Новые вызовы внутренней информационной безопасности

Рустэм Хайретдинов, президент Ассоциации по вопросам защиты корпоративной информации BISA

Рынок DLP-систем можно считать зрелым. Конкуренция на уровне развития функций, отличающих одно решение от другого, в основном, закончилась. Крупные компании заняли определенные доли рынка и работают над масштабируемостью своих решений. Небольшие игроки разбрелись по нишам и полируют нишевые преимущества. На первый план теперь выходят не технологические новшества, а брендинг и долгосрочная стратегия, а соответственно, меняется рынок защиты от внутренних угроз.

Торговля роадмапом

На том рынке, на котором сейлз-цикл (несколько пилотов по разным решениям, выбор, бюджетирование на следующий год, конкурс, внедрение) может продолжаться год и более, сиюминутные преимущества отступают перед долгосрочным планированием. А потому компании стараются демонстрировать в пилотах не только текущее состояние их продуктов, но и функции, которые появятся лишь через год. На сленге продавцов такие демонстрации называются «торговлей роадмапом». Давайте и мы им немного поторгуем.

Что будем показывать клиентам через год? Поддержку протоколов очередного мессенджера или еще одного клона Linux? Интеграцию с шестым по счету SIEM-ом? Интерфейсы в виртуальной реальности? Неужели все значимые функции реализованы, и, как в антивирусах, разработчики должны вкладывать основные деньги не в развитие технологий, а в маркетинг?

Похоже, почивать на лаврах не стоит. Рынок защиты от внутренних угроз изменяется, и есть шанс, что опасность станет приходить не от прямых конкурентов. Прежде всего, меняется сам объект защиты – корпоративная информация. Она все больше теряет структуру, выходит из баз данных и размазывается тонким слоем по всей ИС в виде неструктурированных элементов –  сообщений и постов.

Да и сама ИС распространилась за пределы корпорации: данные находятся на мобильных устройствах, включая персональные, и в облачных сервисах, в том числе не контролируемых работодателем. Разбросанные по системе куски информации не хранятся в контейнерах, на которые можно повесить гриф, метку или другие атрибуты конфиденциальности. Они передаются через различные коммуникационные приложения, в разных форматах, по разным протоколам и зачастую в шифрованном виде.

Палочки-выручалочки для DLP

Производители DLP-систем приспосабливаются к новым реалиям с помощью технологий, сводящих современные задачи к тем, которые они умеют решать. Информация анализируется «как есть», без привязки к грифам и меткам, поддерживаются все мыслимые форматы и протоколы, проблему шифрования решают MITM-технологии на шлюзе либо снятие информации с клиентских компьютеров и мобильных устройств прежде, чем она будет зашифрована в канале.

Хуже обстоит дело с другой новой особенностью – сообщения поступают чаще, но становятся меньшими по размеру. Уже достигнут средний критический размер сообщения, после которого падает эффективность методов категоризации информации, основанных на семантических и статистических алгоритмах. Спецслужбы столкнулись с этим феноменом раньше, когда преступники перешли с мобильных телефонов на мессенджеры, и теперь разработанные способы решения проблемы реализуются и в гражданских продуктах. Современные DLP-системы умеют восстанавливать длинные диалоги, в том числе начатые по одному каналу, а продолженные по-другому, и анализировать беседу целиком.

DLP-приложения все больше пересекаются по функционалу с SIEM: уже давно анализируется не только содержание информационного обмена, но и контекст – местонахождение собеседников, время, устройство связи, приложение, через которое идет обмен, и др. Это – требования рынка, поскольку большая часть  конфиденциальной информации не является «абсолютно конфиденциальной» (запрещенной к любому перемещению за пределы ИС). Передача одного и того же контента в некоторых случаях является легитимной операцией, а в других – нет. Но как различать такие операции?

Например, DLP-система перехватывает письмо с детализацией звонков с номера, зарегистрированного на гражданина Иванова, на адрес ataman1974@yandex.ru. Пропускать или блокировать? Только контента сообщения для принятия решения недостаточно. Сообщение легитимно, если, во-первых, данный адрес указан в клиентской карточке Иванова как предназначенный для контактов (эта информация находится в CRM), и, во-вторых, сам Иванов заказал детализацию звонков (сведения имеются, скажем, у операторов call-центра). В DLP таких данных нет, поэтому для борьбы с ложными срабатываниями системе надо сообщать контекст любого перемещения информации.

На заре DLP-эры, когда эти системы стали контролировать разные каналы, они были вынуждены распознавать сотрудников по разным идентификаторам – ими могли оказаться имя-фамилия (на русском или английском), адрес электронной почты и пр. Потом понадобилось разрешать какие-то операции в рабочее время и запрещать во внерабочее, и DLP-системы стали учитывать время. А сегодня DLP-системы собирают, хранят и анализируют практически все события и их атрибуты, сгенерированные человеком.

Было бы некорректно сравнивать функциональность DLP-систем с SIEM-продуктами. Сфокусированность первых на действиях пользователей и атрибутах применения ими контента выдвигает гораздо меньшие требования к производительности. А для SIEM-продуктов быстродействие – один из ключевых параметров наряду с количеством коннекторов к другим системам. DLP-системы стремятся генерировать события с помощью собственных перехватчиков и агентов на рабочих станциях, хотя многие из них уже могут загружать информацию из других систем.

При этом надо понимать: количество собираемых данных сейчас настолько велико, что оказалось возможным применять к ним методы, специфические не для DLP, а для классических систем обработки больших данных. При постепенном падении роли алгоритмов анализа контента в DLP-системах такие методы становятся «палочками-выручалочками», если, конечно, эти системы способны выполнять свою базовую функцию предотвращения утечек, а не превращаются в пассивное средство проведения расследований из-за увеличения числа ложных срабатываний.

Новые технологии DLP-систем

Репутационный анализ. Любое подозрение на инцидент рассматривается с точки зрения предыдущей истории инцидентов с этим контентом или абонентом. У каждого пользователя или защищаемого объекта появляется репутация – «склонность к нарушениям» первых и «желанность для похищения» вторых. Репутация используются при вынесении вердикта по каждому из инцидентов.

Корреляции событий. Вне зависимости от контента событие с его участием может считаться инцидентом при наличии определенного сочетания атрибутов и бизнес-контекста (например, времени и способа выхода в эфир).

Анализ поведенческих аномалий – отклонений от стандартного поведения пользователей. Стандарты поведения «де-факто» определяют, исходя из наблюдений за действиями пользователей. В общем случае стандарт поведения «де-факто» может отличаться от стандарта «де-юре», что дает пищу для размышлений о разумности установленных правил.

Пользовательское поведение далеко не всегда совпадает с правилами. Рассмотрим простой кейс из области трудовой дисциплины. Например, рабочий день начинается в 9:00, но большинство сотрудников приходят на работу в 9:07, что связано с расписанием движения маршрутки от метро до бизнес-центра. У тех, кто устанавливает правила, есть выбор:

  • обязать сотрудников приезжать на предыдущей маршрутке, в 8:37;
  • изменить время начала работы или ввести допустимый диапазон опозданий;
  • изменить расписание маршруток.

Новые технологии позволяют расширить функционал DLP-систем, добавить к датацентрической модели безопасности (контроль над данными) персоноцентрическую модель (контроль над людьми). Алгоритмы внедряются постепенно, подобно тому, как менялись алгоритмы анализа спама. Если в 1990-е гг. основными алгоритмами его детектирования были лингвистические, то потом к ним стали понемногу добавлять распознавание образов, репутационные алгоритмы и корреляции, которые к нынешнему времени если и не вытеснили лингвистику полностью, то отправили ее на второй план. В области DLP тренд четко обозначился в последние два года – только семантика и «отпечатки» с ситуацией справиться уже не позволяют.

На кону – лидерство

В этой ситуации я бы уже начал беспокоиться о российских производителях DLP-систем. Что бы ни говорили об импортозамещении, но прежде их лучше всяких сертификатов и реестров защищало наличие прекрасно подготовленных отечественных лингвистов. Пока семантика была основной технологией категоризации информации, наши производители в честных тестах показывали лучшие результаты детектирования конфиденциальных данных, более четкую работу с полнотекстовыми индексами и другие преимущества, существенные для российских пользователей. Как только эта технология станет второстепенной, конкуренция придет не только со стороны иностранных DLP-производителей, но и со стороны SIEM-продуктов и новых технологий UBA, применяющих методы анализа больших данных для контроля над пользователями и вовсе не использующих семантику.

Большие данные многое меняют. Так, в соревновании разных технологий, обеспечивающих машинный перевод, большие данные начинают по очкам выигрывать у лингвистических моделей: движок Google Translate, обучающийся на основе информации об уже сделанных переводах, теперь не уступает сложным семантическим движкам. Возможно, то же самое произойдет в системах внутренней информационной безопасности. Кто быстрее добежит до финишной черты нового поколения продуктов – SIEM и UBA, научившиеся работать с контентом, или DLP, освоившие большие данные и машинное обучение? Кому проще начать выполнять работу «соседа»? SIEM обучится лингвистике или сможет с помощью нелингвистических технологий обеспечивать точность лингвистических? Либо DLP научится обрабатывать события и данные таким образом, что оставит SIEM лишь функции противодействия внешним угрозам, полностью вытеснив их из области обработки событий, сгенерированных людьми?

Вопросы непростые, но и вызов серьезный: на кону – лидерство в крупном сегменте рынка.

Тэги: 
Оцените материал:
Total votes: 25

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.