Войти в профиль iXBT.com
Можно ввести логин и пароль от конференции
Забыли пароль?
Войти или зарегистрироваться через соцсеть

DLP или Employee Monitoring – выбираем инструмент исходя из задач

Решения класса Data Loss Prevention (DLP) и Employee Monitoring (ЕМ) – классические инструменты специалиста информационной безопасности. Тем не менее, до сих пор существует путаница, в каких сценариях и для каких задач выбрать DLP или EM, когда нужны сразу оба решения и в чем отличия между ними. 

Сегодня в режиме неформального диалога мы поделимся примерами из практики ИБ по использованию DLP и EM. И чем данные из этих систем могут быть полезны руководству и подразделениям ИТ и HR.

  • Как отрабатывают системы защиты от утечек и мониторинга активности сотрудников в комплексе для профилактики и выявления рисков, предотвращения утечек, расследования инцидентов.
  • Какую пользу несут системы ИБ для HR при принятии решений о поощрении сотрудников, повышения или добавления в кадровый резерв.
  • Shadow IT или как помочь ИТ-департаменту узнать, пользуются ли сотрудники внедренным софтом и сервисами либо же сами ставят себе софт.
  • С чего начать или как Employee Monitoring поможет обосновать необходимость внедрения DLP системы в организации.

На прошлом мероприятии мы внимательно разбирались для каких целей существует система Employee Monitoring. Сегодня будем подробно рассматривать цели и задачи системы Data Loss Prevention (DLP). Когда нужны сразу оба решения EM и DLP, в чем отличия между ними. 

Сегодняшнее мероприятие проведет Александр Коробко, руководитель направления InfoWatch Employee Monitoring, он на прошлом мероприятии рассказал про Employee Monitoring, а сегодня подробнее рассмотрит продукт DLP.

DLP-решения больше связаны с огромными потоками информации, которая при этом достаточно часто меняется. Хранится она в различных источниках и вручную ее анализировать, как это, например, можно сделать с решениями Employee Monitoring, очень сложно. Поэтому фокус DLP решений в том, чтобы смотреть на информацию по максимальному количеству каналов, предотвратить злоупотребления полученными данными, определить, где они находятся, кто ими пользуется, как ими обмениваются.

Для чего нужна DLP-система? Она может предотвратить утечки конфиденциальной информации клиентских и персональных данных, предотвратить коррупцию, воровство, мошенничество, саботаж, выявлять нелояльных сотрудников и нецелевое использование ресурсов, обеспечить выполнение требований регуляторов. 

В нужное время проанализировать и заблокировать сотрудника или источник, если это нарушает политики безопасности. Делать это по огромному количеству документов вручную, отсматривать каждый такой инцидент, выдавая вердикт по каждому – нереально. И ни один специалист ИБ сегодня этим не занимается на регулярной основе. Опросы компании InfoWatch показывают, что они могут уделить этому не больше 2 часов в день. Поэтому для DLP системы характерна автоматизация и технологии контентного анализа.

DLP система от InfoWatch осуществляет контроль за всеми необходимыми каналами коммуникаций, использует патентованные технологии для эффективного поиска конфиденциальной информации, помогает автоматизировать работу ИБ-сотрудников, осуществляет точный контентный анализ для работы в режиме блокировки.

Рассмотрим следующий кейc: пример утечки. Т.е. это ситуация, когда сотрудники сговариваются и переводят VIP-клиентов в другие банки. 

Давайте посмотрим, как на это смотрит система предотвращения утечек. В принципе, любая DLP система здесь увидит фамилию, имя и контактный телефон. Не каждая DLP система увидит здесь процентную ставку, и, может быть, эту информацию пропустит. И для большинства DLP систем это будет сигналом о том, что вводятся персональные данные, следовательно, нужно реагировать. 

Но надо ли? Мы считаем, что простого вывода недостаточно. И если посмотреть на это сообщение слева, то это утечка. А та же самая информация в подписи сотрудника, где есть имя, фамилия и телефон – совсем не утечка. В этом как раз состоит ценность DLP системы, потому что она может эти вещи различить. У InfoWatch есть технологии, которые специально предназначены для этого. Это в том числе патентованные технологии. 

В нашем случае такое сообщение разбивается на части, которые находятся в защищаемой базе данных. Есть контакт: имя и фамилия, есть телефон и есть процентная ставка этого человека. Можно сказать, что если нам встречается имя, фамилия и контактный телефон, то это нарушение. Если же это какая-то другая комбинация или не встречено достаточное количество столбцов из нашей базы данных, то это не утечка.

Другой момент, который касается DLP решений, это анализ графики. Сегодня многие решения научились работать с графикой, они могут вытаскивать текст прямо из картинок. Это не слишком сложная задача. Многие разработчики уже встроили оптическое распознавание в свои продукты. 

Но существуют совершенно зубодробительные файлы и типы документов в конструкторской документации, это слоистые диаграммы, специализированное ПО. И вот с такими документами очень сложно работать многим DLP системам. InfoWatch запатентовала отдельную технологию детектирования графической информации. При этом программный продукт детектирует не только самые сложные форматы, если человек информацию переносит отдельными частями, например, какой-то отдельный узел из общего чертежа, отдельный блок, то InfoWatch это тоже может определить, и защитить конкретный элемент чертежа, даже если он будет добавлен в какой-то другой чертеж.

У некоторых пользователей создается ложное впечатление, что DLP все одинаковы. Однако это не так. Кроме того, сейчас рост утечек баз данных увеличился процентов на 30 по сравнению с годами до пандемии. Это в InfoWatch заметили еще в 2020 году применительно к выгрузкам из баз данных. Все говорят, что могут их защищать. Понятно, что базы – это лакомые куски для того, чтобы взять их с собой и выгодно продаться новому работодателю. 

Но, когда речь идет о защите баз данных, кто-то привязывается к формату, кто-то - к хэш-суммам, а кто-то - к регулярным выражениям. Т.е. в данном кейсе можно по регулярным выражениям найти имя, фамилию, номер телефона. Потому что это паттерн, который можно задать регулярным выражением. Но при этом произойдет такое огромное количество ложно-положительных срабатываний, что придется слишком много времени тратить на то, чтобы с ними разобраться. Поэтому, если говорить про специализированные технологии, то у баз данных это, во-первых, внешний источник. Т.е. мы интегрируемся с внешними базами данных, постоянно пополняем информацию о том, что защищаем, т.е. синхронизируемся. И не просто один раз нам загрузили базу данных, а мы сами постоянно запрашиваем, что нового там появилось? 

Поэтому, во-первых, мы защищаем актуальные слепки баз данных. А во-вторых, можно сказать, какие конкретно ячейки в этой базе данных по-настоящему значимы. Т.е. если сотрудник просто отправил имя и фамилию, может быть в этом нет никакой проблемы. Если же он отправил две строчки с VIP-клиентами, где указаны имя, фамилия, e-mail, ИНН, СНИЛС и процентная ставка, по которой обслуживается клиент, то это уже значимый набор данных, и его нужно защищать. И такая технология работает по ряду баз данных, очень быстро по ним пробегает, и «безопаснику» становится жить гораздо проще.

Для DLP системы очень важно быстро обучаться новым измененным данным. DLP системы прекрасно научились защищать различные форматы, разные документы можно загружать в систему и находить похожие. И InfoWatch сейчас старается тоже в этом направлении двигаться и автоматизировать этот процесс. У нас сейчас можно взять коллекцию документов, подгрузить в DLP систему, и она сама разложит по полочкам, что к чему относится. Сейчас, если у вас появился новый процесс, новый набор документов, не надо полгода ходить внутри организации, и проводить аудит, какие документы новые, какие надо защищать, как защищать, кто ими должен пользоваться. Сегодня все это будет делаться автоматически и без участия специалиста. Заказчики InfoWatch сегодня могут самостоятельно адаптировать DLP систему под изменяющиеся процессы.

Целый набор DLP решений и некоторые из Employee Monitoring решений заточены под то, чтобы просто находить какие-то ключевые слова, но этого обычно недостаточно. К тому же, чтобы находить комплексные словесные конструкции, нужно быть по меньшей мере лингвистом. И немаловажный момент – это возможность DLP системы расширять контролируемый канал. DLP система не просто работает с потоками данных и с документами. Это не просто файлы офисных форматов, не просто pdf или какие-то документы, которые можно распечатать. Ценная информация хранится не только в виде файлов. Она хранится и в виде кусков выгрузок, и в базе данных, и в виде отдельных сообщений. Поэтому возможность интеграции - это ключевой момент для DLP системы, чтобы не просто контролировать какую-то часть, а иметь возможность встраиваться в новые появляющиеся бизнес-системы.

На практике, когда в InfoWatch оценили массовый переход на удаленку, то заметили следующую ситуацию. Людям, ранее работавшим с информационной системой и периодически делавшим выгрузки из CRM-систем, из складских систем, теперь, на удаленке, стало работать неудобно. Доступ тормозит, на терминале неудобно хранить эти файлы. Сотрудники решают сделать выгрузку и сохранять ее у себя на личном компьютере. InfoWatch научилась работать с такой ситуацией, научилась с этим бороться. Здесь нам очень сильно помогает интеграция и набор каналов, которые контролируются. Помимо этого, конечно же, облачные сервисы хранения, публикации в соцсетях и контроль мобильных сотрудников, когда даже на мобильных устройствах можно получить информацию о пересылаемых файлах, о том, как люди работают с документами. И при этом это не какое-то тяжеловесное приложение на смартфоне или специальное выделенное устройство, а просто контейнер, находящийся на смартфоне, но который отделен от личного устройства и работает только с корпоративными данными. Поэтому, сравнение Employee Monitoring и DLP не совсем корректно сегодня. Это все равно, что сравнивать носимую оптическую военную систему с тепловизором и прибором ночного видения с дополненной реальностью и тяжеловесную бронированную гусеничную технику. Сегодня это комплементарные решения, которые позволяют найти нужные кусочки пазла. Поэтому такое сравнение не означает, что одно решение неподходящее или глупее другого, или что нужно выбирать какое-то одно. Просто всегда проще начать с чего-то одного.

