Журнал "Information Security/ Информационная безопасность" #3, 2020

36 • СПЕЦПРОЕКТ администрирования и отдельно для мониторинга и расследо- ваний. Агент Тraffic Мonitor с обычными правами не получится отключить, привилегированные права и даже продвинутые "хакерские приемы" не помогут: системный драйвер, отвечаю- щий за целостность агента, вернет его обратно. У TM интеграции есть с многими производителями SIEM. Владимир Ульянов: Для DLP-систем нормальна модуль- ная архитектура, повышающая гибкость использования. Заказ- чик может под себя сконфигурировать систему, сократив и бюджет проекта, когда отдельные модули не нужны. Несколь- ко консолей не только существенно затрудняют работу офицера безопасности, но и сказываются на эффективности защиты. Дарья Орешкина: В глобальном смысле множество консолей, похоже, не исчезнет никогда, потому что как только появляется "единая консоль", технический прогресс добавляет нам новую систему с собственной консолью. На стыке DLP, пандемии и ИИ Представим организацию в виде чело- веческого организма, в котором завелся вирус (в терминах DLP – инсайдер). Наша задача – найти в организме инфор- мацию о вирусе, который движется по кровеносным сосудам организма. Прежде всего нас, конечно, интересует работа сердца (бизнес-процессы орга- низации), чистота легких (в нашем при- мере пусть это будет электронная почта) и деятельность разных клеток крови: l эритроцитов (например, сотрудников), которые переносят кислород и углекис- лый газ; l лейкоцитов (сотрудников с повышен- ными привилегиями в информационных системах), обеспечивающих работу иммунной системы; l тромбоцитов (руководство), обеспечи- вающих свертываемость крови. Кстати, как тромбоциты не признаются учеными-медиками полноценными клет- ками, так и в контексте борьбы с утеч- ками и инсайдерами топ-менеджмент иногда выводится за скобки мониторинга DLP-систем. Принято определять здоровье орга- низма, измеряя температуру тела (информацию, которая движется в элек- тронном виде внутри организации), а также проверяя пульс (в контексте DLP аналогом станет модуль контроля рабочего времени). Совокупность всех измеряемых пара- метров организма-организации помогает поставить диагноз (собрать доказательную базу), присутствует или нет вирус-инсай- дер. Иногда вирус может до определенного времени вообще никак себя не проявлять, и тогда болезнь протекает бессимптомно. Если у вас нет вакцины, то вам трудно защитить организм от неизвестного виру- са. Элементами такой вакцины в контексте DLP могут стать технологии искусствен- ного интеллекта (ИИ), машинное обучение и нейронные сети. С их помощью можно автоматизировать процесс обнаружения защищаемых данных в компании, что позволит целенаправленно лечить органы, которые в этом нуждаются. Галина Рябова: В нашей UBA-системе есть профиль нормального поведения пользователя – аналог нормального состояния здоровья человеческого организма. Как врач изме- ряет у пациента температуру тела, давление, пульс, так и UBA измеряет внешнюю и внутреннюю активность сотрудников, объем отправленных/полученных информационных объектов, интенсивность взаимодействия с коллегами и т.п. Если пока- затели здоровья/поведения человека вдруг отклоняются от нормы, это повод для врача/службы безопасности разобраться в причинах. Может быть, человек заболел, а может быть он в данный момент занимается спортом, может готовится реали- зовать в компании мошенническую схему, а может поссорился с домочадцами и сильно переживает. Алексей Дрозд: ИИ уже есть в DLP, другое дело, что применяем мы его для решения только тех задач, где он дей- ствительно эффективен, где можно достичь баланса между ложными сработками и пропущенными инцидентами. Точность "попаданий" в 95% – не тот результат, с которым готовы мириться клиенты. Одна из задач, которую успешно решает ИИ, это, например, распознавание печатей и штампов. В систе- му загружаются документы с разными печатями, в будущем она узнает любые подобные изображения. Александр Клевцов: Мы не ограничиваем руководство в его действиях, но можем понимать, в каком объеме потреб- ляются корпоративные данные и как ими распоряжаются. С помощью политик и технологий анализа можно описать "здо- ровый организм" и обращать внимание только на отклонения. "Вакцина" в виде режима блокировки утечки не позволит откло- ниться от здорового состояния. К привилегированным может применяться специальная диагностика, а в отношении руковод- ства важно просто постоянно наблюдать за симптоматикой. Максим Ксенофонтов: Несомненно, часть задач офи- церов безопасности также можно переложить на плечи ИИ, и прежде всего это задачи поведенческого анализа. И скорее всего, крупные разработчики DLP уже делают первые шаги в сторону машинного обучения, остается только дождаться их релиза. Дмитрий Кандыбович: Конечно же, мы внедряем ней- росети, для автоматизации работы, для упрощения той же ана- литики. Система сама вычисляет отклонения в поведении сотруд- ника и сигнализирует об этом. А также мы используем их для упрощения рутинных задач, например распознавания документов и лиц сотрудников: нет нужды подключаться к каждому компью- теру и лично проверять, кто за ним, это сделает программа. Дарья Орешкина: Технологии машинного обучения сей- час используются в Symantec DLP. ML облегчает настройку политик и точность их срабатывания. В ближайшем будущем замещение офицера безопасности не предвидится, но со вре- менем, очевидно, ИИ все больше задач будет решать не хуже человека, в том числе и в области предотвращения утечек. Владимир Ульянов: Использование технологий ИИ и машинного обучения – одна из перспектив отрасли. В 2019 г. Zecurion разработал уникальный продукт Camera Detector, который выявляет факты съемки экрана компьютера внешними камерами. Это позволяет бороться с утечками, когда инсайдеры фотографируют конфиденциальную информацию с экрана монитора личными смартфонами. В основе работы Camera Detector лежит технология машинного обучения на базе нейронной сети, что позволяет детектировать смартфоны любых производителей и моделей, в чехлах и без, на разном фоне, в том числе частично скрытые другими объектами. Анна Попова: К сожалению, выявить реальных злоумыш- ленников внутри крайне сложно, если они просто пользуются недоступными для перехвата DLP-системой коммуникациями. Спасает, как правило, только накопительный эффект. В поле нашего зрения могут попасть разные сотрудники по разным причинам, даже малозначительным. Важно "присматривать" за ними на периодической основе, и обязательно будет ожи- даемый результат. Комментарии экспертов