Журнал "Information Security/ Информационная безопасность" #3, 2020

• 39 DLP www.itsec.ru Авторское заключение Организации научились собирать дан- ные с помощью DLP-систем. Теперь им надо понять, что делать с этими данны- ми. На передний план выходят не столь- ко сами данные, сколько технологии их обработки. Очевидно, что будущее за интеграцией технологий: DLP, машинного обучения, искусственного интеллекта, автомати- зации с применением нейронных сетей. Уже сейчас с помощью искусственного интеллекта в компаниях пробуют пред- сказывать, например, увольнения сотрудников. Возможно, от предсказания уволь- нений с помощью ИИ до предсказания утечек данных остался всего один шаг? Технологии стали главным источником информации. Но пока "выявлять чув- ствительные персональные данные и разбираться с ними столь же сложно, как и определять, какая корпоративная информация сохранила или потеряла свою деловую ценность с течением вре- мени", как мудро заметил Марк Кассетта, старший вице-президент по стратегиче- ским вопросам компании Titus. l Галина Рябова: Вы так говорите, как будто это что-то плохое. Я считаю, что это один из путей развития, когда под продвинутые технологии находятся задачи в материальном мире. Эволюция DLP – один из таких положительных примеров. Начав свое становление с узкой задачи защиты от утечек, современные DLP-системы, обладая продвинутыми аналити- ческими возможностями, способны решать широкий спектр задач службы безопасности в целом, и даже напрямую задачи бизнеса, например мониторинг эффективности работы уда- ленных сотрудников. Это выгодно для бизнеса – использовать одну систему для решения многих задач. Алексей Дрозд: Автоматизация, в том числе элементы ИИ, уже используются в DLP для решения узких задач. Но каким бы продвинутым ни был такой функционал, DLP еще долго не станет "виртуальным безопасником". Это не антивирус, который работает автономно. Максим Ксенофонтов: Несомненно, пока не будет создан сильный ИИ, человек всегда будет нужен там, где тре- буется принимать нестандартные решения. Существующие ИИ и машинное обучение смогут разгрузить офицеров без- опасности, сняв с них, например, задачу анализа паттернов поведения. Но всегда остается вероятность ЛПС, для исправ- ления которых необходим профессиональный взгляд и анализ ситуации специалистом. Андрей Арефьев: Организация –- это живой организм, меняющийся под влиянием рынка. Нельзя настроить DLP один раз и забыть про нее. Во-первых, нужно дать ИБ инструменты, чтобы удобно и быстро анализировать происходящее и под- страивать политики. Во-вторых, важно поддерживать актуаль- ными базы защищаемых документов, что нетрудно, это давно делается автоматически. И конечно, ИИ, используемый для категоризации документов, берет на себя все больше задач. Дарья Орешкина: При эксплуатации любой системы со временем выявляются недочеты, которые набивают оскомину при работе с ней. DLP ввиду своей сложности имеет массу нюансов как при сборе информации, так и при ее анализе. Но все встает на свои места, если задаться вопросом: а как бы хотелось отслеживать пользовательские взаимодействия? За плечом каждого вешать видеокамеру? Ну допустим, а как нарушителя искать из тысяч сотрудников в многочасовых видеозаписях? В конце концов мы приходим к выводу, что в текущей реализации DLP не хватает упрощения настройки политик и функций помощи в точном обнаружении инцидентов. Похоже, ИИ должен справиться с этими задачами в скором будущем. Владимир Ульянов: Развитие DLP сегодня направлено в сторону предугадывания нарушений, так, чтобы их можно было предотвратить заранее, а сотрудника, вызывающего сомнения, поставить на особый контроль. Именно поэтому многие DLP уже получили встроенные модули поведенческого анализа UBA. Zecurion пошел дальше и позволяет отслеживать эмоции контро- лируемых пользователей, которые также могут свидетельствовать о потенциальной угрозе. Как показывает практика, человек может скрыть подготовку к краже данных, но маскировать свои истинные эмоции на протяжении долгого времени не способен. Комментарии экспертов Ваше мнение и вопросы присылайте по адресу is@groteck.ru У каждой DLP-системы свои особен- ности, каждый производитель активно рассказывает о важности именно свое- го подхода. Стоит, не претендуя, впро- чем, на категоричность, вспомнить, с чего системы начинали: к примеру, Zecurion и InfoWatch начинали с хоро- шей работы на сетевом уровне, а SearchInform и DeviceLock изначально были сильны в работе на конечных устройствах. Дальнейшее развитие систем про- текало в жесткой конкуренции, но имен- но скорость обработки данных внутри системы и быстрота принятия решения позволяли на том этапе занять больший рынок. Сейчас же все производители систем постепенно, но планомерно приходят к реализации концепции DLP Next Generation, содержа- щей, кроме функционального потенциала, еще и маркетинговый. Однако у нас, конечных потребителей, есть свой набор тре- бований к DLP-системе: l скорость доработки выявленных при эксплуатации проблем; l качество технической поддержки: ведь любой заказчик рано или поздно обращается к вендору за помощью и важно, чтобы этот процесс был комфортным; l простота и послойность перехода к новой версии; l простота подключения и внедрения новых паттернов, инте- ресных для защиты интересов бизнеса; l скорость внедрения новых подходов в системе; l визуализация данных: это новый тренд в ИБ, позволяющий конечным операторам быстрее вырабатывать и принимать качественные решения. Отмечу, что на сегодняшний день эти задачи в той или иной степени реализованы у всех DLP-вендоров. Поэтому мой личный опыт свидетельствует, что выбирать стоит не столько систему, сколько производителя. Того, кто готов помогать быстро и каче- ственно решать ваши проблемы для достижения вами успеха в решении задач бизнеса, который вы защищаете. l Сергей Рысин, эксперт по ИБ Колонка редактора К наблюдениям за развитием DLP