EOSmobile 4.12: полноценный документооборот в вашем мобильном устройстве
Мировой поставщик семян перенес почтовые архивы из иностранного облака в Cloud.ru: кейс ICL Services
Бесшовный переход крупного госучреждения на ОС «Альт» обеспечила «Базальт СПО»
UBA-система InfoWatch Prediction – для анализа поведения и обнаружения потенциально опасных сотрудников, выявления и оценки рисков, исходящих от персон внутри организации
Учет требований ИБ в каждом бизнес-процессе – главный фактор надежности АСУ ТП
ЦБ
°
пятница, 8 декабря 2023

Как DLP качественно меняет работу подразделения ИБ: кейс клиента InfoWatch

Современные технологии, лежащие в основе ведущих российских DLP-систем, позволяют ИБ-специалистам автоматизировать процессы обработки большого объема событий, эффективно работать с «серой зоной», выявлять аномалии в процессах, а также своевременно актуализировать политики безопасности. Разбираемся, как это происходит, на реальном кейсе финансовой организации, использующей систему Traffic Monitor от InfoWatch.

В крупных компаниях сотрудники ИБ-подразделения еженедельно сталкиваются с миллионами событий, выявляемых DLP-системой, и одной из их задач становится уменьшение количества ложноположительных срабатываний. Вместе с тем, не менее важно заниматься анализом ложноотрицательных срабатываний – когда DLP-система не может четко определить инцидент. Даже самая тщательная настройка правил и политик DLP не гарантирует того, что большая масса событий не окажется в «серой зоне», которые не размечены DLP-системой, из-за наличия неучтенных бизнес-процессов или категорий документов. Автоматизировать работу с ними помогают современные программные инструменты на основе технологии искусственного интеллекта.

Реальный кейс: расследование инцидента с нетипичным выводом информации

Крупная финансовая организация насчитывает более 32000 сотрудников и более 180 отделений разного масштаба по всем регионам России. Бизнес-процессы в этих подразделениях достаточно разнообразны и не всегда унифицированы. Соблюдение сотрудниками строгих критериев информационной безопасности контролируется централизованно.

Организация с 2015 года применяет у себя DLP-систему Traffic Monitor от InfoWatch. На данный момент система генерирует в среднем 2 млн событий в неделю. В этот перечень попадают события вывода на печать (примерно 100 тысяч в сутки), копирования на флеш-накопители (примерно 600-700 тысяч в сутки), данные, передаваемые через корпоративный мессенджер, а также другие более специфические данные. Примерно в 70% случаев это события, имеющие вложения в виде документов и других файлов.

 

 

«Часто специалистам отдела ИБ приходится «на лету» изучать новый бизнес-процесс, который ранее не был ни задокументирован, ни согласован с нами, – комментирует начальник отдела по работе с DLP-системой организации. – При этом с DLP работают ежедневно два сотрудника. Несколько лет назад мы начали более плотно сотрудничать с InfoWatch и тестировать новые модули, которые предлагал вендор. Так к нам попал InfoWatch Prediction – очень полезный инструмент, позволяющий организовать работу офицера информационной безопасности таким образом, чтобы он не наугад, выборочно обрабатывал все события, а делал это более целенаправленно, опираясь на подсказки системы».

Так произошло и в рассматриваемом кейсе, когда такой инструмент как InfoWatch Prediction указал специалистам на потенциальный ИБ-инцидент. Было выявлено массовое копирование сотрудником на флешку файлов (более 600 документов), не размеченных политиками безопасности. Выгрузив статистику за три месяца, специалисты увидели, что такую операцию сотрудник проделывал и раньше в определенные дни. Но логику его действий по-прежнему было сложно понять: копируемые файлы имели разные названия и структуру. Просматривать каждый файл, чтобы определить закономерность в действиях только одного сотрудника – очень неэффективно, редко какая организация может пойти на такие трудозатраты, причем, с негарантированным результатом. Согласно расчетам компании, только на один подобный инцидент двум сотрудникам пришлось бы потратить 5-6 часов, а с учетом их повторяемости – 30 часов в месяц.

