Журнал "Information Security/ Информационная безопасность" #3, 2021

Рост угроз безопасности и необходимость контроля большего числа источников информации от DLP требует расширения функциональ- ных возможностей. "Гарда Аналитика" от "Гарда Технологии" суще- ственно расширяет возмож- ности DLP, выявляя группы риска среди сотрудников, фиксируя индикаторы нару- шений и превентивно обна- руживая их. "Гарда Аналитика" обес- печивает глобальную види- мость за счет интеграции и анализа информации из внутренних и внешних источников. Как работают DLP-системы в новых условиях DLP-система активно применяется для контроля дей- ствий сотрудников и защищает от утечек конфиденциальной информации, позволяет выявлять, оперативно рассле- довать инциденты безопасности и контролировать распростра- нение информации. Но в современных реалиях использование DLP-систем встречает ряд таких сложно- стей, как: 1. Рост объемов контроли- руемой информации. Значи- тельно увеличилось число кон- тактов и случаев передачи информации в онлайн-режиме, возрос и объем корпоративной переписки, появились корпо- ративные мессенджеры, значи- тельная часть деловой пере- писки теперь происходит в Whatsapp, Telegram и других мессенджерах. Это усложняет настройку правил детектиро- вания утечек, приводит к уве- личению количества ложных срабатываний и, как следствие, отнимает больше времени у специалистов по безопасности на разбор и анализ данных. 2. Формальное описание утеч- ки информации. Рассмотрим один из примеров, с которыми мы сталкивались в ходе экс- плуатации DLP-системы: дан- ные об объемах продаж за полу- годие переданы в виде таблицы с цифрами без каких-либо ком- ментариев, только дата и сумма. При этом таблица встав- лена в документ, который отправлен сотрудником на лич- ную почту. Сам документ не является важным объектом, это, предположим, дипломная рабо- та, которую сотрудник делает в свободное время. Таким обра- зом, с точки зрения DLP-систе- мы это не является инцидентом, так как нет никаких данных, которые она могла бы само- стоятельно идентифицировать как критически важные. Ситуа- ция осложняется тем, что отправка личных документов на личную почту сейчас встреча- ется часто и сотруднику службы безопасности не хватает вре- мени разбирать каждый факт подобных срабатываний. Рост угроз безопасности и необходимость контроля боль- шего числа источников инфор- мации от DLP требует расши- рения функциональных возмож- ностей. Среди них – интеграция с другими системами безопас- ности, а также использование средств предиктивной аналити- ки, то есть поведенческий ана- лиз и выявление инцидентов по косвенным признакам и взаимосвязям между события- ми из множества систем без- опасности. Расширение возможностей DLP за счет комплексного анализа Комплексные решения, объ- единяющие в себе разные инструменты информационной безопасности, в том числе и DLP, позволяют единовременно конт- ролировать и внутренние, и внешние источники данных, доступ к базам данных, а также защищать доступ к корпоратив- ной сети извне. Они помогают автоматизировать все процессы обеспечения информационной безопасности, выявления пове- денческих отклонений пользо- вателей и систем. Для этого в системах ком- плексного анализа применяются инструменты поведенческой аналитики, построение связей и цепочек событий в момент времени, что позволяет настраивать индикаторы собы- тий, выстраивать последова- тельность событий, анализируя и обрабатывая каждое событие цепочки. 24 • СПЕЦПРОЕКТ От DLP к комплексной аналитике связи с переходом на дистанционный режим работы многие специалисты по безопасности столкнулись с проблемами удаленного доступа к критической информации. Вопросы контроля пользователей стали приоритетными. Использование привычных средств противодействия утечкам информации, таких как DLP-системы (Data Leak Prevention, предотвращение утечек), потребовало новых подходов и дополнительных функций, так как устоявшиеся методы борьбы с утечками перестают работать. В Дмитрий Горлянский, руководитель направления технического сопровождения продаж “Гарда Технологии” Аналитическая платформа "Гарда Аналитика" – основа экоси- стемы безопасности "Гарда Технологии" – всестороннего ком- плекса защиты от угроз информационной и экономической без- опасности, с которым интегрируются системы информационной безопасности "Гарда Предприятие", "Гарда БД", "Гарда Мони- тор", а также другие информационные системы. Ключевые возможности платформы "Гарда Аналитика": l Поиск последовательности событий среди огромного количе- ства данных, поступающих из различных внутренних и внеш- них источников l Выявление и построение связей между объектами реального мира l Обнаружение угроз безопасности на основе поведенческого анализа с помощью методов машинного обучения l Автоматизация деятельности службы безопасности l Система открыта для подключения дополнительных инфор- мационных систем и бизнес-приложений Технологическая платформа BigData позволяет выявлять инци- денты в реальном времени, оценивать поведение, а также пре- вентивно реагировать на мошенничество.