Что изменилось, а что осталось стабильным на рынке DLP. Дмитрий Горлянский

Дмитрий Горлянский
руководитель направления технического сопровождения продаж
Формат
Запись

После эфира «Саботаж со стороны сотрудников. Как выявить инсайдеров?», побеседовали с коллегой из «Гарда Технологии» — Дмитрием Горлянским, руководителем направления технического сопровождения продаж. Поговорили об ИИ, обсудили:

  • как рынок DLP реагирует на изменения;
  • появились ли какие-то новые технологии в ответ на новые риски и уязвимости;
  • как отечественные системы показывают себя в сравнении с западными;

В продолжение темы ИИ можно посмотреть наш эфир «Применение искусственного интеллекта в ИБ»

 

 

Как вы считаете, как февральские события повлияли на рынок DLP, какие появились новые риски?

Дмитрий:

Появился спрос на некую поведенческую аналитику. Появился большой спрос на то, о чем сегодня говорили, на построения картины рабочего дня, на выявление каких-то атипичных форм поведения.

Вплоть до того, что появился спрос на выявление попыток провокации, о чем тоже сегодня говорили в разговоре про саботажи и идейных людей, которых хакеры пытаются использовать в своих целях. Попытки провокации вот таких людей – это сейчас одна из задач DLP. То есть мы мониторим не то, что уходит. Мы смотрим то, что приходит. Чтобы им не предлагали поучаствовать во всяких нехороших мероприятиях. 

 

То есть новые очень специфичные риски появились. Как поменялись и поменялись ли, в связи с этим планы по развитию?

Дмитрий:

Ну, смотрите.

Основное изменение, вызванное этими событиями, это всё, что касается бэкендов и внутренних процессов. Для каких-то систем это скорейший переход с западных баз данных на отечественные, переход на отечественные ОС.

Вот это сейчас наиболее актуальное, ресурсоёмкое и тяжёлое изменение для всех систем, которые использовали лицензированные компоненты. Для нас это не настолько критично, поскольку у нас изначально не использовались базы данных от Microsoft.

В наших DLP были опенсорсные разработки. Тем не менее сейчас, когда пойдёт дальше развитие, мы будем сильно зависеть от того, какое ПО будет стоять у клиентов. Конечно, мы от этого зависим. Как только какая-то определенность будет, нам придется перерабатывать систему интеграции уже с новыми решениями.

 

А появились ли какие-то новые технологии в DLP или может быть ожидаются какие-то технологические прорывы?

Дмитрий:

На самом деле нет.

Уже достаточно давно, уже несколько лет ничего принципиально нового в DLP не появлялось. Была надежда, был такой “всплеск” в середине двадцатых годов с внедрением поведенческой аналитики, но мы сегодня об этом много говорили, что все эти средства могут какие-то сигналы подавать, но совершенно недостаточны для того, чтобы автоматизировать выявление инцидентов и утечек.

Скажем так: это были интересные технологии, но они не оправдали себя настолько, насколько на них надеялись.

Много сейчас попыток использования машинного обучения и распознавания образов, например, но опять же работает это не настолько хорошо, насколько хотелось бы. Поэтому никаких серьёзных технологических прорывов вряд ли предвидится.

 

Как отечественные системы себя показывают в сравнении с западными?

Дмитрий:

На удивление хорошо. То есть как раз рынок DLP – одна из немногих сфер ИБ, в которых отечественные разработчики уже достаточно давно и успешно конкурируют с западными. Причем как технологически, так и с точки зрения приближенности к реалиям, то есть использования отечественных словарей, разных специфичных репутационных списков и так далее.

Всё это уже давно технологически не отстаёт. То есть всё, что было реализовано в западных DLP-системах, всё это есть в отечественных, поэтому переход здесь достаточно безболезненный.

 

Вопрос по теме нашего эфира: насколько сложно, выявив инсайдера, довести дело до суда? И стоит ли вообще?

Дмитрий:

Очень сложно.

Несмотря на то, что сегодня у нас в эфире упоминались успешные кейсы доведения дела, но обратите внимание на их количество. Их там сколько?

И десятка не набралось!

На самом деле очень сложно. Причем именно с точки зрения нарушений каких-то правил по информационной безопасности гораздо проще человека, от которого хочется избавиться, уволить по какой-то другой статье, чем за нарушение политики ИБ. Это связано и с несовершенством законодательства, и с тем, что не все компании правильно внедряют DLP с юридической точки зрения. Ну, и очень много есть специфических нюансов для бизнеса, когда нарушения сами по себе инцидентами не являются. У меня было, например, когда у одного из заказчиков на ПТС перебивали номера, на фотографиях перебивали парт.номера для запчастей, выдавая контрактные за оригинальные. Я всё это показываю службе безопасности, а мне говорят: “Слушай, 10 лет так работаем. И что с этим сделать?

Ну, да, человек этим занимается.” Ну, или тоже сегодня говорили о том, что человек допустил какие-то утечки, но при этом он отличный работник.

Себе в карман миллион положил, но при этом в компанию полтора миллиарда принёс один. Тоже вопрос: а стоит ли с ним что-то делать?

Я уж и не говорю про то, что всё это технически просто очень сложно.

 

Потому что есть много нюансов, да. И человек, являющийся инсайдером, должен быть хорошо подкован, чтобы обойти систему безопасности.

Данных становится всё больше. Стало ли сложнее расследовать инциденты преступления?

Дмитрий:

Вы знаете, тут надо поделить инциденты.

Связанные с внешней активностью стало проще расследовать.

Те, которые внутри, однозначно сложнее. Потому что количества данных больше. Но однозначность и полнота этих данных значительно меньше.

Что мы раньше имели? Кучу мессенджеров, и достаточно было где-нибудь в сети поставить анализатор трафика, про который никто ничего не знает.

Его мог безопасник сам принести и лично поставить. И пожалуйста, ты уже что-то контролируешь, уже защищен. Ты знаешь, что у тебя происходит, ты можешь выявлять утечки данных, можешь оперативно реагировать.

Что мы сейчас имеем? Мы сейчас имеем telegram и whatsapp, в которые сложно залезть. То есть максимально размытый контур. Вроде как событий много, а на самом деле качество данных, которые мы получаем, гораздо ниже, чем 10 лет назад. 

 

Отсюда вопрос: можно ли создать систему информационной безопасности, которая целиком способна справиться без человека и существенно облегчить эту задачу?

Дмитрий:

Ну, если мы говорим про ИБ, как про защиту структуры, защиту сервисов при атаках или при проникновении эксплойтов с целью саботажа, то я думаю да, эти вещи поддаются формализации и анализу с использованием автоматизированных средств с помощью машинного обучения.

Самый простой вариант – взять матрицу MITRE.

Есть куча систем, которые по этой матрице уже тебе всё расписывают: что сейчас происходит, и что будет происходить в ближайшие два дня, к чему готовиться.

Но как только мы имеем дело с людьми, тут уже вступает психология, тут уже вступают какие-то личные вещи, которые очень сложно формализуются. И когда мы говорим именно про инсайдерскую деятельность, я считаю, что достоверного детектирования добиться не удастся. Только какие-то маркеры, которые будут уже знающему человеку показывать на что обратить внимание.

 

Добавить комментарий

Содержимое данного поля является приватным и не предназначено для показа.

Ограниченный HTML

  • Допустимые HTML-теги: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Строки и абзацы переносятся автоматически.
  • Адреса веб-страниц и email-адреса преобразовываются в ссылки автоматически.