Решения класса Data Loss Prevention (DLP) и Employee Monitoring (ЕМ) – классические инструменты специалиста информационной безопасности. Тем не менее, до сих пор существует путаница, в каких сценариях и для каких задач выбрать DLP или EM, когда нужны сразу оба решения и в чем отличия между ними. Сегодня в режиме неформального диалога мы поделимся примерами из практики ИБ по использованию DLP и EM. И чем данные из этих систем могут быть полезны руководству и подразделениям ИТ и HR.

Решения класса Data Loss Prevention (DLP) и Employee Monitoring (ЕМ) – классические инструменты специалиста информационной безопасности. Тем не менее, до сих пор существует путаница, в каких сценариях и для каких задач выбрать DLP или EM, когда нужны сразу оба решения и в чем отличия между ними. 

Сегодня в режиме неформального диалога мы поделимся примерами из практики ИБ по использованию DLP и EM. И чем данные из этих систем могут быть полезны руководству и подразделениям ИТ и HR.

  • Как отрабатывают системы защиты от утечек и мониторинга активности сотрудников в комплексе для профилактики и выявления рисков, предотвращения утечек, расследования инцидентов.
  • Какую пользу несут системы ИБ для HR при принятии решений о поощрении сотрудников, повышения или добавления в кадровый резерв.
  • Shadow IT или как помочь ИТ-департаменту узнать, пользуются ли сотрудники внедренным софтом и сервисами либо же сами ставят себе софт.
  • С чего начать или как Employee Monitoring поможет обосновать необходимость внедрения DLP системы в организации.

    • На прошлом мероприятии мы внимательно разбирались для каких целей существует система Employee Monitoring. Сегодня будем подробно рассматривать цели и задачи системы Data Loss Prevention (DLP). Когда нужны сразу оба решения EM и DLP, в чем отличия между ними. 

    Сегодняшнее мероприятие проведет Александр Коробко, руководитель направления InfoWatch Employee Monitoring, он на прошлом мероприятии рассказал про Employee Monitoring, а сегодня подробнее рассмотрит продукт DLP.

    DLP-решения больше связаны с огромными потоками информации, которая при этом достаточно часто меняется. Хранится она в различных источниках и вручную ее анализировать, как это, например, можно сделать с решениями Employee Monitoring, очень сложно. Поэтому фокус DLP решений в том, чтобы смотреть на информацию по максимальному количеству каналов, предотвратить злоупотребления полученными данными, определить, где они находятся, кто ими пользуется, как ими обмениваются.

     

    Для чего нужна DLP-система? Она может предотвратить утечки конфиденциальной информации клиентских и персональных данных, предотвратить коррупцию, воровство, мошенничество, саботаж, выявлять нелояльных сотрудников и нецелевое использование ресурсов, обеспечить выполнение требований регуляторов. 

    В нужное время проанализировать и заблокировать сотрудника или источник, если это нарушает политики безопасности. Делать это по огромному количеству документов вручную, отсматривать каждый такой инцидент, выдавая вердикт по каждому – нереально. И ни один специалист ИБ сегодня этим не занимается на регулярной основе. Опросы компании InfoWatch показывают, что они могут уделить этому не больше 2 часов в день. Поэтому для DLP системы характерна автоматизация и технологии контентного анализа.

    DLP система от InfoWatch осуществляет контроль за всеми необходимыми каналами коммуникаций, использует патентованные технологии для эффективного поиска конфиденциальной информации, помогает автоматизировать работу ИБ-сотрудников, осуществляет точный контентный анализ для работы в режиме блокировки.

    Рассмотрим следующий кейc: пример утечки. Т.е. это ситуация, когда сотрудники сговариваются и переводят VIP-клиентов в другие банки. 

    Давайте посмотрим, как на это смотрит система предотвращения утечек. В принципе, любая DLP система здесь увидит фамилию, имя и контактный телефон. Не каждая DLP система увидит здесь процентную ставку, и, может быть, эту информацию пропустит. И для большинства DLP систем это будет сигналом о том, что вводятся персональные данные, следовательно, нужно реагировать. 

    Но надо ли? Мы считаем, что простого вывода недостаточно. И если посмотреть на это сообщение слева, то это утечка. А та же самая информация в подписи сотрудника, где есть имя, фамилия и телефон – совсем не утечка. В этом как раз состоит ценность DLP системы, потому что она может эти вещи различить. У InfoWatch есть технологии, которые специально предназначены для этого. Это в том числе патентованные технологии. 

    В нашем случае такое сообщение разбивается на части, которые находятся в защищаемой базе данных. Есть контакт: имя и фамилия, есть телефон и есть процентная ставка этого человека. Можно сказать, что если нам встречается имя, фамилия и контактный телефон, то это нарушение. Если же это какая-то другая комбинация или не встречено достаточное количество столбцов из нашей базы данных, то это не утечка.

