Журнал "Information Security/ Информационная безопасность" #3, 2020
ского анализа пользователей, или UBA (User Behavior Analytics). DLP-вендоры обратили внимание на данный класс решений, позволяющих выявлять стан- дартное поведение работников, а в слу- чае отклонения от этих норм – принимать меры, к примеру уделять больше вни- мания подозрительным сотрудникам. Разработчики DLP пришли к выводу, что такой функционал будет отличным дополнением к системе, которая нахо- дится в стадии трансформации в ИБ- решение тотального контроля пользо- вателей. Однако данный функционал все еще развивается, и пока полноцен- ный поведенческий анализ реализован лишь в выборочных DLP, в числе кото- рых продукты Zecurion. Контроль эмоционального состояния Помимо анализа поведения сотрудни- ков, можно оценивать уровень их эмо- ционального состояния. Система анали- зирует и оценивает всю лексику исходя- щих сообщений пользователя в мессенд- жерах, электронной почте и соцсетях. Анализ проводится на основе специ- ального встроенного словаря тональной лексики, который состоит из "эмоцио- нальных" слов, часто используемых чело- веком, в том числе в разговорной речи. В свою очередь, список структурируется по определенным типам эмоций: радость, доверие, ожидание, грусть, недовольство, страх, удивление, злость. Анализ дина- мики эмоционального состояния позво- ляет выделять тех сотрудников, кто может попасть в группу риска. Таких можно также взять на особый контроль. Архитектура решения Споры о том, что лучше – агентская DLP-система или шлюзовая, ведутся давно. Каждый из вариантов имеет не только преимущества, но и недостатки. Компенсировать их позволяет смешанная архитектура (см. рис.) с компонентами контроля информационных потоков на почтовом и сетевом шлюзах, рабочих станциях, модулем для выявления мест хранения конфиденциальной информации (Discovery) и общими сервисами, такими как архив. Поскольку внутренние сети многих компаний устроены по-разному, а биз- нес-процессы существенно различаются, для современной DLP важно быть гибкой в плане установки и интеграции. Этому способствуют модульность и наличие компонентов для контроля на разных участках сети. Криптопериметр Иными словами, это контентно-зави- симое шифрование. DLP может прину- дительно шифровать файлы при копи- ровании их на съемные устройства в зависимости от настроенных политик безопасности. Такой функционал поз- воляет избегать популярного сценария утечки, когда сотрудники теряют флешки с конфиденциальными данными, а также в случае кражи или использования устройства третьими лицами. Криптопе- риметр – уникальная функция для DLP- систем и является принципиальным отли- чием Zecurion DLP от существующих на рынке решений. Расширенные возможности мониторинга действий Сбор большого объема информации о пользователях, анализ действий сотрудников и предоставление специа- листам службы безопасности макси- мального количества данных о пользо- вателях – ключевые направления раз- вития DLP в ближайшие годы. Поэтому расширенные возможности мониторинга действий сотрудников – еще один пока- затель современной DLP-системы. Сюда входят достаточно простые методы конт- роля за действиями, но при необходи- мости они могут сильно помочь в рас- следовании серьезного инцидента. К таким методам относятся отслежива- ние нажатий клавиатуры (кейлогер), запись звуков через микрофон контро- лируемого компьютера, создание сним- ков с фронтальной веб-камеры. Camera Detector Это уникальная в своем роде техноло- гия с функцией защиты от фотографиро- вания экрана компьютера, разработанная компанией Zecurion. Встроенная технология определяет устройство, сообщает об этом офицеру безопасно- сти и сохраняет инцидент в архиве с информацией о том, на каком компью- тере и в какое время это было сделано. Такой инструмент востребован в первую очередь среди финансовых организаций и компаний, работающих с большими объемами персональных данных, которые могут быть украдены третьими лицами. Создание единой платформы защиты Базовые технологии DLP давно дове- дены до совершенства, и сейчас вендоры сосредоточились на повышении удобства использования системы и возможности полноценного расследования инциден- тов. При этом развитие систем диктуется не только требованиями заказчиков, но и появлением новых инсайдерских угроз, в числе которых специфическое фото- графирование монитора на смартфон, а также мошеннические схемы вплоть до экономических преступлений. Можно с уверенностью говорить, что сегодня основным вектором развития DLP является возможность эффективного предотвращения мошенничества. Дости- гается это путем развития единой плат- формы для аналитической работы, пол- ноценного расследования инцидентов и защиты не только конфиденциальных дан- ных, но и денежных средств компании. l • 17 DLP www.itsec.ru Рис. Архитектура DLP Next Generation АДРЕСА И ТЕЛЕФОНЫ компании ZECURION см. стр. 56 NM Реклама
Made with FlippingBook
RkJQdWJsaXNoZXIy Mzk4NzYw