Новое время диктует отказ от старых представлений о DLP-системах и защите от утечек информации
InfoWatch, 18/08/22
Информационный ландшафт значительно изменился под влиянием пандемийного и постпандемийного времени, подняв ценность информационных активов на новый уровень. 2022 год подлил масла в огонь, продемонстрировав абсолютное влияние мировой политики на работу российских компаний. При этом традиционные риски ИБ никуда не делись.
Инсайдеры продолжают "сливать" информацию, а хакеры – атаковать, вооружившись более технологичными инструментами. Все чаще эти две группы работают вместе, осуществляя гибридные атаки.
Теперь, чтобы соответствовать новой обстановке и актуальным требованиям регулятора, заказчикам приходится еще щепетильнее подходить к выбору DLP-системы (Data Loss Prevention). И этот выбор все больше зависит от наличия технологий искусственного интеллекта и возможностей автоматизации.
Искусственный интеллект автоматически обрабатывает большие массивы данных, кратно превосходящие те, что раньше обрабатывались вручную. С его помощью можно автоматизировать трудозатратные операции и минимизировать ручной труд, применяя гибкие инструменты для быстрого решения практических задач, на которые прежде тратились дни и недели, а также делать многое из того, о чем раньше оставалось только мечтать, например заранее прогнозировать инциденты.
В DLP-системе InfoWatch Traffic Monitor искусственный интеллект применяется для настройки политик безопасности, анализа данных и поведения сотрудников (UBA). Визуальная аналитика (BI-система), поддерживающая отечественные ОС, позволяет ускорять расследования с помощью динамичных виджетов статистики и графа связей.
Автоматическая категоризация документов за 1 час
Категоризация информации – трудоемкая задача для службы ИБ при внедрении DLP. Перечень информационных активов, требующих защиты, со временем меняется. А при быстрых изменениях внешней среды бизнес-процессы меняются еще быстрее, производя на свет новые виды конфиденциальных документов. Чтобы перечень оставался актуальным, можно опрашивать бизнес-подразделения или производить выборочную проверку трафика в режиме так называемой свободной охоты. Обычно это делается не чаще чем раз в полгода-год. Если делать чаще, то компании это обойдется дороже, не говоря уже об увеличении нагрузки на службу ИБ, у которой имеется и ряд других постоянных задач, помимо этой.
С помощью InfoWatch Data Explorer актуализировать перечень защищаемых документов можно хоть каждый день. Модуль "просматривает" весь трафик в организации и с помощью ИИ распределяет все документы, которые пересылались, по категориям, без участия человека. Специалисту ИБ остается лишь принять решения о том, что необходимо защищать.
"Автолингвист" обучает DLP новым категориям информации за 1 день
Когда известно, какие категории информации необходимо защищать, возникает другая задача: обучить DLP этим новым категориям.
Для формирования словаря раньше требовались профессиональные лингвисты и несколько дней. В результате получался словарь, который учитывал все словоформы, транслитерацию, опечатки и относительную частоту использования слов, что повышало точность детектирования.
"Автолингвист" может формировать словарь за один день, и не хуже, чем профессиональный лингвист.
Достаточно предъявить модулю DLP на основе искусственного интеллекта "Автолингвист" десятки документов по новой теме, и он автоматически сформирует словарь, на основе которого похожие документы в будущем начнут распознаваться как относящиеся к определенной тематике. Коллекцию документов можно подобрать самостоятельно или использовать результаты InfoWatch Data Explorer.
"Автолингвист" не требует от сотрудников специальных навыков и справляется с задачей за считанные минуты. Заказчик может самостоятельно обучить DLP-систему, а это значимое преимущество, если с конфиденциальными документами не должен работать никто из посторонних, включая специалистов по внедрению DLP.
То же относится и к графическим данным: систему можно обучить детектированию однотипных изображений, характерных для конкретного заказчика, будь то схемы бизнес-процессов, карты геологоразведки, чертежи или другие документы в графическом формате.
Одним из следствий цифровой трансформации за последние пять лет стало осознание ценности информации как критически важного ресурса и аналитики данных – как ключевой компетенции. Службы информационной безопасности компаний, вставших на путь цифровизации, неизбежно становятся частью этого процесса. Ориентируясь на новые потребности, специалисты ИБ выбирают современные методы и инструменты работы.
