Журнал "Information Security/ Информационная безопасность" #3, 2023

watch Prediction делает это возможным. Prediction – это инструмент предиктивной аналитики и выявления риска подготовки нарушения ИБ. Система, используя тех- нологии ИИ для анализа действий и ком- муникаций сотрудников, выявляет ано- малии в поведении и сигнализирует об изменениях. Это позволяет сфокусиро- вать внимание офицера безопасности на персонах, от которых может исходить риск нарушения. Алексей Дрозд, СёрчИнформ: Мы сосредоточились на развитии уже существующих механизмов защиты. Например, для того чтобы облегчить рас- следование инцидентов, в DLP-системе "СёрчИнформ КИБ" появились водяные знаки, которые помогают установить источ- ник утечки. Активно также развиваем меха- низмы проактивной реакции на инциден- ты – блокировки по контенту и контексту данных. В КИБ также появился отчет, поз- воляющий пользователю вести аудит внеш- них учетных записей, он отражает уровень надежности паролей, используемых сотруд- никами на сторонних сервисах. Арен Торосян, Гарда Технологии: Актуальными механизмами являются сигнатурный и алгоритмический анализ, контроль доступа, контроль устройств, мониторинг сетевого трафика и опреде- ление аномального поведения пользо- вателей с помощью технологий машин- ного обучения. Дополнительно могут быть задействованы контроль клавиа- турного ввода. Важно также использо- вать инструменты контроля прав доступа сотрудника к различным ресурсам и сер- висам, куда может утекать информация. Максим Бузинов, РТК-Солар: Моделирование сложных, комбиниро- ванных угроз из разных источников на основе данных SOC и аналогичных служб с привлечением машинного обуче- ния является трендом в области детек- тирования аномалий и должно в буду- щем сделать работу аналитиков без- опасности более качественной. Техно- логическая доступность разного рода датчиков и систем мониторинга с учетом роста их качества делает возможным детектирование биометрических данных в промышленных масштабах предприя- тий и открывает новые методы обнару- жения и предотвращения угроз ИБ. Алексей Дрозд, СёрчИнформ: Методы ИИ давно используются "под капотом" многих защитных решений. У нас это реализовано, например, в виде детектора печатей, фото паспортов, кредитных карт и определения съемки экрана мобильным телефоном и т.п. К подобным задачам необходимо под- ключать ИИ, чтобы исключить ошибки при анализе изображений OCR. В буду- щем "нейронки" будут встраиваться в системы не только для ускорения ана- лиза, но и чтобы снять рутинные задачи с ИБ-специалистов, например написание регулярных выражений, скриптов. Владимир Ульянов, Zecurion: Zecurion первым из Enterprise DLP сделал контроль съемки экрана. Для работы этого модуля мы задействуем две нейросети, которые находят корпус телефона и объектив камеры даже при попытках нарушителя скрыть факт съем- ки. Задержка на работу нейросетей по результатам тестов составляет порядка 0,02 с. При этом точность распознавания оценивается в 96% при 4% пропусков и всего 1% ложных срабатываний – отлич- ный результат для полностью автомати- зированной работы. Рустам Фаррахов, InfoWatch: InfoWatch использует технологии машинного обучения как для защиты графических данных, так и для текста. Первая – для графики – решает задачи распознавания графической информа- ции для защиты конфиденциальных изображений и сканов, например скана кредитной карты или карты местности. Вторая – для текста – помогает упро- стить и оптимизировать процесс настройки политик защиты данных и за один час сформировать категории доку- ментов (лингвистические словари), на составление которых у профессиональ- ного лингвиста уйдет пять-шесть дней работы. Арен Торосян, Гарда Технологии: В ближайшем релизе нашего продукта будет добавлено машинное зрение и OCR для распознавания документов с печатями, что позволит выявлять утеч- ки таких типов документов. Такие мето- ды, как анализ поведения сотрудников и выявление девиаций на основе модели отчетности, также позволяют выявлять и предотвращать утечки данных. Максим Бузинов, РТК-Солар: Участие ИБ-экспертов в работе под- разделений Data Science позволяет значительно сократить долю ошибочных гипотез в исследованиях ИИ. Так, совместная работа эксперта ИБ и инже- нера данных на ранних этапах позволяет отобрать значимые признаки и законо- мерности для дальнейшего моделиро- вания. Это очень полезная практика. Одним из самых перспективных и в то же время сложных направлений ИИ в области ИБ является поведенческая ана- литика и сопутствующие механизмы выявления аномалий поведения. Этот подход позволяет находить угрозы там, где традиционные методы определения не могут справиться. Быстрый рост тех- нологий анализа естественного языка и их впечатляющие результаты находят отражение и в задачах защиты от утечек данных. Особенно перспективным видит- ся языковая независимость политик без- опасности средств защиты информации, в том числе и DLP. Арен Торосян, Гарда Технологии: В качестве информации для отобра- жения наглядные отчеты и диаграммы строятся по следующим данным: актив- ность сотрудника, статистика рабочего дня, статистика использования процес- сов с разбивкой по категориям (игры, офисные документы, развлекательные ресурсы и другие настраиваемые спис- ки). Визуализация строится посредством конструктора отчетов. Помимо этого доступны модели построения диаграмм связи сотрудников, движения файлов. Рустам Фаррахов, InfoWatch: InfoWatch Vision – инструмент для работы с большим объемом данных о событиях информационной безопас- ности. Граф связей в Vision упрощает исследование коммуникаций сотрудни- ков и путей перемещения документов. Ключевой особенностью Vision является возможность быстрого поиска на графе связей сопряженных с инцидентом собы- тий. Отчеты Vision содержат детали событий, диаграммы и граф связей. Важно, что система позволяет вести централизованный сбор статистики и отчетности для компаний с распреде- ленной филиальной структурой. Владимир Ульянов, Zecurion: В части отчетности и аналитики есть несколько важных моментов. Во-первых, процесс должен быть в высокой степени автоматизирован, чтобы отнимать мини- мум времени офицера безопасности. Во-вторых, важна кастомизируемость. Это касается как собственно построения отчетов с помощью конструктора, так и дашборда системы, чтобы каждый сотрудник с доступом в консоль мог настроить внешний вид под себя. Нако- нец, третий момент: отчеты должны быть наглядными и информативными для руководства организаций. Стандарт- ные шаблоны в разрезе, например, кана- лов утечки будут малоинтересны топ- менеджменту. Какие инструменты и возможности помогают анализировать и представлять информацию о защите данных более наглядно и эффективно для принятия решений и мониторинга? Как ИИ-методы и подходы помогают обнаруживать и предотвращать утечки данных? • 31 DLP, DCAP, DAG www.itsec.ru