Контакты
Подписка 2023
МЕНЮ
Контакты
Подписка

Портрет современной DLP-системы

Галина Рябова, 28/01/22

На рубеже 20-х гг. нашего века DLP-системы накрыла волна стремительной цифровизации, подстегнутая массовым переводом сотрудников на удаленную работу: все коммуникации перешли в онлайн и периметр организации фактически исчез. Мы наблюдаем очередной виток нелинейного роста объемов информации, который параллельно с укрупнением и монополизацией бизнеса выдвигает самые серьезные требования к производительности и отказоустойчивости DLP-систем.

Автор: Галина Рябова, директор Центра продуктов Dozor компании “Ростелеком-Солар”

Ответом отрасли на эти вызовы стало бурное развитие технологий анализа данных. Накопленный разработчиками опыт и технологическая база еще пять лет назад позволяли для защиты от утечек делать подходы к использованию технологий искусственного интеллекта, нейронных сетей и т.п. Но только на рубеже 2020-х эти наработки стали применяться в передовых DLP-системах для решения конкретных задач.

Ехать на надежном Hyundai?..

Стандартный набор технологий в среднестатистической DLP-системе – то, что называется must have, – зависит от целевой аудитории. Потребности небольших компаний и крупных организаций существенно различаются, поэтому можно выделить два вида "средних" DLP-систем для этих сегментов.

Требования компаний нижнего B2B-сегмента к качеству перехвата и анализа данных в целом не отличаются от крупного бизнеса, а вот их реализация имеет ряд особенностей. Как правило, небольшие компании используют DLP-систему в режиме мониторинга, а не блокировки, поэтому они не столь требовательны к быстродействию фильтрации и автоматизации процесса работы с заблокированными сообщениями. С учетом недостаточно развитой ИТ-инфраструктуры или построения ее части в сервисной модели (например, почты) для перехвата информации может быть достаточно только агентов. Но требования к их возможностям довольно широки: запись микрофона и видео рабочего стола, функции управления съемными носителями и контроль рабочего времени. То есть компании стараются повысить отдачу от инвестиций, минимизируя количество средств защиты и решая смежные задачи бизнеса. При этом они стремятся контролировать каждого сотрудника.

В must have-набор также входит функциональность управления жизненным циклом инцидента, аналитические инструменты для проведения расследований в разрезе сотрудников и групп и аналитическая отчетность для принятия управленческих решений.

В условиях экономического кризиса цена риска для крупного бизнеса становится неприемлемо высокой и внимание смещается на предотвращение инцидентов. Использование DLP "в разрыв" начинает быть нормой, повышаются требования к скорости анализа и реагирования на инциденты.

На фоне тенденций монополизации и укрупнения бизнеса численность сотрудников enterprise-компаний стала определяться не десятками, а сотнями тысяч. За последний год к росту количества участников корпоративных коммуникаций добавился и нелинейный рост объемов трафика, вызванный стремительной цифровизацией.

Поэтому, вопреки ожиданиям, базовые требования крупный бизнес выдвигает не к функционалу DLP-систем, а к их быстродействию, надежности и отказоустойчивости, обеспечение которых – непростая задача для производителя. Кратное увеличение анализируемого трафика приводит к тому, что качественные и хорошо зарекомендовавшие себя в прошлом классические технологии контентного анализа не обеспечивают одновременно требуемой для работы "в разрыв" скорости и сохранения высокой точности анализа. Например, мы заменили классические инструменты распознавания графических объектов, таких как паспорта, печати, платежные карты и т.п., на технологию глубокого обучения на основе нейронных сетей Faster RCNN (Region-Based Convolutional Neural Networks). Скорость работы этой технологии практически не зависит от размера изображения, объекты распознаются с учетом различных деформаций – растяжения, поворота, наложения на другие объекты, а также при полном отсутствии текстовой составляющей.

Для обеспечения отказоустойчивости архитектура системы должна позволять продублировать любой узел системы и легко заменить любой вышедший из строя узел резервным. При этом консистентность данных должна сохраняться не только при переходе на резервный узел, но и при последующем возвращении на основной.

Когда речь идет о коммуникациях десятков и сотен тысяч сотрудников, о персональном мониторинге каждого сотрудника речи быть не может. Поэтому аналитические инструменты, дающие представление об общей оперативной обстановке, фокусирующие внимание на зонах риска, подсвечивающие негативные тенденции, входят в "минимальную потребительскую корзину". Однако с учетом объемов информации, с которыми сталкивается на практике служба ИБ, классической аналитики недостаточно. И мы видим, как использование технологий поведенческого анализа (User Behavior Analytics, UBA) становится привычной рутиной. Технологии UBA позволяют выявлять в поведении сотрудников аномалии, которые могут свидетельствовать о ранних признаках корпоративного мошенничества, зарождении коррупционных схем, о предпосылках к возникновению утечек информации, о скором увольнении сотрудников и т.п. Это дает возможность службам безопасности прогнозировать риски, заниматься профилактикой нарушений, повышать выявляемость. Анализ поведения помогает фокусироваться на тех областях, где риск возникновения угроз максимально высок.

Компании enterprise-сегмента, как правило, имеют территориально распределенную структуру. Здесь требуются решения, компоненты которых физически размещаются по всей стране, а из единого центра можно ими управлять, проводить сквозные расследования, видеть общую аналитику. Такая система должна обеспечивать надежную работу вне зависимости от степени децентрализации ИТ-инфраструктуры и пропускной способности каналов предприятия.

Еще один аспект – требования к безопасности самой DLP-системы. Наверное, "средние" требования зависят от решаемых задач и величины потенциального ущерба. Основная задача СЗИ – не только обеспечить функциональность, но и защитить пользовательскую информацию от потери целостности, конфиденциальности и доступности. Для этого в ПО закладываются функции безопасности, которые различаются для систем разных категорий. И там, где одной компании будет достаточно соответствия требованиям к средствам контроля подключения съемных машинных носителей от 2014 г., минимальным требованием другой будет соответствие уровню доверия для систем I класса защищенности.

Это то, что сегодня де-факто уже является стандартом отрасли. А теперь о том, что отличает наиболее передовые системы.

...Или на роскошном Rolls-Royce?

Обычно, когда говорят про продвинутую DLP-систему, подразумевают наличие широкой функциональности. И этот аспект важен. Однако, на мой взгляд, класс системы определяется удобством использования, продуманностью деталей и высоким качеством реализации каждой функции.

То, что в небольшой компании является досадным неудобством, в масштабе крупной корпорации выливается в колоссальные потери времени. Так, например, в одной из версий мы изменили дизайн карточки сообщения, сделав ее больше и лучше структурировав, однако допустили usability-ошибку: контрастность важных для анализа параметров в новом дизайне оказалось недостаточной. Это привело к заметному снижению скорости работы группы реагирования на инциденты одного крупного заказчика. Поэтому высокая степень автоматизации рутинных процессов и операций ИБ-службы, столь значимая для крупных компаний, пока относится к "люксовым" возможностям DLP.

Сегодня DLP-система является инструментом корпоративной безопасности в целом, применяемым для решения таких задач, как профилирование и выявление групп риска, мониторинг групп особого контроля, выявление признаков мошенничества и коррупции, расследование гипотез, управление конфликтом интересов и т.п. Это значит, что у DLP появилось большое количество функциональных пользователей, которым необходимо обеспечить конфиденциальность работы. Это совершенно иной уровень требований к разделению прав пользователей.

Достигшая определенной зрелости компания приходит к осознанию необходимости интеграции DLP в экосистему безопасности. Здесь от DLP-системы требуется наличие развитых средств интеграции со смежными системами. Если раньше в стандарт интеграции входили AD, прокси и SIEM и лишь отдельные заказчики выгружали данные DLP в BI, то сейчас появился спрос на интеграцию с IGA, IRM, IRP.

А нужен ли вообще автомобиль?

Необходимость системы безопасности определяется величиной и приемлемостью потенциального ущерба.

Приемлема ли утечка конструкторской документации предприятия оборонного комплекса к вероятному противнику? Как это скажется на обороноспособности страны? А утечка логинов и паролей от сотрудника металлургического предприятия, приведшая к кибератаке и экологической катастрофе?

Каков ущерб от утечки к конкуренту базы благонадежных заемщиков небольшого банка? Как это повлияет на доходность и устойчивость бизнеса?

Или, скажем, срыв выполнения госконтракта и попадание в реестр недобросовестных подрядных организаций как результат накопившейся критичной массы нарушений в процессе взаимодействия в течение длительного времени с большим количеством субподрядчиков. Такой ситуации можно было избежать, поставив на мониторинг коммуникации по ключевой сделке.

Так нужен ли вам автомобиль?

Темы:DLPЖурнал "Информационная безопасность" №3, 2021
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

More...