Анализ коммуникаций — красная таблетка для офицера внутренней безопасности
Узнать большеРоссийский рынок DLP-систем начал зарождаться примерно в 2005-2006 г., параллельно с мировым. Ежегодно он растет в среднем на 40%. Изначально возможности первых DLP-решений ограничивались анализом почтовых сообщений и http-трафика. Но постепенно к этому добавлялись новые функции.
Возможности современных российских DLP-систем
Современные российские DLP-системы, помимо основной функции предотвращения утечек информации, могут выполнять и ряд других. Так, при условии правильной интерпретации получаемых от этих решений данных, с их помощью можно решать следующие задачи:
· мотивация персонала. Понимание сотрудниками того, что их контролируют и оценивают, способствует повышению производительности, улучшает дисциплину и деловой климат в коллективе;
· формирование бэкапа важных данных. Конечно, полностью заменить специализированные решения для создания бэкапов, системы предотвращения утечек информации не могут. Но некоторую информацию с их помощью все же можно сохранить благодаря тому, что DLP формируют архив коммуникаций, включая отправляемые и получаемые файлы;
· разграничение доступа. DLP-система с активным контролем может взять на себя некоторые функции брандмауэра и ограничить выполнение определенных действий, например, отправку сообщений и файлов с запрещенным содержимым;
· формирование доказательной базы для решения споров и участия в разбирательствах. Архив коммуникаций, который ведет любая российская DLP-система, — это источник материалов, из которых может формироваться доказательная база для расследования инцидентов и решения спорных вопросов, в том числе и в суде.
Но все-таки основная задача DLP-решений — предотвращение утечек конфиденциальной информации. Рассмотреть функции и технологии, с помощью которых она решается, целесообразно на примере одного из лидеров по объему продаж на российском рынке — Solar Dozor. Система лидирует по количеству внедрений в российских компаниях. Она прошла сертификацию ФСТЭК и включена в ГИСП. Кроме того, решение совместимо с отечественной операционной системой РЕД ОС, а также с Astra Linux. Это — важный момент, в том числе и с учетом того, что согласно приказу Минкомсвязи России №96 от 01.04.2015, к 2025 году доля отечественных ОС в государственных учреждениях должна составлять не менее 50%.
Технологии, реализуемые в российских DLP-системах
Российские DLP-системы развиваются параллельно с аналогичными решениями от зарубежных производителей. Но при этом разработчиками делается упор на отечественный рынок, в том числе и с учетом особенностей русского языка. В частности, огромная работа проводится при реализации технологии поиска слов и фраз в русскоязычных сообщениях по сигнатурам (морфологический анализ). Российские системы из коробки имеют мощные модули анализа и обширные словари, к работе над которыми привлекаются лингвисты и другие специалисты по языку. За счет возможности добавления клиентом своих фраз и слов для поиска эффективность обнаружения ключевых слов и фраз в сообщениях значительно повышается. Морфологический анализ, используемый совместно со статистическим, поиском по регулярным выражениям, цифровым меткам и цифровым отпечаткам обеспечивает эффективный контроль трафика, сообщений и выявление в информационных потоках защищаемой информации.
Российскими разработчиками активно используются нейронные сети и технологии машинного обучения. В частности, в российской DLP-системе Solar Dozor применяется технология глубокого обучения нейросетей Faster RCNN. Благодаря ей значительно улучшается эффективность анализа графических файлов и поиска в них защищаемой информации. Технология позволяет распознавать печати, сканы документов и другие важные элементы даже в графических файлах, подвергшихся серьезным изменениям (отзеркаленные, с фильтрами, с искаженной формой и так далее).
Российские DLP-системы также успешно распознают важную информацию в сообщениях, написанных транслитом. При этом, благодаря технологиям машинного обучения нет жесткой привязки к словарям и правилам транслитерации.
Особое внимание российские разработчики DLP-решений уделяют поведенческому анализу пользователей (UBA). Эксперты отмечают перспективность этой технологии, считая, что ее использование в DLP повышает эффективность систем предотвращения утечек информации.
Модуль UBA появился в седьмом поколении лидирующей на российском рынке DLP-системы Solar Dozor. Совместно с модулем контроля рабочего времени он реализует концепцию People-Centric Security, в основе которой — внимание на сотрудниках компании, их поведении и связях.
Технология UBA позволяет:
· выявлять в автоматическом режиме аномалии в поведении сотрудников. Это позволяет находить работников уже на стадии подготовки к противоправным действиям;
· сопоставлять события информационной безопасности (инциденты) с аномалиями поведения сотрудников. Помогает в расследовании инцидентов и поиске источников утечек важных данных;
· выявлять тесные рабочие контакты, а также внешние связи работников;
· находить сотрудников, склонных к нарушениям по разным причинам: сложное финансовое положение, недовольство атмосферой в рабочем коллективе и так далее;
· выявлять работников, готовящихся к увольнению и склонных к тому, чтобы при этом прихватить с собой важные для компании данные.
Постоянно расширяются возможности российских DLP-систем по контролю различных каналов коммуникаций. Так, например, с 2020 году в Solar Dozor реализована возможность контроля переписки сотрудников компании в desktop версии мессенджера Telegram, популярность которого растет впечатляющими темпами (в январе 2021 года количество активных пользователей Телеграм превысило 500 000 000 — рост с апреля 2020 более 100 000 000).
DLP-решения могут интегрироваться с другими элементами системы информационной безопасности компании. В частности, благодаря интеграции с SIEM-системами последние эффективно реагируют не только на внешние, но и на внутренние угрозы. А DLP-системы, в свою очередь, при интеграции со сторонними решениями получают контекстную информацию об инцидентах, связанных с утечками. Это облегчает расследование инцидентов и ускоряет поиск источников утечек.
Российские DLP-системы не отстают от западных аналогов. А по некоторым параметрам даже превосходят их. Такое решение гармонично интегрируется в инфраструктуру компании, не конфликтует с другими элементами системы информационной безопасности и надежно защищает от утечек.
