7 minute read

Степан Дешевых, Александр Клевцов

Драйв инноваций в DLP наступает тогда, когда решаются прикладные задачи клиентов

Степан Дешевых, руководитель отдела развития продуктов для безопасности корпоративных данных и анализа информационных потоков Александр Клевцов, руководитель направления по развитию DLP-системы решения Traffic Monitor для предотвращения утечек информации

Advertisement

Мы поговорили с экспертами компании InfoWatch о том, какими они видят ландшафт DLP-технологий в России и уровень развития российского рынка DLP, как заказчику выбрать технологии для решения его задач и что на самом деле влияет на развитие DLP в России и в мире.

Давайте начнем с общего вопроса о ландшафте DLP-решений сегодня. Есть мировые и российские тренды, есть специфика конкретных отраслей и задач заказчиков в них. Как вы оцениваете этот ландшафт?

Степан Дешевых: Если коротко, то драйвить развитие DLP-решений продолжают всем известная цифровая трансформация и требования регуляторов. Рынок зрелый, продолжает стабильно развиваться, и мы вместе с международными аналитиками Gartner наблюдаем следующее: ужесточаются требования законодательства, бизнеспроцессы работают в облаках, часто с доступом через личные устройства, компании присутствуют в соцсетях, а сотрудники решают рабочие вопросы в мессенджерах, куда уже "вползли" тяжелые форматы типа аудио и видео, растут объемы корпоративных данных и увеличивается динамика их изменений, данные устаревают, обновляются, появляются новые. Это задает DLP-технологиям вполне конкретный вектор развития: рынок наелся хайпом от модных слов ИИ, Machine Learning и пр. и теперь ждет, кто из вендоров яснее сможет показать реальную пользу от технологий на утилитарных задачах. А как клиенту это понять? Задавать вендору самые неприятные вопросы: про возможности интеграций с конкретными бизнес-системами, которые стоят в организации, про соцсети с личных устройств, про измерение ЛПС на пилотах – все, чтобы убедиться, что прикладные задачи действительно решаются.

Александр Клевцов: Да, цифровая трансформация происходила в последние годы плавно, а в 2020 г. ее как будто поставили на ускоренную перемотку. Переход на удаленную работу подействовал как катализатор и подсветил проблемы, на которые многие всё еще закрывали глаза.

Периметра давно нет. Продуктивность, а не безопасность стала мантрой сегодняшнего дня. Бизнесу приходится искать новые возможности для выживания и роста.

Электронная почта как средство оперативного решения рабочих вопросов постепенно уступает место облачным средствам коллаборации типа Slack, десяткам мессенджеров, виртуальных переговорных комнат, онлайн-офисов и CRM, доступных в том числе и с мобильного телефона в любой точке в любое время.

А теперь представьте, что вы пытаетесь решить проблему защиты корпоративных данных в этой среде с помощью DLP образца пятилетней давности. Это бесполезно. Осознавая это, мы, например, развиваем направление интеграции с различными информационными системами – добавляем новые возможности, доступные сразу из коробки. Только что, к примеру, вышла интеграция с Microsoft Exchange Online в дополнение к уже интегрированному Office 365.

Traffic Monitor поддерживает открытый API, поэтому клиенты могут самостоятельно или с помощью своих интеграторов обеспечивать защиту данных в собственных информационных системах.

Какие тенденции развития DLP вы рассматриваете для себя как стратегические?

Степан Дешевых: Есть три ключевых аспекта, вокруг которых идет добавление новых возможностей в Traffic Monitor.

Первый – это использование DLPсистем для решения не только ИБ-задач. Нашими пользователями все чаще становятся департаменты экономической и кадровой безопасности. Это и понятно: DLP анализирует потоки данных, в которых содержатся сигналы экономических преступлений, мошеннических схем, конкретных действий сотрудников, влияющих на благополучие организации. Для удобства анализа этих данных мы разработали инструменты визуальной и предиктивной аналитики и продолжаем наращивать технологии контентного анализа.

Второй – это изменения цифровой среды, в которой функционирует бизнес. Мы уже упоминали облачные сервисы и системы аудио- и видеоконференций, которые резко стали массово востребованными с переходом на удаленку и медленным выходом из нее. Все, что связано с современными концепциями совместной работы. Некоторые компании всерьез думают об отказе от почты в пользу мессенджеров и платформ коллабораций, практикуют динамические рабочие группы, а значит мы должны уметь обеспечивать безопасность данных в рамках коммуникаций, идущих в режиме реального времени и необходимо эффективно и безопасно делиться информацией для ускорения рабочих процессов.

И, наконец, третий: мы продолжаем работать на автоматизацию определенных функций DLP-системы. О чем это? Цифровизация и множество новых каналов коммуникаций прямо влияют на

рост объема данных, которые обрабатывает система. Количество событий огромно. Красное событие в системе по факту реализации риска – это здорово, но зачастую ему предшествует целая цепь, идентифицировать которую в потоке из сотен тысяч событий в день – за пределами человеческих возможностей.

Мощь современной системы в том, что она способна выявлять и автоматически детектировать такие цепочки событий – рискованные паттерны, которые говорят о том, что что-то пошло не так. Система должна интерпретировать события сама и выдавать подсказки, на что обратить внимание безопаснику.

Александр Клевцов: В значительной степени наше ноу-хау – это методология определения таких паттернов, методика и лучшие практики использования системы, а не только технологии машинного обучения. Хотя без них никакой предиктивной аналитики у нас не было бы.

Расскажите подробнее про автоматизацию. Что еще умеет автоматизировать ваша DLP?

