На сегодняшний день DLP-системы научились качественно и точно выделять в информационных потоках компании конфиденциальную информацию. Это позволяют делать технологии контентного анализа: они анализируют содержимое писем, сообщений в мессенджерах, файлов в облачных хранилищах, на съёмных носителях и так далее. Пользователи DLP-системы настраивают технологии анализа таким образом, чтобы они отражали информационные активы компании, которые следует защищать. Это могут быть и коробочные решения, и созданные с нуля.
Например, настройки словарей позволяют определять тематику любого документа вне зависимости от структуры, цифровые отпечатки выявляют фрагменты, редакции или черновики конкретных документов, регулярные выражения детектируют реквизиты и атрибуты, в том числе персональные данные. В последние годы стали появляться технологии, анализирующие изображения, чертежи, записи голоса. Словом, современная DLP-система способна распознать практически любой конфиденциальный документ. Но достаточно ли этого для своевременного предотвращения утечек?
Контент уже не «наше всё»
Рассмотрим первый пример, где инструментов контентного анализа недостаточно для эффективной защиты данных. Сотрудник отправил сообщение в мессенджере Telegram: «Привет, как обещал, скидываю тебе контакт репетитора Иван 89012345678». На первый взгляд, безобидное сообщение, но в действительности это реальный кейс утечки в финансовой организации. Произошла следующая ситуация: банк работал с крупным VIP-клиентом с большими остатками на счетах, получая таким образом хороший актив и широкую возможность кросс-продаж. Клиент в определённый момент оформил ипотеку, а спустя полгода рефинансировался в другом банке, который предложил ему более низкую ставку по кредиту. Похожая история произошла ещё с несколькими крупными клиентами, и эта цепочка заинтересовала службу экономической безопасности. Как выяснилось, один из сотрудников банка систематически передавал контактные данные VIP-клиентов менеджеру другого банка и получал за это вознаграждение.
На что могла бы отреагировать DLP-система в данном случае, чтобы выявить утечку своевременно? Например, на номер телефона? Но если в DLP-системе будет создана политика, реагирующая на номер телефона как на инцидент, то любая подпись в письме, любой легитимный обмен контактами будут вызывать ложноположительное срабатывание (ЛПС). И таким образом сигналы DLP-системы фактически не будут нести никакой ценности, потому что их будет бесконечное множество (рис. 1).
Рисунок 1. Такое сообщение может быть утечкой, а может быть и правда передачей контактов репетитора
Предположим, что офицер безопасности решил просматривать вручную все сообщения, содержащие номер телефона. Но даже если представить в теории, что штата специалистов ИБ хватит на ручной разбор всего «белого шума», такой подход тоже не даст результата: чтобы отличить номер телефона репетитора, которым решили обменяться сотрудники, от контакта клиента, офицеру безопасности нужно знать наизусть всю контактную информацию всех клиентов. Разумеется, это нерабочий вариант.
И в данном случае получается, что и человек (офицер безопасности), и машина (DLP-система) могут определить, что сообщение содержит номер телефона, но не могут определить ценность этого номера. А она может быть очень велика: в случае с утечкой контакта VIP-клиента под видом контакта репетитора это несколько сотен миллионов рублей. И здесь анализа контента, то есть анализа непосредственно содержимого, с определением категории и структуры данных, недостаточно. Для эффективной защиты данных здесь не хватает понимания того, как они задействованы в бизнес-процессах компании, какую роль в них играют.
В результате мы сталкиваемся с ситуацией, когда специалисты ИБ понимают, что подобные «мелкие», с точки зрения объёма данных, утечки возможны, но закрыть этот риск невозможно. DLP может детектировать крупные фрагменты конфиденциальной информации — документы и сообщения достаточно объёмные, чтобы их можно было отнести к какой-либо категории, выгрузки из бизнес-систем с большим количеством строк и столбцов, но для детектирования таких маленьких, но опасных утечек нужен более серьёзный фильтр.
