Журнал "Information Security/ Информационная безопасность" #3, 2021

• 35 DLP www.itsec.ru Гибкость настройки политик Для четкого описания документов кон- фиденциального характера требуется гибкая настройка правил. Нередко я замечаю тупиковую, на мой взгляд, прак- тику, основанную на словарях, когда вендоры считают, что если встречается слово "работа", то мы обязательно имеем дело с человеком, желающим сменить работу. Особенно нелепо это выглядит, когда системы определяют корни в слове, например "разРАБОТАли". Воз- можно, применяя технологии машинного обучения на площадке заказчика, полу- чится добиться более точных результа- тов при поиске инцидентов. Несомненно, данные методы потребуют больше ресур- сов от инфраструктуры заказчика и вре- мени его квалифицированных специа- листов. Но, несмотря на это, пора начать более широко применять нейросети с учителем. Механизм машинного обуче- ния уже можно встретить в некоторых западных DLP. Мы наблюдаем приме- нение подобных технологий и у отече- ственных производителей в виде подси- стем распознавания лиц и машинного зрения. Дмитрий Горлянский, Гарда Технологии: Дей- ствительно, тенденция использования DLP как инстру- мента расследований значительно усилилась за последние годы. Несмотря на обилие инструментов, формальное описание инцидента остается довольно сложной задачей. Часто данные DLP-систем используются как фактор "подо- зрительности", а инцидентом является уже совокупность событий, причем поступивших не только из самой DLP- системы: например, факты клавиатурного ввода в опре- деленных документах, факты отправки почты без темы письма и др. Роман Ванерке, ДиалогНаука: Безусловно, первичная задача DLP системы – обеспечивать защиту конфиденци- альной информации при ее использовании, хранении или передаче. Но появившиеся инциденты ИБ необходимо рас- следовать. Подход к архивации трафика имеет как свои плюсы – возможность провести ретроспективный анализ, так и ограничения, например высокие требования к подси- стеме хранения или возможность получить доступ к чувстви- тельным данным сотрудника. Проактивная защита требует более тонкой настройки DLP-системы, выверенных процессов и сильной команды. Зачастую как раз поэтому именно "архи- ваторы" находят более широкое распространение среди заказчиков. Алексей Кубарев, Ростелеком-Солар: Современные DLP-системы позволяют блокировать утечки, вопрос лишь в том, кто применяет систему. Например, служба информа- ционной безопасности заинтересована в режиме блокировки, который, по сути, является технической реализацией режима коммерческой тайны. А вот службе экономической безопасности блокировки неинтересны, их больше интересуют оперативно- розыскные мероприятия и наличие в системе богатой аналитики, которая есть далеко не во всех решениях. На практике блоки- ровка утечек используется в довольно зрелых в плане ИБ организациях – лидерами являются банки и представители финансового сектора. Алексей Дрозд, СёрчИнформ: Действительно, на Западе DLP понимают как, по сути, блокировщик трафика, что-то вроде proxy. Аналитика и форензика там востребованы не в рамках ИБ, а в риск-менеджменте и комплаенсе. В России же запрос на "спайку" функционала шел от бизнеса, у нас внутренняя ИБ исторически ближе к "следствию", чем к администрированию, отсюда и различия. "Зарубежное" исполнение DLP в виде бло- кировщика не справится, если требуется не перерубить все исходящие каналы, а установить хоть сколько-то гибкие правила контроля, поэтому комбинированный подход в целом выигрывает. Он также позволяет делать выводы по итогам расследований и менять процессы так, чтобы нарушения не повторялись. Дмитрий Горлянский, Гарда Технологии: Поддержу еще одним примером: выявление мошенничества по наличию слова "откат" на кабельном заводе, где откаты катушек кабеля происходили по сотне раз в день. Словари неплохо могут себя зарекомендовать для определения тематики большого объема данных – переписка в мессенджерах и соцсетях, тематические сайты ("Форекс" и др.). Но они не подходят для работы с небольшими текстами. Роман Ванерке, ДиалогНаука: Простые механизмы выявления конфиденциальной информации, такие как ключе- вые слова, словари, регулярные выражения, могут приме- няться, но требуют аккуратного использования и тонкой настройки. Встроенные политики, которые, по сути, с помо- щью скриптов описывают защищаемые данные немного гибче, чем простые ключевые слова, – удобный способ базовой настройки системы. Цифровые отпечатки — гораздо более точный способ обнаружения конфиденциальной информации, но, чтобы этот механизм работал качественно, необходимо на регулярной основе пополнять базу DLP соответствующими документами. Наиболее простой и удоб- ный способ – обучить систему с помощью ML. Один из вен- доров UEBA/SIEM решений предлагает такой сценарий: пересылать все выявленные DLP инциденты в UEBA для построения моделей поведения, а на выходе получать информацию о выявленных аномалиях, тем самым снижая загрузку офицера безопасности. Александр Клевцов, InfoWatch: Не перестаю повторять, насколько важно качество контентного анализа в DLP! Если в вашей DLP есть полноценный лингвистический анализ, учиты- вающий морфологию, значимость каждого слова в контексте документа, взаимоотношения разных словарей и многие другие особенности, это будет на несколько порядков эффективнее, нежели просто работа со стоп-словами. Технологии машинного обучения в Traffic Monitor давно применяются, и не только для качественного распознавания и защиты текстовой информации, но и для графики. Владимир Ульянов, Zecurion: Точность классификации информации и распознавание конфиденциальных данных крайне важна для DLP. Набор технологий контентного анализа является одним из важнейших критериев выбора. И если вендор предлагает скромный набор коробочных технологий и дополнительные услуги для "тонкой настройки словарей", стоит задаться вопросом об эффективности такой системы. Самая замечательная настройка словаря не заменит прогрес- Комментарии экспертов