Степан Дешевых: Мы убеждены, что DLP не следует устанавливать из коробки, если хочешь обеспечить реальную безопасность данных. Требуется предварительная настройка, и это еще одно направление, которое мы автоматизируем.

Данные, процессы, а значит и политики не высечены в камне навсегда. Мы движемся к тому, чтобы автоматизировать настройку DLP под заказчика.

Александр Клевцов: Основа DLP системы – категоризация документов. Content Intelligence – это "мозги" DLP. У нас около десятка патентов на различные технологии анализа. В технологиях лингвистического анализа, например, мы всегда работали на опережение и давно ушли вперед. У InfoWatch самое большое на рынке количество баз контентной фильтрации (БКФ), проще говоря отраслевых словарей, доступных по 289 категориям. Мы очень давно, входя в новый проект, не сталкивались с тем, что у нас нет подходящего отраслевого словаря. А если нужно, то имеющийся словарь всегда можно доработать под специфику организации, добавить новую категорию. Мы создали возможность делать это автоматически на случай, если заказчик хочет сам дообучать систему. Такое требуется, например, если в силу специфики деятельности клиента документы для обучения системы не могут быть предоставлены никаким подрядчикам. Вы "скармливаете" системе большой объем документов, и она автоматически создает категории. Кстати, мы не ограничиваемся только русским, работаем на двадцати языках, в том числе с мультиязычными документами.

А что с технологиями для графической информации? Что важно знать заказчикам, которым надо защищать графику?

Александр Клевцов: Защита графики в том или ином виде – распространенная задача, она касается и фото конфиденциальных документов, и изображений кредитных карт, и многого другого, вплоть до инженерных чертежей в векторных форматах. Случались и интересные запросы на защиту базы данных фотографий – собственности рекламного агентства.

Этой весной я проводил технологический DLP-марафон. Это была серия онлайн-встреч, на которых мы подробно рассказывали российским специалистам по ИБ и ЭБ про технологии анализа внутри InfoWatch Traffic Monitor. Самой популярной темой стала как раз защита информации в графическом формате –больше всего вопросов и обратной связи. Разумеется, мы и раньше проводили тысячи клиентских онлайн- и офлайн-встреч, но еще никогда не отмечали такого интереса безопасников именно к технологиям защиты графики.

Мы сталкивались с мнением, что для детектирования графических объектов достаточно OCR – распознавания текста на картинке. Но, как понятно из вышеприведенных примеров, OCR в большинстве случаев вообще остается не у дел, потому что текст есть не везде, и иногда эффективнее использовать другие технологии –с точки зрения качества детектирования и минимизации вычислительных мощностей, необходимых для работы системы.

Вот простой и далеко не всем очевидный пример. Для детектирования растровых изображений мы используем не бинарные цифровые отпечатки, как делают почти все, а растровые – это отдельная технология, запатентованная нами. Она определит изображение в том случае, если его пересохранили в другом формате, изменили разрешение или повернули. Бинарные отпечатки с этим не справятся, отсюда, кстати, мнение, что DLP плохо работает с графикой. Мы развенчали этот миф.

Как вы позиционируете себя, с таким парком технологий, относительно остального мира? А главное, как реализуется прикладной аспект – прикручивание технологий к деятельности заказчиков, чтобы было максимально полезно?

Степан Дешевых: Мы в лидерах, по отчетам Gartner. Для зрелых рынков, каким является DLP, вместо "магического квадранта" у них предусмотрен формат Market Guide. Это независимый показатель того, где мы относительно мира.

Технологии приходят в DLP не ради того, чтобы "космические корабли бороздили просторы Большого театра", а только ради того, чтобы решить конкретную клиентскую задачу.

Поэтому прикручивать ничего не надо. Все начинается с целей заказчика, для чего он внедряет DLP. Технологии –всего лишь способ эффективнее решать проблемы, которые есть у заказчика.

Приведу два примера, как раз про прикладной аспект. У нас есть инструмент визуальной аналитики InfoWatch Vision. Он позволяет визуализировать инфопотоки в компании, определять карту коммуникаций, центры компетенций среди сотрудников. Один взгляд на граф связей – и наглядно видны пути распространения информации, коммуникационные потоки и аномалии, если такие возникают. Чем не прикладная задача?

Еще есть инструмент предиктивной аналитики InfoWatch Prediction. Он умеет выявлять аномалии в шаблоне поведения сотрудника и помогает работать с группами риска. Обычный сотрудник генерирует большое количество малозначительных событий. Проблема в том, что цепочка незначащих событий может сложиться в паттерн, говорящий о реализации серьезного нарушения, которое не выглядит как одно событие в силу растянутости во времени или "размазанности по периметру". А если событий много? А если совместить их с другими событиями, на первый взгляд непримечательными? Например, ни для кого не секрет, что при увольнении некоторые сотрудники пытаются забрать с собой конфиденциальные данные. Собирают и постепенно копируют их. Система такую активность заметит, сопоставит с другими факторами поведения и предупредит об аномальном поведении.

Александр Клевцов: Безопасник –это же человек, который имеет дело с самыми настоящими данными. Это не данные опроса, которые могут искажаться, это не корпоративные мифы. Сидя на данных, безопасник видит ре-аль-ную картину происходящего в организации. В момент совершения критической сделки, расширения штата или возникновения репутационного риска он может оказаться тем самым человеком, который даст базу для адекватной оценки ситуации или принятия взвешенного решения. Поэтому наше дело – снабдить его современными инструментами для удобной работы с данными. l

Ваше мнение и вопросы присылайте по адресу is@groteck.ru

This article is from: