Журнал "Information Security/ Информационная безопасность" #3, 2023

чается от обычного. UBA-система Info- Watch Prediction позволяет идентифици- ровать аномалии в поведении пользова- телей, опираясь не на усредненные пара- метры, а на автоматический анализ дей- ствий и коммуникаций сотрудников с помощью ИИ. Данное решение анализи- рует более 230 параметров в коммуника- циях и действиях сотрудника, создает профиль поведения, определяет откло- нения от нормы и выявляет подозритель- ные паттерны на основе набора событий. Рустам Фаррахов, InfoWatch: Надо сказать, что в одиночку вендору DLP с данным вызовом не справиться. Необходимо искать соратников и настраивать интеграции с коммуника- ционными платформами и информа- ционными системами. Для этого у Info- Watch, например, есть открытый API и прозрачный подход к процессу интегра- ции. Знаю, что недавно команды Mflash и Mailion настроили интеграцию с Info- Watch Traffic Monitor, тем самым расши- рив контролируемый периметр у поль- зователей. DLP-система в условиях раз- мытого периметра выступает не просто как средство контроля данных от утечки, но как инструмент мониторинга, анализа и управления рисками, обеспечивая без- опасность в постоянно меняющемся цифровом пространстве. Владимир Ульянов, Zecurion: Ключевой элемент в таком случае – полнофункциональный агент DLP-систе- мы, который полноценно работает и контролирует соблюдение политик на конечной точке вне зависимости от связи с сервером. Один из главных вызовов – выполнять контентный анализ на уровне рабочих станций там же, где и перехватываются данные. Все техно- логии контентного анализа, которых у Zecurion более десятка, успешно рабо- тают на конечных точках, что позволяет эффективно контролировать информа- цию на ПК и вне сети организации. Дополнительный уровень защиты – крип- топериметр, чтобы информация в откры- том виде гарантированно не попала в чужие руки. Алексей Дрозд, СёрчИнформ: Современные DLP-системы позволяют не только контролировать продуктив- ность сотрудников на удаленке, но и защищать корпоративные данные от утечки. Для контроля таких сотрудников в КИБ реализована возможность бло- кировки буфера обмена, если удаленщик подключается к рабочей среде по RDP, TeamViewer и его аналогам с личного ПК. Если сотрудник работает за корпо- ративным ПК, то установленная DLP- система пресекает опасные действия: в КИБ этот функционал реализован в блокировках. Алексей Петров, Гарда Технологии: Для эффективной работы DLP при удаленной работе необходимо опреде- ление круга доступных для сотрудника приложений, настройка подключения удаленного рабочего стола, контроль всех каналов связи устройства анало- гично стационарному рабочему месту. Анастасия Васильева, РТК-Солар: При удаленном и гибридном форматах работы реализовать эффективную систему защиты от утечек информации и несанкционированного доступа в ком- паниях помогут организационные и тех- нические меры. Среди организационных мер можно выделить четкое разгра- ничение доступа сотрудников к инфор- мации, регламентирование доступа к служебной информации по времени, а также регулярное обучение и тренинги для персонала. Реализация технических мер с помощью комплексной DLP-систе- мы позволяет осуществлять постоянный анализ сетевой активности и действий сотрудников на АРМ как в офлайн- (когда компьютер не подключен к КСПД), так и в онлайн-режиме. Эффективным методом является применение разных правил контроля, которые учитывают сферу полномочий сотрудника, рабо- тающего на АРМ, уровень его должности и круг выполняемых обязанностей. Алексей Дрозд, СёрчИнформ: В приоритете у вендоров сейчас стоят задачи, связанные с переездом на оте- чественные или свободные БД и ОС. Например, нашим заказчикам интересна поддержка отечественных ОС и серви- сов, поэтому за прошлый год мы ини- циировали около сотни технологических партнерств с российскими компаниями – от облачных платформ до корпоративных мессенджеров. Однако в вопросах импортозамещения важно соблюсти баланс, так как решения должны быть востребованы не только на внутреннем рынке. Вызовы будут также связаны с использованием инструментов ИИ. Вен- доры будут стремиться к тому, чтобы ИИ работал с меньшим числом ложных сра- боток и наибольшей эффективностью. Алексей Петров, Гарда Технологии: Изменения рынка софта и санкционная политика диктуют необходимость пересмат- ривать подходы с точки зрения поддержки внешних систем и интеграций с ними. Необходимо закладывать в DLP-систему механизмы API и готовые модули интегра- ции с развивающимися внешними систе- мами защиты иных классов (например, SIEM и SOAR). Одним из вызовов является поддержка развивающихся операционных систем и полноценная интеграция с ними. Рустам Фаррахов, InfoWatch: Вследствие высокого уровня цифровой трансформации обработка массивов данных стала быстрой и динамичной. Автоматиза- ция разных областей только увеличивает этот бесконечный бурный поток. В этом контексте незаменимой становится роль ИИ в ИБ: DLP-система отвечает за анализ и обработку больших данных, позволяя человеку сосредоточиться на ключевых решениях, – эдакое разделение труда между искусственным интеллектом и человеком. Елена Черникова, РТК-Солар: Задача DLP – становиться все более эффективным инструментом защиты от утечек, и она не может быть решена только за счет технологического развития самих систем. Мы видим ключевые вызо- вы в необходимости регламентирования всех этапов процесса защиты информа- ции от утечек, базово – в формате ГОСТа, а в перспективе – выпуск практикоори- ентированных методических рекоменда- ций, признанных ИБ-рынком. DLP являет- ся эффективным инструментом только в том случае, если в организации четко определено, какую именно информацию, кто и каким образом (организационно и технически) защищает. А сотрудники, в чьи должностные обязанности входит организация защиты от утечек, должны хорошо понимать, что представляет из себя DLP-система как техническое сред- ство защиты и как корректно собирать материалы для проведения расследова- ний инцидентов. Поэтому второе важное для нас направление – это качественная подготовка кадров в области защиты от утечек в образовательных организациях. Владимир Ульянов, Zecurion: Основная тенденция сейчас – переход от выявления утечек к борьбе со всеми внут- ренними угрозами в широком смысле и оцен- ке рисков для корпоративной информации. Для решения этих задач нас ждет построение полноценных экосистем, включение в DLP функциональных возможностей продуктов других классов либо их тесная интеграция. Одним из таких дополнений определенно станет DCAP, в связке с которым появится DLP следующего поколения. l Как эффективно применять DLP для обеспечения безопасности данных при работе сотрудников удаленно или в гибридных рабочих средах? Какие новые вызовы стоят перед DLP-системами на ближайшие 2–3 года? • 33 DLP, DCAP, DAG www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru