Журнал "Information Security/ Информационная безопасность" #3, 2020

• 1 www.itsec.ru Дополненная реальность, данная нам в визуальных ощущениях Более половины этого номера журнала посвящено теме DLP. Как известно, основной элемент DLP – это микроэлектромеханическая система, которая создает изоб- ражение микроскопическими зеркалами, расположенными в виде матрицы на полупроводниковом чипе. Забавно иногда встретить знакомую аббревиатуру со значением, относящимся к совершенно далекой области. Оказывается, SOC может быть не только нашим любимым СОКом, но и System- on-Chip. А UTM – не только Unified Threat Management, но и Urchin Tracking Module, причем Urchin, надо заметить, позднее был переименован в Google Analytics. А DLP – это не только Digital Light Pro- cessing, но и парижский Диснейленд. Модуль контентного анализа, встроенный в наш мозг, дает в таких случаях временный сбой, в период которого вся информация воспринимается некорректно. И именно технологии контентного анализа – это сердце DLP в нашем, родном значении Data Leak Prevention. Общая идея DLP состоит в том, чтобы, в отличие от большинства других систем, считать потенци- альными злоумышленниками не внешние системы, а пользователей внутри периметра. Сверхзадача DLP-системы – анализируя людей и/или данные, дождаться, когда наконец соберется достаточно доказательств, что гипотеза о злонамеренности пользователей верна. В этом подходе есть изрядная доля паранойи, но ведь и выживают, как поговаривают, только параноики. Сетевые устройства уже научились не доверять никому, реализуя концепцию Zero Trust. Чем же мы, люди, хуже? Мы доверяем сотрудникам самое ценное, что есть у нашего бизнеса, и хотели бы быть уверенными, что нашим доверием не злоупотребят. Но человек – слаб и заслуженно считается самым уязвимым звеном любой ИБ-системы. Под давлением такой логики ничего не подозревающий пользователь невольно начинает казаться коварным инсайдером. Инсайдер может иметь злой умысел или не иметь. Он может быть самостоятельным актором, или им могут манипулировать извне, например, через методы социальной инженерии, а может быть просто нелояльным или обиженным сотрудником. Что самое увлекательно в работе с DLP: детективные истории можно писать практически про любой инцидент, а чтобы оценить красоту эпизода, достаточно житейской логики. Главное – дополнить наблюдаемую реальность коррелирующими фактами из работы всех задействованных систем. Образовавшаяся дополненная реальность как результат введения в поле восприятия ранее скрытых данных дополнит исходные сведения и улучшит восприятие информации. DLP, как и другие инструменты ИБ, уверенно двигаются в этом направлении. А на смежном участке информационной безопасности разворачивается защита критической инфраструктуры при широком многообразии объектов КИИ – от простеньких сайтов до авиалайнеров. С учетом этого факта правоприменение ст. 274 УК РФ намекает 1 , что утечки являются весьма акту- альными угрозами и для объектов КИИ. Красоту общей картины портят только ложноположительные (ЛПС) и ложноотрицательные (ЛОС) срабатывания. И если вторые могут так и остаться незамеченными, то первые оставляют след внутри организации, отнимают ресурсы и с тактической точки зрения кажутся более неприятными. Хотя последствия ЛОС потенциально более опасны. Меньше вам ложноотрицательных срабатываний! 1 Краткий обзор судебной практики по применению ст. 274.1 Уголовного кодекса РФ // Information Security / Информационная безопасность. 2020. № 2. Амир Хафизов, выпускающий редактор журнала “Информационная безопасность”