Журнал "Information Security/ Информационная безопасность" #3, 2020

38 • СПЕЦПРОЕКТ У нас так много средств защиты, что не для всех из них придуманы угрозы Порой создается впечатление, что компании – производители систем защиты информации при поддержке регуляторов отыскивают у потребите- лей пока не существующие угрозы, лоббируя "монстров" лингвистического и статистического анализа – DLP- решения с их будущими проблемами обнаружения данных определенного формата (анализ формальных струк- тур), проклятием нехватки вычисли- тельных ресурсов и сложностью интег- рации выбранного решения с имею- щимися SIEM-системами и системами защиты. Темпы развития современных ком- муникаций переросли уровень тех технологий, которые еще вчера использовались для защиты инфор- мации в компаниях. Например, мар- кировка документов в соответствии с их информационной категорией в современной коммерческой компании давно потеряла смысл. Поиск по регу- лярным выражениям себя не оправ- дывает. Правила контроля надо посто- янно подкручивать: например, фраза "подхватил вирус" до пандемии имела один смысл, а сейчас у нее может быть совершенно иное значение. Современные DLP, являясь крайне высокотехнологичным программным обеспечением, тем не менее пока не дотягивают до уровня, при котором безопасники могли бы совершать важ- ные действия с минимальными уси- лиями. Максим Ксенофонтов: Социальные сети сейчас – это большое поле возможностей для многих систем ИБ, и DLP- системы здесь не отстают. Обычные утечки в виде post- запросов на страницы (комментарии, сообщения и пр.) DLP- системы уже давно умеют мониторить. Но с развитием соцсетей появился и новый набор функций: многие DLP-системы имеют в агентах специализированные модули, рассчитанные на мони- торинг популярных социальных сетей, включая работу со спе- цифическими протоколами. Дмитрий Кандыбович: Staffcop Enterprise позволяет логгировать и перехватывать переписку в соцсетях, осуществ- лять теневое копирование отправляемых файлов, отслеживать контрольные слова и даже записывать голосовое общение через мессенджеры. Как говорится, кто, что, где, с кем и зачем. И все это делает очень просто, удобно просматривается и хранится в безопасном месте – на сервере. Контроль сотруд- ников – это важная часть ИБ, одна из важнейших, поэтому наше решение позволяет осуществлять тотальный контроль. Анна Попова: Мы предлагаем разделять цели и исполь- зовать для мониторинга активности в социальных сетях специ- ально созданные для этого модульные решения. Что касается режима удаленки из-за пандемий и прочего, то здесь можно только посочувствовать производителям DLP-систем, которые не были готовы к тому, что понадобится полностью контроли- ровать MS Teams или Zoom. Галина Рябова: Я бы разделяла частную жизнь сотруд- ников в соцсетях и перенос корпоративной активности на домашние компьютеры. Нам надо все время помнить: без- опасность – это всегда комплекс мер. Существует много спо- собов обеспечить безопасную работу удаленных сотрудников, начиная от самых простых – использования только корпора- тивных доменных ноутбуков с установленными средствами защиты и заканчивая организацией доступа в сеть с домашних компьютеров через защищенный слой VDI-брокера. Алексей Дрозд: Механизмов контроля много, вся соль – в установке стабильного контакта агента с сервером, когда контролируемый ПК находится вне корпоративной сети. Напри- мер, в КИБ можно задать правила, чтобы агент самостоятельно парсил перехват и не нагружал канал связи. Плюс задать аль- тернативные адреса подключения к серверу. Если же связи нет, то информация "складируется" в скрытом хранилище. В итоге DLP работает в полном функционале, перехват не теряется, а бизнес-процессы не тормозятся. Александр Клевцов: В конце 2019 г. InfoWatch пред- ставил клиентам возможность контролировать соцсети прямо из DLP-системы на предмет утечки конфиденциальной инфор- мации в публичных постах и комментариях, даже если они сделаны с личных устройств, вне периметра компании и в нерабочее время. Мы интегрировались с платформой "Криб- рум", адаптировали технологии контентного анализа под язык и формат, специфичные для соцсетей, и предусмотрели, чтобы разбирать такие инциденты было удобно, в привычном интерфейсе Traffic Monitor. Даже если сотрудник работает с облачными сервисами и с личного мобильного устройства, Traffic Monitor все равно продолжает контролировать его действия. Дарья Орешкина: Концепция контроля корпоративной информации в условиях применения собственных пользова- тельских устройств из любой локации передовыми компаниями продумывалась уже давно, в разной степени практики без- опасного доступа были реализованы и в коммерческих, и в государственных компаниях. Похоже, пришло время активнее использовать автоматизированные системы как для обработки, так и для контроля информации в условиях удаленной работы. Владимир Ульянов: Переход на удаленный режим работы добавил забот специалистам по ИБ, риски утечки воз- росли кратно, слить информацию стало легче. Прибавьте к этому сомнения в завтрашнем дне, снижение лояльности, и станет понятно, почему сотрудники копируют корпоративные данные даже без злого умысла, но просто на всякий случай. И программы мониторинга рабочего времени, которые иногда выдают за разновидность DLP, конечно, не снизят риски утечки. Наоборот, тотальный контроль и требование высидеть положенные часы за компьютером лишь повысят беспокойство работника. Комментарии экспертов