Журнал "Information Security/ Информационная безопасность" #3, 2023

Алексей Дрозд, СёрчИнформ: Есть два подхода, в рамках которых развиваются продукты. Первый подход заключается в анализе данных (Data Centric Security), второй подход заключа- ется в том, что система фокусируется на человеке (People Centric Security). Каждый производитель развивает свой подход, но в приоритете у заказчиков окажется то решение, в котором будут объединены оба подхода. Как раз на это мы сделали ставку: хотя КИБ отталкивается от ана- лиза данных, однако в системе есть кар- точки пользователей, которые реализуют подход People Centric Security. Анастасия Васильева, РТК-Солар: Наглядная демонстрация в реальном времени подозрительных массовых поведенческих тенденций на ранних ста- диях позволяет выявлять масштабные угрозы и риски в компаниях. Хорошим тоном будет в любых отчетах автоматически подсвечивать фокусы вни- мания для экономии времени сотрудника безопасности. Особо важно, если мы гово- рим о динамических отчетах, делать их максимально интерактивными с возмож- ностью "провалиться" до любой цифры или причин подозрительного сигнала системы. Владимир Ульянов, Zecurion: Это серьезная проблема. Здесь инду- стрия находится в начале своего пути, причем как в техническом плане, так и юридическом. Одна из идей предпо- лагает выдавать пользователям специ- альные гаджеты с установленными на них средствами контроля информации. Но люди неохотно их используют, а рас- ходы на закупку, эксплуатацию, обнов- ления крайне высоки. Были попытки реализовать контроль пользовательских устройств, перенаправляя их трафик на шлюзы организации, но это решение только части проблем, которое влечет за собой дополнительные сложности. На сегодня я не знаю успешных и удоб- ных кейсов контроля пользовательских устройств. Mobile DLP функционально серьезно уступают версиям для ком- пьютеров, а их внедрение является настоящим вызовом для организаций. Алексей Дрозд, СёрчИнформ: Нельзя говорить о полноценном конт- роле, пока DLP не будут полностью интег- рированы в устройства на уровне ОС. Однако сейчас производители контроли- руют любые вмешательства в прошивку смартфона, блокируя разработчику досту- пы к сервисам и др. Также расширение возможностей DLP в мобильных средах предполагает поставку устройства под ключ, то есть полную привязку к постав- щику на уровне ПО и железа. Клиент не может быть уверен, что через какое-то время вендор не перестанет поддержи- вать такие устройства. Рустам Фаррахов, InfoWatch: В последнем релизе InfoWatch Traffic Monitor 7.7 для работы DLP-системы на опережение добавилась новая возмож- ность, касающаяся анализа потребления информации, в частности когда потреб- ление происходит через мобильные устройства. Речь о детектировании ано- мального скачивания корпоративной почты и вложений на мобильное устрой- ство. Таким образом, уходит в прошлое популярный сценарий утечки, когда доку- мент сохраняется на ПК в черновиках, а затем открывается с мобильного устрой- ства, скачивается и не попадает в зону видимости DLP. Нужно бороться со зло- употреблением и быть на шаг впереди! Алексей Петров, Гарда Технологии: Для защиты от утечек данных с рабочих станций предусмотрены блокировка любых подключаемых USB и контроль чтения и копирования. Необходимым также являет- ся функционал блокировки Bluetooth-под- ключений. Важно отметить, что необходи- ма постоянная работа офицеров ИБ с инцидентами, связанными с подключением мобильных устройств, фотоаппаратов, USB-флешек и копированием на устрой- ства конфиденциальной информации. Анастасия Васильева, РТК-Солар: Традиционно защита корпоративных данных на мобильных устройствах осу- ществляется с помощью интеграции DLP со средствами коммуникаций с серверной стороны (например, по протоколу ICAP). В таком случае неважно, откуда шла переписка, с АРМ или с мобильного устройства. Если мессенджер установлен на корпоративном сервере, то эти сообщения можно мониторить через DLP. Достаточно эффективным также являет- ся функционал обратного прокси, позво- ляющий запретить скачивание файлов и данных с корпоративной электронной почты (например, в таком случае не полу- чится скачать сохраненный черновик пись- ма с файлом из корпоративной почты). В перспективе данный функционал может реализовываться через создание защищенного контейнера, содержащего служебное ПО. Максим Бузинов, РТК-Солар: Многообразие данных мониторинга в DLP-системе позволяет строить про- филь устойчивого поведения пользова- теля в информационном поле. Глубокая история хранения и динамичность дан- ных делают такой профиль достаточно точным и всегда актуальным. Все это позволяет детектировать ано- малии очень разного характера, от всплеска активности по одному из десят- ков каналов коммуникаций до комбини- рованных аномалий в сочетании с паттернами поведения. Главное, что дает UBA, – это выявле- ние рисков и угроз там, где принципи- ально невозможно настроить политики DLP-систем, что позволяет выявить скрытые инциденты и предотвратить соответствующий ущерб. Арен Торосян, Гарда Технологии: Анализ поведения сотрудников и выявление девиаций на основе модели отчетности позволяют выявлять и пред- отвращать утечки данных. Все действия сотрудника доступны для отображения в интерфейсе платформы DLP – это позво- ляет офицеру ИБ работать с этой анома- лией в рамках инцидент-менеджмента. Алексей Дрозд, СёрчИнформ: Анализировать и прогнозировать пове- дение пользователей в DLP-системе "СёрчИнформ КИБ" помогают статистиче- ские запросы. Система выявляет различные аномалии в типичном поведении сотрудни- ка: например, если он отправил больше 100 писем за день, хотя обычно отправляет не больше 10. В КИБ также встроены инструменты поведенческого анализа (про- файлинг), которые показывают динамику психологических профилей сотрудников по совокупности характеристик. Благодаря отчетам ProfileCenter ИБ-специалист может оценить потенциальные угрозы. Владимир Ульянов, Zecurion: Модули поведенческого анализа UBA стали стандартом для многих Enterprise DLP. Zecurion пошел дальше, внедрив систему оценки морального состояния, а также оценивая риски для пользова- телей и информационных объектов. Наш следующий шаг – использование данных собственной DCAP-системы внутри DLP. Это позволяет обогащать собираемую информацию дополнительными сведе- ниями из корпоративной сети, недоступ- ными для модулей DLP, выстраивать всю цепочку событий жизни любого интересующего файла. Такую связку DLP и DCAP уже назы- вают DLP Next Generation, и она дает намного более точные прогнозные моде- ли поведения пользователей и возмож- ных рисков. Рустам Фаррахов, InfoWatch: В 70% ситуаций, когда сотрудник гото- вится к нарушению, его поведение отли- Как обеспечиваются контроль и защита данных на мобильных устройствах и в мобильных приложениях? Как DLP позволяет обнаруживать аномальное поведение пользователей и своевременно реагировать на потенциальные угрозы? 32 • СПЕЦПРОЕКТ