Рассмотрим второй пример. Письмо VIP-клиенту с индивидуальным предложением имеет следующий фрагмент: «Уважаемый Иван Сергеевич, хотим вам предложить выгодные условия по депозитам». Письмо отправляется на адрес s.i.petrov@gmail.com. Возможно ли определить, что сотрудник клиентского отдела случайно или намеренно не отправил письмо по похожему адресу — например, s.petrov@gmail.com? Для этого нужно на первом шаге определить конкретную порцию персональных данных, а на втором — отправляются ли они владельцу персданных, а не третьему лицу. Для DLP-системы классического дизайна это нерешаемая задача: чтобы связать конкретные персданные с конкретным получателем, пришлось бы создавать отдельное правило в политиках безопасности для каждого клиента с указанием легитимного адреса электронной почты. 100 000 клиентов — 100 000 правил. И здесь мы вновь видим, что недостаточно ни инструментов контентного анализа, ни инструментов политик.
Отдельная проблема заключается в том, что существует конфиденциальная информация, которую сложно классифицировать: Ф. И. О., адреса, названия контрагентов, продуктов, товарных позиций, любые числовые показатели — например, закупочные цены. Такие реквизиты и атрибуты не имеют строгой структуры и тем более контрольных сумм и проверочных алгоритмов. И если офицер безопасности решит создать регулярное выражение, которое будет детектировать, например, единичные нелегитимные отправки товарной позиции + цены, то мы получим огромное количество ЛПС. А те реквизиты, которые поддаются классификации, — номер телефона или email — возвращают нас к проблеме: недостаточно детектировать отправку «какого-то телефона», нужно определить в потоке номеров конфиденциальные данные клиентов, передача которых является утечкой.
Здесь же стоит добавить, что, кроме сложной классификации, есть и ещё одна особенность — огромный объём защищаемой информации, которая регулярно обновляется и изменяется. Отслеживать вручную все изменения и отражать в политиках безопасности невозможно (рис. 2).
Рисунок 2. Оба примера — намеренная передача конфиденциальной информации. В первом случае — передача третьим лицам подряда на ремонт сельхозтехники, во втором случае — утечка закупочных цен в ретейле. Оба кейса встречались в практике ГК InfoWatch.
От контента к контексту
Важнейший вывод, к которому мы приходим, — контентного анализа для противодействия утечкам и другим нарушениям, связанным с информацией, недостаточно.
Резюмируем причины:
Поэтому мы создали в DLP-системе InfoWatch Traffic Monitor инструмент, который при принятии решений учитывает контекст — ценность той или иной порции данных, владельцев и статусы документов, роли контрагентов и другие признаки, исходя из бизнес-процессов. Как это возможно и откуда взять этот самый контекст? Этот инструмент «забирает» контекст оттуда, где он отражён в корпоративных информационных системах (КИС) — ABS, ERP, CRM и других, в зависимости от специфики бизнеса.
Первым кейсом внедрения этого инструмента контекстного анализа стал банк, работающий с юридическими лицами. Бизнес поставил перед нами несколько задач:
С помощью API InfoWatch Traffic Monitor был интегрирован с ABS, CRM, СЭД банка и импортировал реквизиты клиентов и партнёров: легитимные контакты для отправки документов, номера счетов, названия компаний, адреса, название продуктов, статус NDA и т. д. По сути, была реализована автоматическая политика с тысячами правил, которая принимает решение, исходя из контекста каждого контрагента и документа. За счёт синхронизации с КИС правила этой автоматической политики поддерживаются в актуальном состоянии. Таким образом, защищается всегда актуальная версия данных. В этом кейсе мы и получили тот самый переход от контентного анализа к контекстному.
