняв ценность информационных активов на новый уровень. 2022 год подлил масла в огонь, продемонстрировав абсолютное влияние мировой политики на работу российских компаний. При этом традиционные риски ИБ никуда не делись.

Инсайдеры продолжают "сливать" информацию, а хакеры – атаковать, вооружившись более технологичными инструментами. Все чаще эти две группы работают вместе, осуществляя гибридные атаки.

Теперь, чтобы соответствовать новой обстановке и актуальным требованиям регулятора, заказчикам приходится еще щепетильнее подходить к выбору DLP-системы (Data Loss Prevention). И этот выбор все больше зависит от наличия технологий искусственного интеллекта и возможностей автоматизации.

Искусственный интеллект автоматически обрабатывает большие массивы данных, кратно превосходящие те, что раньше обрабатывались вручную. С его помощью можно автоматизировать трудозатратные операции и минимизировать ручной труд, применяя гибкие инструменты для быстрого решения практических задач, на которые прежде тратились дни и недели, а также делать многое из того, о чем раньше оставалось только мечтать, например заранее прогнозировать инциденты.

В DLP-системе InfoWatch Traffic Monitor искусственный интеллект применяется для настройки политик безопасности, анализа данных и поведения сотрудников (UBA). Визуальная аналитика (BI-система), поддерживающая отечественные ОС, позволяет ускорять расследования с помощью динамичных виджетов статистики и графа связей.

Автоматическая категоризация документов за 1 час

Категоризация информации – трудоемкая задача для службы ИБ при внедрении DLP. Перечень информационных активов, требующих защиты, со временем меняется. А при быстрых изменениях внешней среды бизнес-процессы меняются еще быстрее, производя на свет новые виды конфиденциальных документов. Чтобы перечень оставался актуальным, можно опрашивать бизнес-подразделения или производить выборочную проверку трафика в режиме так называемой свободной охоты. Обычно это делается не чаще чем раз в полгода-год. Если делать чаще, то компании это обойдется дороже, не говоря уже об увеличении нагрузки на службу ИБ, у которой имеется и ряд других постоянных задач, помимо этой.

С помощью InfoWatch Data Explorer актуализировать перечень защищаемых документов можно хоть каждый день. Модуль "просматривает" весь трафик в организации и с помощью ИИ распределяет все документы, которые пересылались, по категориям, без участия человека. Специалисту ИБ остается лишь принять решения о том, что необходимо защищать.

"Автолингвист" обучает DLP новым категориям информации за 1 день

Когда известно, какие категории информации необходимо защищать, возникает другая задача: обучить DLP этим новым категориям.

Для формирования словаря раньше требовались профессиональные лингвисты и несколько дней. В результате получался словарь, который учитывал все словоформы, транслитерацию, опечатки и относительную частоту использования слов, что повышало точность детектирования.

"Автолингвист" может формировать словарь за один день, и не хуже, чем профессиональный лингвист.

Достаточно предъявить модулю DLP на основе искусственного интеллекта "Автолингвист" десятки документов по новой теме, и он автоматически сформирует словарь, на основе которого похожие документы в будущем начнут распознаваться как относящиеся к определенной тематике. Коллекцию документов можно подобрать самостоятельно или использовать результаты InfoWatch Data Explorer.

"Автолингвист" не требует от сотрудников специальных навыков и справляется с задачей за считанные минуты. Заказчик может самостоятельно обучить DLP-систему, а это значимое преимущество, если с конфиденциальными документами не должен работать никто из посторонних, включая специалистов по внедрению DLP.

То же относится и к графическим данным: систему можно обучить детектированию однотипных изображений, характерных для конкретного заказчика, будь то схемы бизнес-процессов, карты геологоразведки, чертежи или другие документы в графическом формате.

Одним из следствий цифровой трансформации за последние пять лет стало осознание ценности информации как критически важного ресурса и аналитики данных – как ключевой компетенции. Службы информационной безопасности компаний, вставших на путь цифровизации, неизбежно становятся частью этого процесса. Ориентируясь на новые потребности, специалисты ИБ выбирают современные методы и инструменты работы.

Быстрые расследования с помощью визуальной аналитики

BI-модуль визуального анализа данных в режиме реального времени представляет данные DLP в виде статистики и графа связей. Благодаря ему возможен быстрый поиск сопряженных с инцидентом событий. InfoWatch Vision позволяет исследовать коммуникации сотрудников и пути перемещения документов, анализировать круг общения подозреваемых, работать со статистикой в поисках инцидентов и аномалий даже в "серой зоне", выгружать отчеты.

Особенностью модуля является его высокая производительность. Граф связей может отображать одновременно до 50 тыс. узлов и быстро перестраиваться при изменении фильтров, что делает его пригодным для интерактивного анализа данных и коммуникаций. Такая скорость возможна благодаря использованию технологий, применяемых при разработке компьютерных игр.

UBA на основе искусственного интеллекта для прогнозирования рисков

InfoWatch Prediction отличается от других решений класса UBA, оно создано на основе искусственного интеллекта для предиктивного анализа данных, которые собирает DLP-система Traffic Monitor. Чтобы прогнозировать инциденты, необходимо выявить признаки готовящегося нарушения. Отличие InfoWatch Prediction от аналогов в том, что система не делает выводы об аномалиях в поведении на основании жестко задаваемых усредненных параметров или, тем более, на основании психологического портрета сотрудника, не имеющего четкой связи с намерением совершить нарушение.

InfoWatch Prediction – UBA-система на основе искусственного интеллекта, с помощью которого она анализирует более 200 параметров по всем необходимым каналам связи, выстраивает профили пользователей, ищет отклонения от привычного поведения и выявляет подозрительные паттерны, состоящие из набора событий. InfoWatch Prediction автоматически формирует рейтинг сотрудников в соответствии с количеством и скорингом аномалий, привлекая внимание службы ИБ к наиболее значимым рискам. В рейтинге указываются группы риска, в которые попал сотрудник, например подготовка к увольнению или массовый вывод информации. Специалист ИБ может оценить динамику аномалий, их сочетание и перейти в события DLP для детальной проверки.

InfoWatch Prediction помогает отловить события, которые остались бы незамеченными без искусственного интеллекта, избежать кропотливой ручной работы по разбору неразмеченных событий и получить информацию для принятия конкретных решений.

DCAP-система для автоматического аудита информационных активов

Чтобы уменьшить "поверхность атаки", необходимо удостовериться, что конфиденциальные документы не лежат там, где не должны.

InfoWatch Data Discovery сканирует файловые ресурсы и рабочие станции с целью анализа и классификации хранимой информации, выявляя факты ненадлежащего хранения данных и обнаруживая конкретные документы, имеющие отношение к какому-либо инциденту.

Соответствие требованиям импортозамещения

InfoWatch Traffic Monitor имеет сертификат ФСТЭК России № 4340 (действителен до 16.12.2025) на соответствие требованиям документов:

  • По 5 классу защищенности СВТ от НСД "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992 г.).
  • Требованиям к уровням доверия по 4 уровню доверия (УД4) "Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий" (ФСТЭК России, 2018 г.).
  • Требованиям к средствам контроля съемных машинных носителей информации по 4 классу защиты СКН (ИТ.СКН.П4.ПЗ) "Профиль защиты средств контроля подключения съемных машинных носителей информации четвертого класса защиты" ИТ.СКН.П4.ПЗ (ФСТЭК России, 2014 г.).

InfoWatch Traffic Monitor включен в реестр отечественного ПО и помогает выполнять требования регуляторов:

  • 149-ФЗ "Об информации, информационных технологиях и о защите информации";
  • 152-ФЗ "О персональных данных";
  • 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации";
  • по защите коммерческой тайны (98-ФЗ);
  • по защите инсайдерской информации (224-ФЗ);
  • по защите данных в Национальной платежной системе (161-ФЗ, ПП-584, 382-П и др.);
  • приказы ФСТЭК России № 17 (ГИС), № 21 (ИСПДн), № 239 (КИИ).
Темы:InfowatchИскусственный интеллектDLPDCAPЖурнал "Информационная безопасность" №3, 2022

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Зачем SIEM-системе машинное обучение: реальные сценарии использования
    Почему хорошая SIEM не может обойтись без машинного обучения? Какие модели уже применяются в реальных продуктах? И что ждет этот симбиоз в будущем?
  • Инновации в DLP и DCAP и новые классы решений
    Эксперты в области систем для защиты от утечек поделились своим мнением о том, как развиваются решения классов DLP и DCAP и какие инновации появились в этом сегменте за последний год.
  • "Открытый контроль" как профилактика утечек информации. Что предлагают DLP?
    Алексей Дрозд, Директор учебного центра "СёрчИнформ"
    Исследование “СёрчИнформ” показало, что только 18% компаний в России оценивают уровень киберграмотности своих сотрудников как хороший.
  • Из DLP в DLP. Обзор развития российского рынка DCAP
    Владимир Ульянов, руководитель аналитического центра Zecurion
    DCAP долгое время находился в поисках своего места в сложной иерархии средств информационной безопасности. Он родился под названием DAG, конкурировал с такими альтернативами, как DSG и UDM, а как только обрел общепринятое название в рамках концепции DCAP, начал испытывать притязания со стороны старого союзника – DLP, вместе с которым защищал корпоративные данные еще до выделения в отдельный класс. Разберемся в истории развития DCAP и его перспективах.
  • ГК InfoWatch: как в 3 раза ускорить расследование инцидентов ИБ без дополнительной нагрузки на офицера безопасности
    Сергей Кузьмин, руководитель направления Центр расследований ГК InfoWatch
    С учетом того, как стремительно масштабируются DLP-системы и какой огромный массив данных генерирует каждый инструмент безопасности, защита информации требует к себе принципиально нового подхода. Рассмотрим, как снизить нагрузку на офицера безопасности, улучшить качество его работы и при этом в несколько раз увеличить скорость проведения расследований.
  • Безопасность как движущий фактор трансформации файлового обмена
    Владимир Емышев, директор по развитию ООО “МСОФТ”
    Представьте себе компанию, в которой сотрудники не используют компьютер. Сложно? Пожалуй, да. Вряд ли сегодня такая найдется. А теперь попробуйте представить, что люди, работающие c компьютером, не используют файлы. “Нереально!” – скажете вы и будете абсолютно правы. Файлы – настолько же привычная сущность, как водопровод в городской квартире или лифт в многоэтажке.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...