Журнал "Information Security/ Информационная безопасность" #3, 2021

Ответом отрасли на эти вызовы стало бурное развитие технологий анализа данных. Накопленный разработчиками опыт и технологическая база еще пять лет назад позволяли для защиты от уте- чек делать подходы к использованию технологий искусственного интеллекта, нейронных сетей и т.п. Но только на рубеже 2020-х эти наработки стали при- меняться в передовых DLP-системах для решения конкретных задач. Ехать на надежном Hyundai?.. Стандартный набор технологий в сред- нестатистической DLP-системе – то, что называется must have, – зависит от целевой аудитории. Потребности неболь- ших компаний и крупных организаций существенно различаются, поэтому можно выделить два вида "средних" DLP-систем для этих сегментов. Требования компаний нижнего B2B- сегмента к качеству перехвата и анализа данных в целом не отличаются от круп- ного бизнеса, а вот их реализация имеет ряд особенностей. Как правило, неболь- шие компании используют DLP-систему в режиме мониторинга, а не блокировки, поэтому они не столь требовательны к быстродействию фильтрации и авто- матизации процесса работы с заблоки- рованными сообщениями. С учетом недостаточно развитой ИТ-инфраструк- туры или построения ее части в сервис- ной модели (например, почты) для пере- хвата информации может быть доста- точно только агентов. Но требования к их возможностям довольно широки: запись микрофона и видео рабочего стола, функции управления съемными носителями и контроль рабочего вре- мени. То есть компании стараются повы- сить отдачу от инвестиций, минимизируя количество средств защиты и решая смежные задачи бизнеса. При этом они стремятся контролировать каждого сотрудника. В must have-набор также входит функ- циональность управления жизненным циклом инцидента, аналитические инструменты для проведения расследо- ваний в разрезе сотрудников и групп и аналитическая отчетность для принятия управленческих решений. В условиях экономического кризиса цена риска для крупного бизнеса стано- вится неприемлемо высокой и внимание смещается на предотвращение инци- дентов. Использование DLP "в разрыв" начинает быть нормой, повышаются тре- бования к скорости анализа и реагиро- вания на инциденты. На фоне тенденций монополизации и укрупнения бизнеса численность сотруд- ников enterprise-компаний стала опре- деляться не десятками, а сотнями тысяч. За последний год к росту количества участников корпоративных коммуника- ций добавился и нелинейный рост объе- мов трафика, вызванный стремительной цифровизацией. Поэтому, вопреки ожиданиям, базо- вые требования крупный бизнес выдви- гает не к функционалу DLP-систем, а к их быстродействию, надежности и отказоустойчивости, обеспечение которых – непростая задача для про- изводителя. Кратное увеличение ана- лизируемого трафика приводит к тому, что качественные и хорошо зарекомен- довавшие себя в прошлом классические технологии контентного анализа не обеспечивают одновременно требуемой для работы "в разрыв" скорости и сохра- нения высокой точности анализа. Например, мы заменили классические инструменты распознавания графиче- ских объектов, таких как паспорта, печати, платежные карты и т.п., на тех- нологию глубокого обучения на основе нейронных сетей Faster RCNN (Region- Based Convolutional Neural Networks). Скорость работы этой технологии прак- тически не зависит от размера изобра- жения, объекты распознаются с учетом различных деформаций – растяжения, поворота, наложения на другие объекты, а также при полном отсутствии тексто- вой составляющей. Для обеспечения отказоустойчивости архитектура системы должна позволять продублировать любой узел системы и легко заменить любой вышедший из строя узел резервным. При этом конси- стентность данных должна сохраняться не только при переходе на резервный узел, но и при последующем возвраще- нии на основной. Когда речь идет о коммуникациях десятков и сотен тысяч сотрудников, о персональном мониторинге каждого сотрудника речи быть не может. Поэтому аналитические инструменты, дающие представление об общей оперативной обстановке, фокусирующие внимание на зонах риска, подсвечивающие нега- тивные тенденции, входят в "минималь- ную потребительскую корзину". Однако с учетом объемов информации, с кото- рыми сталкивается на практике служба ИБ, классической аналитики недоста- точно. И мы видим, как использование технологий поведенческого анализа (User Behavior Analytics, UBA) становится привычной рутиной. Технологии UBA позволяют выявлять в поведении сотруд- 14 • СПЕЦПРОЕКТ Портрет современной DLP-системы а рубеже 20-х гг. нашего века DLP-системы накрыла волна стремительной цифровизации, подстегнутая массовым переводом сотрудников на удаленную работу: все коммуникации перешли в онлайн и периметр организации фактически исчез. Мы наблюдаем очередной виток нелинейного роста объемов информации, который параллельно с укрупнением и монополизацией бизнеса выдвигает самые серьезные требования к производительности и отказоустойчивости DLP-систем. Н Галина Рябова, директор Центра продуктов Dozor компании “Ростелеком-Солар” Компания "Ростелеком-Солар" выпустила новую версию флагманского программного продукта Solar Dozor 7.4. Релиз посвящен реализации модулей анализа поведения пользователей (Dozor UBA) и мониторинга хранения конфиденциальной информации (Dozor File Crawler) в территориально распределенной конфигурации – для компаний с разветвленной филиальной сетью. Кроме того, в новой версии появился ряд дополнительных механизмов защиты конфиденциальных данных от утечек. В частности, Solar Dozor 7.4 позволяет транслировать видео с экрана рабочей станции сотрудника в режиме реального времени. Данный инструмент востребован заказчиками для сбора доказательной базы при проведении расследований.