Журнал "Information Security/ Информационная безопасность" #3, 2021

Обнаружить инцидент, задействовав минимум ресурсов, – только первый этап, на котором DLP-систе- ма должна уметь показать свою эффективность. Основные трудозатраты наступают с переходом на этап расследования. Бизнес обычно не согла- совывает свои действия с ИБ, не уведомляет об изменениях и редко прино- сит в отдел ИБ шаблоны новых документов, которые нужно защищать. риски безопасности с исполь- зованием технологий машин- ного обучения. В DLP-системе InfoWatch Traffic Monitor, например, за это отвечает модуль предиктивной анали- тики InfoWatch Prediction, спо- собный "увидеть" в разрознен- ных событиях цепочку и пред- упредить службу безопасности до того, как наступит реальная угроза. И снова, чтобы не перегру- зить безопасника и помочь с приоритизацией событий, важно, чтобы DLP-система сама уведомляла специалиста ИБ, на что ему стоит обратить вни- мание. Например, с помощью того же модуля предиктивной аналитики InfoWatch Prediction можно автоматизировать опо- вещения об аномальном пове- дении и даже цепочке событий. Офицеру безопасности остает- ся только настроить, что он хочет видеть и как часто хочет получать оповещения. Анализ данных должен быть удобным Обнаружить инцидент, задей- ствовав минимум ресурсов, – только первый этап, на котором DLP-система должна уметь показать свою эффективность. Основные трудозатраты насту- пают с переходом на этап рас- следования: требуется переко- пать горы данных, нащупать направление и по крупицам вос- становить картину произошед- шего. Увеличить скорость реак- ции специалисту ИБ помогают инструменты визуальной ана- литики. Может ли офицер безопасно- сти сам быстро составить марш- рут движения конфиденциаль- ного документа и провести рас- следование утечки за пять минут? Скорее всего, нет. Но если он обратится к инструмен- ту визуальной аналитики дан- ных DLP и построит граф пере- мещения информации, то тут же увидит, в каком направлении вести расследование дальше: кто создал документ, куда его отправлял и какими способами, когда документ покидал пери- метр компании и т.д. Даже с учетом различных нюансов, возникающих во время "жиз- ненного пути" документа. Например, "договор" и "дого- вор_правки" – это может быть один и тот же документ, назва- ние которого в процессе его "путешествия" дополняется ком- ментариями и пометками. Фак- торы такого рода не должны стать помехой для поиска. DLP должна быть актуальной Любая компания – это живой организм, и процессы в ней постоянно меняются. Бизнес обычно не согласовывает свои действия с ИБ, не уведомляет об изменениях и редко приносит в отдел ИБ шаблоны новых документов, которые нужно защищать. Как успевать за ско- ростью изменений? На графе связей визуально выделятся то, что зачастую остается вне зоны внимания безопасника, например, комму- никации с одним адресатом по двум параллельным каналам – личному и корпоративному, общение с уволившимися сотрудниками, отправка данных самому себе на личный адрес и другие действия, несущие потенциальную опасность для сохранности конфиденциаль- ной информации. В частности, и такое можно увидеть, исполь- зуя инструмент визуализации InfoWatch Vision. Второй пример – когда нужно оперативно настроить политику защиты новых типов докумен- тов, появляющихся в компании. Ведь было бы идеально делать это автоматически. В InfoWatch такую технологию на основе ИИ сделали. Это "Автолингвист". Он позволяет автоматически настроить политику защиты документов такого же типа. Следующий логичный шаг – вовремя узнать о появлении новых типов документов в ком- пании. Это означает, что нужно научить DLP автоматически категоризировать данные. Кто сделает это первым, тот сможет доказать рынку и клиентам, что он действительно понимает боль безопасников, работаю- щих с DLP-системами, и спосо- бен думать на несколько шагов вперед с позиций заказчика. l Благодарим экспертов ГК InfoWatch Александра Клевцова и Марину Маркелову за помощь в подготовке материала. • 31 DLP www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Реклама