Мы понимаем, что решения таких классов в лоб сравнивать просто нецелесообразно, поэтому мы и говорим о комплементарности, о том, что ко всем продуктам InfoWatch, которые решают какую-то задачу, и которые собирают какие-то части данных, можно добавить дополнительные аналитики. И, в первую, очередь - визуальные. Показать, кто с кем коммуницирует, как часто, кто оторван от коммуникаций. И показать, как в организации ходят документы. Это есть визуальная аналитика, которая гораздо проще, чем анализ цифр, чем анализ столбиков со статистикой или с конкретными событиями по нарушениям. 

И превентивная аналитика, которая помогает выявить корреляции и резкие изменения. Т.е. по тем данным, которые собираются, сегодня можно делать превентивные выводы. Обратить внимание специалиста на то, что где-то произошел резкий всплеск. Например, человек прежде всегда был корректен в выражениях, но теперь у него в переписке стала появляться ненормативная лексика. Или человек раньше отправлял больше писем, чем делает это теперь. К тому же, он начинает опаздывать на работу. Возможно, он склонен к тому, чтобы покинуть компанию. 

Такие выводы очень сложно делать регулярно и при большом количестве сотрудников выполнять вручную, поэтому мы добавляем дополнительную аналитику, которая в этом помогает. Логика клиентов и специалистов, которые работают в индустрии, теперь уже не бинарная. Мы уходим от Data Centric или People Centric Security. И закрывать сложные комплексные задачи и проекты можно уже не двумя решениями, которые предназначены каждый для своего рода задач, как прежде, а целым «зонтиком» решений.

Если резюмировать, то Employee Monitoring решает такие задачи, когда нужно определить умысел, когда появились какие-то подозрения, которые нужно быстро проверить и доказать. DLP решения помогают выявить факт, помогают классифицировать миллионы документов, больше направлены на работу с конкретными данными, с контентом, которые позволяют быстро получить соответствие требованиям регуляторов. Т.е. это понятные меры, которые закрываются DLP решениями. Они уже обточены рынком, помогают защитить конфиденциальную информацию, персональные данные и снизить риски регуляторных санкций.

Но комплексные проекты всегда имеет смысл закрывать «зонтиком». И мы в этом смысле должны двигаться к дополнительной аналитике и к тому, чтобы была возможность начать с малого. А дальше строить крепкую эшелонированную защиту, которую вы хотели бы эволюционным методом наращивать, начав с одного, аргументировать новые бюджетные ожидания и дополнять решаемые задачи просто новыми модулями и новыми компонентами. Это то, куда имеет смысл двигаться и добавлять новые ценности, новые аналитики по собираемым данным.


Ответить

Сейчас на главной

Публикации

Решения Juniper на основе Mist AI для СМБ

Сегодня речь пойдет о преимуществах революционных технологий Mist AI для беспроводных и проводных сетей и том, как использовать искусственный интеллект для достижения реальных бизнес-результатов. Сегодня вы познакомитесь с концепцией AI Driven Enterprise, посвященной корпоративным решениям с элементами искусственного интеллекта, в рамках которой Juniper предлагает решения с технологией Mist AI. Спикер — Владимир Ураев, менеджер по развитию бизнеса Juniper Mist в России, СНГ и центральной Европе.

Владимир ПУЗАНОВ: «Сегодня мы выходим и на рынок beauty-индустрии»

На вопросы редакции сайта SMB.iXBT отвечает Владимир Пузанов, генеральный директор компании BQ.

Виктор Чвартацкий: «МЕРЛИОН является одним из крупнейших дистрибуторов Supermicro в России»

На вопросы редакции smb.ixbt отвечает Виктор Чвартацкий, руководитель направления SuperMicro. Американская компания SuperMicro занимается разработкой и производством серверных платформ, материнских плат, корпусов, источников питания и систем охлаждения.

«Каждое новое поколение наших смартфонов будет все больше приобретать локальную специфику и отличаться от глобальных версий»: глава Infinix Россия Марио Янь рассказывает о приходе бренда в Россию

В 2020 году в Россию пришел бренд смартфонов Infinix. Редакция SMB.iXBT поговорила с генеральным директором российского представительства о том, как выходить на новый рынок в период пандемии и как завоевать интерес молодежи к бренду.

Александр Ду: «Игровая и эргономичная мебель - это новое направление будет востребовано и в дизайне внутреннего пространства и офиса»

На вопросы редакции SMB.iXBT отвечает Александр Ду, глава направления Россия и Северная Америка, компания Cougar.