    Другой момент, который касается DLP решений, это анализ графики. Сегодня многие решения научились работать с графикой, они могут вытаскивать текст прямо из картинок. Это не слишком сложная задача. Многие разработчики уже встроили оптическое распознавание в свои продукты. 

    Но существуют совершенно зубодробительные файлы и типы документов в конструкторской документации, это слоистые диаграммы, специализированное ПО. И вот с такими документами очень сложно работать многим DLP системам. InfoWatch запатентовала отдельную технологию детектирования графической информации. При этом программный продукт детектирует не только самые сложные форматы, если человек информацию переносит отдельными частями, например, какой-то отдельный узел из общего чертежа, отдельный блок, то InfoWatch это тоже может определить, и защитить конкретный элемент чертежа, даже если он будет добавлен в какой-то другой чертеж.

    У некоторых пользователей создается ложное впечатление, что DLP все одинаковы. Однако это не так. Кроме того, сейчас рост утечек баз данных увеличился процентов на 30 по сравнению с годами до пандемии. Это в InfoWatch заметили еще в 2020 году применительно к выгрузкам из баз данных. Все говорят, что могут их защищать. Понятно, что базы – это лакомые куски для того, чтобы взять их с собой и выгодно продаться новому работодателю. 

    Но, когда речь идет о защите баз данных, кто-то привязывается к формату, кто-то - к хэш-суммам, а кто-то - к регулярным выражениям. Т.е. в данном кейсе можно по регулярным выражениям найти имя, фамилию, номер телефона. Потому что это паттерн, который можно задать регулярным выражением. Но при этом произойдет такое огромное количество ложно-положительных срабатываний, что придется слишком много времени тратить на то, чтобы с ними разобраться. Поэтому, если говорить про специализированные технологии, то у баз данных это, во-первых, внешний источник. Т.е. мы интегрируемся с внешними базами данных, постоянно пополняем информацию о том, что защищаем, т.е. синхронизируемся. И не просто один раз нам загрузили базу данных, а мы сами постоянно запрашиваем, что нового там появилось? 

    Поэтому, во-первых, мы защищаем актуальные слепки баз данных. А во-вторых, можно сказать, какие конкретно ячейки в этой базе данных по-настоящему значимы. Т.е. если сотрудник просто отправил имя и фамилию, может быть в этом нет никакой проблемы. Если же он отправил две строчки с VIP-клиентами, где указаны имя, фамилия, e-mail, ИНН, СНИЛС и процентная ставка, по которой обслуживается клиент, то это уже значимый набор данных, и его нужно защищать. И такая технология работает по ряду баз данных, очень быстро по ним пробегает, и «безопаснику» становится жить гораздо проще.

    Для DLP системы очень важно быстро обучаться новым измененным данным. DLP системы прекрасно научились защищать различные форматы, разные документы можно загружать в систему и находить похожие. И InfoWatch сейчас старается тоже в этом направлении двигаться и автоматизировать этот процесс. У нас сейчас можно взять коллекцию документов, подгрузить в DLP систему, и она сама разложит по полочкам, что к чему относится. Сейчас, если у вас появился новый процесс, новый набор документов, не надо полгода ходить внутри организации, и проводить аудит, какие документы новые, какие надо защищать, как защищать, кто ими должен пользоваться. Сегодня все это будет делаться автоматически и без участия специалиста. Заказчики InfoWatch сегодня могут самостоятельно адаптировать DLP систему под изменяющиеся процессы.

    Целый набор DLP решений и некоторые из Employee Monitoring решений заточены под то, чтобы просто находить какие-то ключевые слова, но этого обычно недостаточно. К тому же, чтобы находить комплексные словесные конструкции, нужно быть по меньшей мере лингвистом. И немаловажный момент – это возможность DLP системы расширять контролируемый канал. DLP система не просто работает с потоками данных и с документами. Это не просто файлы офисных форматов, не просто pdf или какие-то документы, которые можно распечатать. Ценная информация хранится не только в виде файлов. Она хранится и в виде кусков выгрузок, и в базе данных, и в виде отдельных сообщений. Поэтому возможность интеграции - это ключевой момент для DLP системы, чтобы не просто контролировать какую-то часть, а иметь возможность встраиваться в новые появляющиеся бизнес-системы.

    На практике, когда в InfoWatch оценили массовый переход на удаленку, то заметили следующую ситуацию. Людям, ранее работавшим с информационной системой и периодически делавшим выгрузки из CRM-систем, из складских систем, теперь, на удаленке, стало работать неудобно. Доступ тормозит, на терминале неудобно хранить эти файлы. Сотрудники решают сделать выгрузку и сохранять ее у себя на личном компьютере. InfoWatch научилась работать с такой ситуацией, научилась с этим бороться. Здесь нам очень сильно помогает интеграция и набор каналов, которые контролируются. Помимо этого, конечно же, облачные сервисы хранения, публикации в соцсетях и контроль мобильных сотрудников, когда даже на мобильных устройствах можно получить информацию о пересылаемых файлах, о том, как люди работают с документами. И при этом это не какое-то тяжеловесное приложение на смартфоне или специальное выделенное устройство, а просто контейнер, находящийся на смартфоне, но который отделен от личного устройства и работает только с корпоративными данными. Поэтому, сравнение Employee Monitoring и DLP не совсем корректно сегодня. Это все равно, что сравнивать носимую оптическую военную систему с тепловизором и прибором ночного видения с дополненной реальностью и тяжеловесную бронированную гусеничную технику. Сегодня это комплементарные решения, которые позволяют найти нужные кусочки пазла. Поэтому такое сравнение не означает, что одно решение неподходящее или глупее другого, или что нужно выбирать какое-то одно. Просто всегда проще начать с чего-то одного.

    Мы понимаем, что решения таких классов в лоб сравнивать просто нецелесообразно, поэтому мы и говорим о комплементарности, о том, что ко всем продуктам InfoWatch, которые решают какую-то задачу, и которые собирают какие-то части данных, можно добавить дополнительные аналитики. И, в первую, очередь - визуальные. Показать, кто с кем коммуницирует, как часто, кто оторван от коммуникаций. И показать, как в организации ходят документы. Это есть визуальная аналитика, которая гораздо проще, чем анализ цифр, чем анализ столбиков со статистикой или с конкретными событиями по нарушениям. 

    И превентивная аналитика, которая помогает выявить корреляции и резкие изменения. Т.е. по тем данным, которые собираются, сегодня можно делать превентивные выводы. Обратить внимание специалиста на то, что где-то произошел резкий всплеск. Например, человек прежде всегда был корректен в выражениях, но теперь у него в переписке стала появляться ненормативная лексика. Или человек раньше отправлял больше писем, чем делает это теперь. К тому же, он начинает опаздывать на работу. Возможно, он склонен к тому, чтобы покинуть компанию. 

    Такие выводы очень сложно делать регулярно и при большом количестве сотрудников выполнять вручную, поэтому мы добавляем дополнительную аналитику, которая в этом помогает. Логика клиентов и специалистов, которые работают в индустрии, теперь уже не бинарная. Мы уходим от Data Centric или People Centric Security. И закрывать сложные комплексные задачи и проекты можно уже не двумя решениями, которые предназначены каждый для своего рода задач, как прежде, а целым «зонтиком» решений.

    Если резюмировать, то Employee Monitoring решает такие задачи, когда нужно определить умысел, когда появились какие-то подозрения, которые нужно быстро проверить и доказать. DLP решения помогают выявить факт, помогают классифицировать миллионы документов, больше направлены на работу с конкретными данными, с контентом, которые позволяют быстро получить соответствие требованиям регуляторов. Т.е. это понятные меры, которые закрываются DLP решениями. Они уже обточены рынком, помогают защитить конфиденциальную информацию, персональные данные и снизить риски регуляторных санкций.

    Но комплексные проекты всегда имеет смысл закрывать «зонтиком». И мы в этом смысле должны двигаться к дополнительной аналитике и к тому, чтобы была возможность начать с малого. А дальше строить крепкую эшелонированную защиту, которую вы хотели бы эволюционным методом наращивать, начав с одного, аргументировать новые бюджетные ожидания и дополнять решаемые задачи просто новыми модулями и новыми компонентами. Это то, куда имеет смысл двигаться и добавлять новые ценности, новые аналитики по собираемым данным.

    2021-08-31 21:23:43
    Геннадий Ветров
     Готовые решения

    Сейчас на главной

    16 апр. 2024 г., 18:19:36
    Как реализовать проект VDI: на примере кейса Уральской инженерной школы

    Мероприятие дистрибьюторской компании OCS, а также российского разработчика системного и инфраструктурного ПО НТЦ ИТ РОСА и российского разработчика высокопроизводительных решений, расчётных комплексов и систем визуализации Forsite. На этом мероприятии спикеры компаний рассказали, как создать полностью функциональное и эффективное решение VDI с использованием серверов Forsite на базе отечественного программного обеспечения Rosa Virtualization и LoudPlay.

    Статьи Готовые решения «НТЦ ИТ РОСА»
    9 апр. 2024 г., 12:15:40
    Средства информационной безопасности для ОС Astra Linux

    Совместное мероприятие компаний OCS, «‎Группы Астра» и «Цифровые технологии» посвящено теме обеспечения безопасности контура средствами ОС Astra Linux. Спикеры говорят о настройке рабочего места для электронной подписи и безопасного обмена документами на примере программного средства Крипто АРМ ГОСТ и КриптоПро CSP. Темы выступлений спикеров: «Обеспечение контура безопасности средствами ОС Astra Linux» и «Особенности установки, настройки и эксплуатации криптографических средств на ОС Astra Linux Special Edition».

    Статьи ПО и Приложения ГК "Астра"
    8 апр. 2024 г., 10:00:00
    Краткое введение в актуальные тренды крипто-индустрии и знакомство с платформой Telegram Open Network (TON)

    Сегодня разговор пойдет в первую очередь о действиях на блокчейн TON (Telegram Open Network), касаемый других платформ.

    Статьи Финансы Telegram
    1 апр. 2024 г., 16:47:50
    Инструменты MIND для миграции и защиты виртуальной инфраструктуры

    Сегодняшнее мероприятие ведет Антон Банчуков – менеджер по развитию бизнеса компании MIND. MIND – это российская компания, основанная в 2021 году, она образована сотрудниками разных западных вендоров. Основной задачей компании является разработка программного обеспечения для обеспечения мобильности виртуальных сервисов и серверов.

    Статьи Готовые решения MIND
    26 мар. 2024 г., 15:48:01
    Развитие платформы Space VDI: новый функционал и особенности релизов 5.3-5.4

    Мероприятие OCS и «ДАКОМ М», российского разработчика импортозамещающей экосистемы виртуализации Space. Мероприятие посвящено обзору платформы Space VDI: ключевым нововведениям в релизах 5.3 и 5.4, а также вопросам адаптивности Space VDI к изменяющимся требованиям и оптимальному использованию ресурсов. Space VDI ждут серьёзные изменения, направленные на повышение отказоустойчивости решения, реализацию новых функций и увеличение общей производительности системы.

    Статьи ДАКОМ М
    18 мар. 2024 г., 19:48:58
    EKF Connect Industry: IIoT сделана в России

    На вопросы аналитического отдела iXBT.pro отвечает Артём Сергеев, директор бизнес-юнита Новые бизнесы EKF

    Статьи
    14 мар. 2024 г., 10:00:00
    «Базис» представил импортонезависимую экосистему решений для виртуализации ИТ-инфраструктуры

    (erid: 2VtzqxQgVfr) «Базис», российский разработчик решений для организации динамической инфраструктуры, виртуальных рабочих мест и оказания облачных услуг, первым в России представил импортонезависимую экосистему продуктов и технологий виртуализации с собственной кодовой базой. Входящие в состав экосистемы решения помогают заказчикам повысить долю использования отечественного ПО в рамках стратегий цифровой трансформации и соответствуют требованиям государства в части надежности и безопасности.

    Статьи Технологии и продукты «Базис»
    10 мар. 2024 г., 14:09:28
    Обзор возможностей решения Universe Data Governance

    Мероприятие OCS и DIS Group, российской IT-компании, которая предлагает решения в области управления данными, бизнес-аналитики, защиты информации, а также осуществляет консалтинг и внедрение проектов по данным направлениям. В рамках мероприятия будет проведён обзор основных сценариев использования, возможностей инструмента с точки зрения пользователей и администраторов решения.

    Статьи Готовые решения DIS Group
    5 мар. 2024 г., 11:00:02
    Олег Олейник: «Передовые устройства и решения появляются на стыке технологий»

    Группа компаний «Аквариус» существует на рынке с 1989 года и недавно отметила 35 лет. «Аквариус» прошел большой путь развития от компании, выполняющей OEM-заказы, до разработчика и производителя отечественного ИТ-оборудования на материнских платах собственной разработки и производства. Сейчас «Аквариус» является системообразующим предприятием российской экономики. Имеет три Центра разработок в стране и два собственных производственных комплекса: в Шуе и Твери. Обеспечивает полный производственный цикл выпуска высокотехнологичного оборудования, включая поверхностный монтаж, пайку компонентов и сборку устройств.

    Статьи Готовые решения «Аквариус»
    27 февр. 2024 г., 22:49:26
    Российское ПО Digital Signage SmartPlayer

    Мероприятие, посвящённое SmartPlayer – платформе для реализации мультимедийных проектов любой сложности и централизованного управления устройствами. К преимуществам решения относятся: возможность доработки ПО и разработки нового функционала под требования заказчика, кроссплатформенность и локальная техническая поддержка

    Статьи Готовые решения Smart Player
    Все новости