Быстрые расследования с помощью визуальной аналитики
BI-модуль визуального анализа данных в режиме реального времени представляет данные DLP в виде статистики и графа связей. Благодаря ему возможен быстрый поиск сопряженных с инцидентом событий. InfoWatch Vision позволяет исследовать коммуникации сотрудников и пути перемещения документов, анализировать круг общения подозреваемых, работать со статистикой в поисках инцидентов и аномалий даже в "серой зоне", выгружать отчеты.
Особенностью модуля является его высокая производительность. Граф связей может отображать одновременно до 50 тыс. узлов и быстро перестраиваться при изменении фильтров, что делает его пригодным для интерактивного анализа данных и коммуникаций. Такая скорость возможна благодаря использованию технологий, применяемых при разработке компьютерных игр.
UBA на основе искусственного интеллекта для прогнозирования рисков
InfoWatch Prediction отличается от других решений класса UBA, оно создано на основе искусственного интеллекта для предиктивного анализа данных, которые собирает DLP-система Traffic Monitor. Чтобы прогнозировать инциденты, необходимо выявить признаки готовящегося нарушения. Отличие InfoWatch Prediction от аналогов в том, что система не делает выводы об аномалиях в поведении на основании жестко задаваемых усредненных параметров или, тем более, на основании психологического портрета сотрудника, не имеющего четкой связи с намерением совершить нарушение.
InfoWatch Prediction – UBA-система на основе искусственного интеллекта, с помощью которого она анализирует более 200 параметров по всем необходимым каналам связи, выстраивает профили пользователей, ищет отклонения от привычного поведения и выявляет подозрительные паттерны, состоящие из набора событий. InfoWatch Prediction автоматически формирует рейтинг сотрудников в соответствии с количеством и скорингом аномалий, привлекая внимание службы ИБ к наиболее значимым рискам. В рейтинге указываются группы риска, в которые попал сотрудник, например подготовка к увольнению или массовый вывод информации. Специалист ИБ может оценить динамику аномалий, их сочетание и перейти в события DLP для детальной проверки.
InfoWatch Prediction помогает отловить события, которые остались бы незамеченными без искусственного интеллекта, избежать кропотливой ручной работы по разбору неразмеченных событий и получить информацию для принятия конкретных решений.
DCAP-система для автоматического аудита информационных активов
Чтобы уменьшить "поверхность атаки", необходимо удостовериться, что конфиденциальные документы не лежат там, где не должны.
InfoWatch Data Discovery сканирует файловые ресурсы и рабочие станции с целью анализа и классификации хранимой информации, выявляя факты ненадлежащего хранения данных и обнаруживая конкретные документы, имеющие отношение к какому-либо инциденту.
Соответствие требованиям импортозамещения
InfoWatch Traffic Monitor имеет сертификат ФСТЭК России № 4340 (действителен до 16.12.2025) на соответствие требованиям документов:
- По 5 классу защищенности СВТ от НСД "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992 г.).
- Требованиям к уровням доверия по 4 уровню доверия (УД4) "Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий" (ФСТЭК России, 2018 г.).
- Требованиям к средствам контроля съемных машинных носителей информации по 4 классу защиты СКН (ИТ.СКН.П4.ПЗ) "Профиль защиты средств контроля подключения съемных машинных носителей информации четвертого класса защиты" ИТ.СКН.П4.ПЗ (ФСТЭК России, 2014 г.).
InfoWatch Traffic Monitor включен в реестр отечественного ПО и помогает выполнять требования регуляторов:
- 149-ФЗ "Об информации, информационных технологиях и о защите информации";
- 152-ФЗ "О персональных данных";
- 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации";
- по защите коммерческой тайны (98-ФЗ);
- по защите инсайдерской информации (224-ФЗ);
- по защите данных в Национальной платежной системе (161-ФЗ, ПП-584, 382-П и др.);
- приказы ФСТЭК России № 17 (ГИС), № 21 (ИСПДн), № 239 (КИИ).