Другое внедрение нового инструмента InfoWatch Traffic Monitor мы реализовали в производственной компании, которая стремилась защитить данные своих сотрудников: — полисы ДМС, трудовые договоры, расчётные листы по заработной плате и другие. Бизнесу было важно, чтобы в массовых почтовых рассылках документы получали только сотрудники, которым они были адресованы, а любые ошибки и попытки отправить документ постороннему лицу DLP-система должна блокировать. При этом сам сотрудник может распоряжаться своими документами как захочет — например, пересылать их на личный почтовый адрес или членам семьи. Интеграция с ERP-системой позволила реализовать следующую логику: если в письме определяются данные конкретного сотрудника, то это письмо можно пропустить только в двух случаях — либо отправитель — сотрудник отдела кадров, а фактический получатель совпадает с email сотрудника, либо фактический отправитель совпадает с email сотрудника. В остальных случаях письмо блокируется. Количество сотрудников во всех подразделениях компании более 20 000, и с помощью инструмента контекстного анализа InfoWatch Traffic Monitor проверят на легитимность несколько десятков тысяч писем ежемесячно. Чего только стоят два зарплатных листка в месяц для каждого сотрудника.
Новая парадигма развития рынка DLP-систем
Стоит подчеркнуть, что оба описанных внедрения выдвигали требования не просто по выявлению нарушений, а именно по предотвращению утечек — то есть блокировке писем. А это значит, что мы не могли себе позволить никаких отложенных обработок, решение должно приниматься незамедлительно: не получится перехватить письмо, разобрать его, обратиться к ABS, получить ответ и только после этого принять решение. Это привело бы к накоплению очередей обработки, учитывая интенсивность переписки в enterprise-сегменте. Производительности, которая позволила DLP-системе работать в режиме блокировки, удалось добиться благодаря тому, что данные из корпоративных систем превращаются в высокопроизводительный индекс, например, сравнение сообщения с клиентской базой в 10 млн записей занимает 0,1 секунды. Важно, что индексируются конкретные значения — названия компаний, телефоны, адреса, названия продуктов и другие. И проблема неклассифицированных данных и большого количества ЛПС становится неактуальна, потому что каждое сообщение сравнивается с массивом конкретных значений, даже если это массив в несколько миллионов значений. Алгоритмы индексации и поиска — собственная и запатентованная разработка ГК InfoWatch.
Второе ключевое качество инструмента контекстного анализа InfoWatch Traffic Monitor — решение может учитывать нюансы бизнес-процессов компании. Как мы видим из примеров выше, на уровне контекста можно защищать данные партнёров, клиентов, сотрудников и связанных с ними информационных активов. Для этого в инструменте предусмотрена технология гибкого описания правил. Такой подход позволяет реализовать проект, в котором, например, будут защищаться данные поставщиков и связанных с ними товарных позиций, чтобы такой ключевой параметр, как закупочные цены, не попал в руки третьим лицам. Технология по конфигурированию и принятию решений получила отдельный патент в июне 2024 года.
Третья ключевая особенность нового инструмента — открытое API, которое позволяет интегрироваться с любой корпоративной информационной системой. Банк, в котором мы впервые внедряли решение, используя SDK, самостоятельно разработал интеграцию DLP-системы с ABS, CRM и СЭД, в случае с производственной компанией помогли наши инженеры.
В заключение отмечу, что технология, созданная InfoWatch, уже прошла череду пилотов и внедрений у заказчиков. Мы получили самые позитивные отклики и помогли клиентам решить задачи разного масштаба и сложности, от уже известной проблемы с зарплатными листками, о которой упоминалось выше, до принципиально новых задач, таких как, например, защита каждой порции персональных данных с учётом их владельцев. На этапе проведения пилотов мы помогаем выявить эти проблемы, и это полностью win-win-процесс: компании-заказчики выводят защиту данных на более высокий уровень, мы как производители расширяем потенциал технологии и наращиваем экспертный опыт, а рынок DLP-систем получает принципиально новый подход, который в перспективе может стать новой парадигмой его развития.
Реклама. АО «Инфовотч», ИНН: 7713515534, Erid: 2Vfnxx8ECLG
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных