Журнал "Information Security/ Информационная безопасность" #3, 2020

рост объема данных, которые обраба- тывает система. Количество событий огромно. Красное событие в системе по факту реализации риска – это здорово, но зачастую ему предшествует целая цепь, идентифицировать которую в пото- ке из сотен тысяч событий в день – за пределами человеческих возможностей. Мощь современной системы в том, что она способна выявлять и автоматически детектировать такие цепочки событий – рискованные паттерны, которые говорят о том, что что-то пошло не так. Система должна интерпретировать события сама и выдавать подсказки, на что обратить внимание безопаснику. Александр Клевцов: В значитель- ной степени наше ноу-хау – это методо- логия определения таких паттернов, мето- дика и лучшие практики использования системы, а не только технологии машин- ного обучения. Хотя без них никакой пре- диктивной аналитики у нас не было бы. Расскажите подробнее про автоматизацию. Что еще умеет автоматизировать ваша DLP? Степан Дешевых: Мы убеждены, что DLP не следует устанавливать из коробки, если хочешь обеспечить реаль- ную безопасность данных. Требуется предварительная настройка, и это еще одно направление, которое мы автома- тизируем. Данные, процессы, а значит и политики не высечены в камне навсегда. Мы движемся к тому, чтобы автоматизировать настройку DLP под заказчика. Александр Клевцов: Основа DLP системы – категоризация документов. Content Intelligence – это "мозги" DLP. У нас около десятка патентов на различ- ные технологии анализа. В технологиях лингвистического анализа, например, мы всегда работали на опережение и давно ушли вперед. У InfoWatch самое большое на рынке количество баз кон- тентной фильтрации (БКФ), проще говоря отраслевых словарей, доступных по 289 категориям. Мы очень давно, входя в новый проект, не сталкивались с тем, что у нас нет подходящего отраслевого словаря. А если нужно, то имеющийся словарь всегда можно доработать под специфику организации, добавить новую категорию. Мы создали возможность делать это автоматически на случай, если заказчик хочет сам дообучать систе- му. Такое требуется, например, если в силу специфики деятельности клиента документы для обучения системы не могут быть предоставлены никаким под- рядчикам. Вы "скармливаете" системе большой объем документов, и она авто- матически создает категории. Кстати, мы не ограничиваемся только русским, работаем на двадцати языках, в том числе с мультиязычными документами. А что с технологиями для графической информации? Что важно знать заказчикам, которым надо защищать графику? Александр Клевцов: Защита гра- фики в том или ином виде – распро- страненная задача, она касается и фото конфиденциальных документов, и изоб- ражений кредитных карт, и многого дру- гого, вплоть до инженерных чертежей в векторных форматах. Случались и интересные запросы на защиту базы данных фотографий – собственности рекламного агентства. Этой весной я проводил технологиче- ский DLP-марафон. Это была серия онлайн-встреч, на которых мы подробно рассказывали российским специалистам по ИБ и ЭБ про технологии анализа внутри InfoWatch Traffic Monitor. Самой популярной темой стала как раз защита информации в графическом формате – больше всего вопросов и обратной связи. Разумеется, мы и раньше прово- дили тысячи клиентских онлайн- и офлайн-встреч, но еще никогда не отмечали такого интереса безопасников именно к технологиям защиты графики. Мы сталкивались с мнением, что для детектирования графических объектов достаточно OCR – распознавания текста на картинке. Но, как понятно из вышепри- веденных примеров, OCR в большинстве случаев вообще остается не у дел, потому что текст есть не везде, и иногда эффек- тивнее использовать другие технологии – с точки зрения качества детектирования и минимизации вычислительных мощно- стей, необходимых для работы системы. Вот простой и далеко не всем очевид- ный пример. Для детектирования рас- тровых изображений мы используем не бинарные цифровые отпечатки, как делают почти все, а растровые – это отдельная технология, запатентованная нами. Она определит изображение в том случае, если его пересохранили в другом формате, изменили разрешение или повернули. Бинарные отпечатки с этим не справятся, отсюда, кстати, мнение, что DLP плохо работает с графикой. Мы развенчали этот миф. Как вы позиционируете себя, с таким парком технологий, относительно остального мира? А главное, как реализуется прикладной аспект – прикручивание технологий к деятельности заказчиков, чтобы было максимально полезно? Степан Дешевых: Мы в лидерах, по отчетам Gartner. Для зрелых рынков, каким является DLP, вместо "магического квадранта" у них предусмотрен формат Market Guide. Это независимый показа- тель того, где мы относительно мира. Технологии приходят в DLP не ради того, чтобы "космические корабли бороздили просторы Большого театра", а только ради того, чтобы решить конкретную клиентскую задачу. Поэтому прикручивать ничего не надо. Все начинается с целей заказчика, для чего он внедряет DLP. Технологии – всего лишь способ эффективнее решать проблемы, которые есть у заказчика. Приведу два примера, как раз про прикладной аспект. У нас есть инструмент визуальной аналитики InfoWatch Vision. Он позволяет визуализировать инфопо- токи в компании, определять карту ком- муникаций, центры компетенций среди сотрудников. Один взгляд на граф свя- зей – и наглядно видны пути распростра- нения информации, коммуникационные потоки и аномалии, если такие возникают. Чем не прикладная задача? Еще есть инструмент предиктивной ана- литики InfoWatch Prediction. Он умеет выявлять аномалии в шаблоне поведения сотрудника и помогает работать с группа- ми риска. Обычный сотрудник генерирует большое количество малозначительных событий. Проблема в том, что цепочка незначащих событий может сложиться в паттерн, говорящий о реализации серь- езного нарушения, которое не выглядит как одно событие в силу растянутости во времени или "размазанности по перимет- ру". А если событий много? А если совме- стить их с другими событиями, на первый взгляд непримечательными? Например, ни для кого не секрет, что при увольнении некоторые сотрудники пытаются забрать с собой конфиденциальные данные. Соби- рают и постепенно копируют их. Система такую активность заметит, сопоставит с другими факторами поведения и пред- упредит об аномальном поведении. Александр Клевцов: Безопасник – это же человек, который имеет дело с самыми настоящими данными. Это не дан- ные опроса, которые могут искажаться, это не корпоративные мифы. Сидя на дан- ных, безопасник видит ре-аль-ную картину происходящего в организации. В момент совершения критической сделки, расши- рения штата или возникновения репута- ционного риска он может оказаться тем самым человеком, который даст базу для адекватной оценки ситуации или принятия взвешенного решения. Поэтому наше дело – снабдить его современными инстру- ментами для удобной работы с данными. l • 19 DLP www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru