DLP с преферансом и поэтессами
Как отметил директор по маркетингу "Ростелеком-Солар" Валентин Крохин, первые системы защиты от утечек информации, или DLP, появились в начале нынешнего века, когда условия были совсем другими. В то время корпоративные структуры были жесткие, и реально работал сетевой периметр компании, вне которого любая активность сотрудников была практически исключена. Сейчас сотрудники могут работать откуда угодно, что к тому же усугубляется тем, что широко распространены аутсорсинг, аутставффинг, привлечение разного рода временных работников.
По данным Gartner, в настоящее время 29% компаний во всем мире уже используют средства UBA в режиме 24/7, а 83% находятся в стадии внедрения или планируют это сделать в ближайшем будущем. Причем данный класс продуктов очень молодой: концепция появилась в 2012 г., а в 2013-м появились первые продукты. По прогнозам, уже к 2022 г. UBA станет составной частью не менее 80% всех продуктов в области информационной безопасности.
Как отметил Валентин Крохин, работа "Ростелеком-Солар" над новой версией флагманского продукта с UBA-модулем начата в октябре 2015 г., практически сразу после релиза Dozor 6. Двумя годами позже появилась его пререлизная версия, которая тестировалась на реальных пользователях.
Модуль UBA позволяет автоматически выявлять в поведении сотрудников компании аномалии, которые могут свидетельствовать о ранних признаках корпоративного мошенничества, зарождении коррупционных схем, предпосылках к возникновению утечек информации и т.п. Это дает возможность службам безопасности работать с рисками превентивно, используя автоматизированные инструменты анализа на основе больших данных и машинного обучения. Накопленной в течение двух месяцев истории активности пользователя достаточно для того, чтобы определить его устойчивое поведение и начать определять аномалии его поведения, за которыми может скрываться злонамеренная активность. Также на ранней стадии будут видны действия сотрудников, которые намерены покинуть компанию, а также различные сложности у сотрудников подразделений продаж и закупок.
Основным источником данных для системы являются коммуникации пользователя. Анализируются посты в социальных сетях, мессенджерах, поисковые запросы, переписка по электронной почте (в том числе личной), обращение к корпоративным информационным системам.
Solar Dozor UBA, как продемонстрировал ведущий аналитик внедрения "Ростелеком-Солар" Виталий Петросян, определяет наиболее уязвимые с точки зрения бизнеса группы сотрудников и сотрудников с подозрительным поведением, относя их к различным паттернам поведения (комбинациям поведенческих особенностей и аномалий). На данный момент в системе насчитывается 19 паттернов, среди которых "мертвые души", сотрудники с аномалиями внешних коммуникаций, с наличием теневых личных контактов (так называемых приватных эгосетей) и др. По каждому из паттернов ведется постоянный контроль опасных тенденций, приближенный к реальному времени. Со временем количество таких паттернов будет увеличено.
"Сегодня мы четко видим два тренда в развитии DLP-систем. С одной стороны, возможности систем защиты от утечек вышли за рамки задач, лежащих исключительно в сфере информационной безопасности. Они становятся эффективным инструментом снижения рисков в сфере экономической, собственной, кадровой безопасности компаний. С другой стороны, и сама информационная безопасность расширяет свой взгляд на мир, переходит от анализа событий и данных к стратегии безопасности с фокусом на человеке. Эта эволюция рынка открывает его участникам новый горизонт возможностей и позволяет решить задачу сокращения бизнес-рисков на качественно новом уровне", - подчеркнула директор центра развития продуктов Solar Dozor "Ростелеком-Солар" Галина Рябова.
В итоге, как отметила Галина Рябова, стало возможным выявлять не только утечки информации, причем на ранней стадии, но и различные проявления внутреннего мошенничества и корпоративной коррупции. Традиционные системы защиты от утечек не позволяют отслеживать такого рода активность, особенно среди сотрудников низшего и среднего звена, на которую приходится основная часть инцидентов. При этом работа с UBA-подсистемой не требует специальных знаний, и на стадии тестирования сотрудники служб общей и экономической безопасности не испытывали сложностей при ее использовании.