Журнал "Information Security/ Информационная безопасность" #3, 2021

36 • СПЕЦПРОЕКТ сивные технологии с элементами искусственного интеллекта, которые сократят число ложных срабатываний и будут эффек- тивно ловить утечки. Алексей Кубарев, Ростелеком-Солар: Мы применяем технологии машинного обучения в своей DLP-системе для детек- тирования печатей и графических объектов, а также исследуем применимость машинного обучения для тонкой настройки политик системы. Чтобы осуществить точную настройку, требуется четкое описание информационных объектов, тогда можно свести ложные срабатывания к минимуму. К сожалению, гарантировать отсут- ствие ложных срабатываний ни одна DLP-система не может. Словарь – лишь малая толика политики DLP. У ведущих вендоров есть много других методов, которые работают в ком- плексе: атрибуты, шаблоны, цифровые отпечатки и др. Алексей Дрозд, СёрчИнформ: Некачественный поиск – проблема не DLP как класса, а отдельных вендоров. В "СёрчИнформ КИБ" реализовано более 10 видов поиска, их можно комбинировать. Мы постоянно добавляем новые виды, чтобы снизить число ложных срабатываний: по комбинации фраз, по последовательности символов, наше собственное ноу-хау – поиск похожих. Но и "примитивные" поиски тоже имеют право на жизнь. Например, тот же стемминг нужен, когда требуется найти что-то специфическое – термин, сленг, иноязычное заимствование, когда "умные" алгоритмы могут перемудрить и выдать мусор. Все зависит от задачи. Эти виды поиска с ними справляются, так что не вижу смысла в нейро- сетях с машинным обучением – результат достигается проще и дешевле. Анна Попова, Infosecurity: На сегодняшний день техно- логия машинного обучения в DLP не получила своего развития. В некоторых системах на рынке она уже применяется, но это еще довольно сырые решения, ведь для зрелости необходимы большой объем данных и время на обучение. Поэтому основной остается старая добрая настройка правил силами ИБ-специа- листов в зависимости от требований заказчика, его отрасли и внутренних бизнес-процессов. Если же у штатных сотрудников недостаточно компетенции для скрупулезной настройки, всегда можно прибегнуть к сервис-провайдеру, который предоставит специалистов и услуги. Только так можно повысить качество работы DLP. Надежность и совместимость Надежность и безотказность работы DLP-системы олицетворяют нашу ответ- ственность перед бизнесом, который доверил нам заботу о своей информа- ции. Но вопросы качества работы систе- мы как программного продукта огорчают заказчиков чаще, чем им хотелось бы. Сложно говорить о высоконаучных мет- риках эффективности, когда системы показывают нестабильную работу, вызы- вают различного рода ошибки памяти, сбои в модулях индексации. А вопросы совместимости DLP в работе с прило- жениями и почтовыми системами, по моим ощущениям, будут преследовать заказчиков еще довольно продолжи- тельное время. Александр Клевцов, InfoWatch: Перечисленные про- блемы могут говорить о наличии у системы "детских болезней". Мне трудно представить, что в 2021 г. у зрелой системы есть проблема совместимости с почтовыми сервисами – ведь это основы DLP. Настоятельно рекомендую заказчикам требовать от вендора пилотный проект, чтобы выявлять подобные болезни, а заодно и проверять стабильность функционирования системы на большом количестве рабочих мест, генерирующем достаточный поток передачи данных. Анна Попова, Infosecurity: На сегодняшний день все системы работают стабильно тогда, когда им уделяется должное внимание. Да, DLP – сложные системы с широкими возможностями, и успешность их эксплуатации во многом зависит от того, как они настроены. Регулярная поддержка системы со стороны сервисной компании позволяет избежать этого опыта на 99,9%, ведь в их зоне ответственности как обеспечение бесперебойности работы, так и адекватная настройка под требования бизнеса. Алексей Дрозд, СёрчИнформ: Вопросы совместимости, действительно, есть, потому что не все вендоры DLP сотрудни- чают с производителями остального софта. Пока происходит "война брони и снаряда", то если нет партнерства с разработ- чиками, например, ОС, DLP всегда будет в роли догоняющего. Но это вопрос решаемый: например, у нас есть опыт интеграции с отечественными ОС (Astra Linux, РОСА, Ред ОС и др.), когда мы получаем предрелизные сборки новых версий и можем оперативно "подогнать" КИБ под них. Другой вариант – вклю- чаться в программы бета-тестирования, вроде Windows Insider от Microsoft, но таких программ, увы, мало. Ведь условному WhatsApp с миллиардной аудиторией нет дела, что какой-то локальный вендор DLP не сможет стабильно перехватывать информацию. Владимир Ульянов, Zecurion: Чаще всего трудности с интеграцией в корпоративную среду испытывают сложные продукты, с разрозненными модулями. Нет ничего удивитель- ного в сбоях и проблемах, когда каждый модуль – фактически отдельный продукт со своей консолью управления и собствен- ными политиками безопасности. Даже если повезет успешно внедрить подобный продукт в корпоративную среду, эффек- тивность такой кусочной защиты представляется сомнительной. Для эффективной работы как с технической точки зрения, так и с позиций защиты от угроз DLP должна быть единым продук- том с омниканальными политиками безопасности, настраи- вающимися централизованно для всех каналов и модулей. Алексей Кубарев, Ростелеком-Солар: Отказоустой- чивость системы всегда закладывается в проект, и обычная ее цена – усложнение требуемой ИТ-инфраструктуры. Соглашусь, что основные неприятные моменты у любой DLP-системы воз- никают на уровне конечного хоста, а именно совместимости с новыми версиями перехватываемых приложений. Это вечная гонка для DLP-систем, и здесь ничего не поделаешь: заказчику можно только посоветовать всегда закладывать в бюджет стоимость обновления до новых версий. Наш продукт Solar Dozor – высокопроизводительная система класса Enterprise, которая подтвердила свою надежность в режиме блокировки на 400 тыс. контролируемых хостах. Дмитрий Горлянский, Гарда Технологии: Многие сотрудники отделов ИБ, особенно из числа молодых специа- листов, хотят иметь "серебряную пулю", которая сможет все. Но если десять лет назад б ó льшая часть задач DLP решалась обычным сниффером, то сейчас чуть ли не под каждый мес- сенджер требуется написать свой механизма контроля. Из-за возросшего количества подобных интеграций с ОС, с приклад- ным ПО, со сторонним софтом и возникает повышенное коли- чество ошибок. Другая проблема – противоречия в удобстве развертывания, использования и безопасности. Например, очень многие сейчас пользуются терминальными серверами для работы с критическими данными. А для любой DLP- системы работа на терминальном сервере – повышенный риск отказа каких-либо компонентов. В результате, с одной стороны, мы имеем единую точку доступа к информации, с другой – проблемы с ее контролем. Комментарии экспертов