 

 

Здесь на помощь пришла другая технология - категоризации документов, которая помогает контролировать 100% важной для компании документации. Процесс, когда ранее неизвестные системе документы сортируются по смыслу, называется кластеризация. В основе технологии - принцип машинного обучения без учителя, именно поэтому технология способна эффективно работать без предварительных настроек и словарей в условиях полной неизвестности. Сотрудники создали в InfoWatch Traffic Monitor выборку необходимых данных по этому инциденту – всего в ней оказалось около 12 тысяч документов. Система примерно за час-полтора кластеризовала все документы и сформировала из них 12 категорий, а также предоставила аннотации для быстрого ознакомления со смыслом документов. Сотрудникам осталось только проверить несколько документов из каждой категории, чтобы иметь представление о характере проблемы.

Оказалось, что файлы копировал сотрудник, частично работающий удаленно. Поскольку политика безопасности банка не позволяет сотрудникам передавать корпоративные данные с помощью сетей общего пользования, он переносил необходимые документы на рабочий ноутбук через рабочую флешку, чтобы дома иметь их под рукой.

«Сегодня мы продолжаем регулярно исследовать с помощью InfoWatch Traffic Monitor объемные блоки данных. Преимущество комплексного подхода с использованием DLP – системы Traffic Monitor и InfoWatch Prediction в том, что эти инструменты позволяют значительно упростить работу сотрудников и минимизировать риски того, что они пропустят какой-то важный инцидент в «серой зоне». Мне как администратору DLP-системы они сильно упрощают создание правил и рассмотрение каких-то сложных моментов, которые требуют большого долгосрочного анализа», – комментирует спикер. – Помимо этого, с помощью инструмента «Автолингвист», мы обучаем систему, загружая в нее разложенные на предыдущем этапе образцы документов. И сообщаем, что это будет новый словарь. Эта технология позволила нам сформировать из этих выявленных двенадцати категорий документов новые объекты защиты и включить их в политики безопасности». Примечательно то, что технология реализована как для текстовых, так и для графических данных, что максимально расширяет возможности обучения системы на самых специфичных изображениях, будь то планы местности, схемы или чертежи.

Мнение эксперта InfoWatch

По опыту специалистов InfoWatch, компании сегодня по-разному подходят к обработке событий «серой зоны» – тех, которые не размечены в DLP. Некоторые по-прежнему анализируют ее избирательно, полагаясь на удачу, а другие уже научились использовать цифровые инструменты наподобие InfoWatch Prediction и InfoWatch Traffic Monitor и оценили преимущества такого подхода.

 

Александр Клевцов, руководитель по развитию продукта InfoWatch Traffic Monitor

Александр Клевцов, руководитель по развитию продукта InfoWatch Traffic Monitor

 

«С помощью Prediction можно выявлять аномалии, отклонения от бизнес-процессов, даже если они никак не размечены DLP-системой, если мы предварительно не создали по ним политик безопасности и даже пока не выявили соответствующий бизнес-процесс или категорию информации. Кроме того, система рассчитывает индивидуальный скоринг для каждого сотрудника, для этого за основу берется более двухсот тридцати параметров: режим работы, объем копируемой информации и т. д. Сравнивается активность сотрудника в различные промежутки времени, его поведение с поведением коллег», – отмечает руководитель по развитию продукта InfoWatch Traffic Monitor Александр Клевцов.

В случае, когда специалист ИБ уже выявил аномальное поведение с участием большого количества документов, он может использовать инструменты InfoWatch Traffic Monitor для их кластеризации. В ходе этого процесса система на базе искусственного интеллекта изучает любые неформализованные текстовые данные, объединяет похожие документы в группы по тематикам, по смыслу, по семантическому сходству. Для каждой группы формируются аннотации.

 

 

Важно, что далее система Traffic Monitor на основе новых выявленных кластеров позволяет быстро создать новую политику безопасности и сгенерировать для нее словарь – полноценную качественную лингвистическую модель с учетом веса слов, их взаимосвязей и других параметров. На создание подобного словаря профессиональный компьютерный лингвист тратит 3-5 рабочих дней, а инструмент «Автолингвист» – около минуты. Таким образом, специалист отдела ИБ может очень быстро покрыть ранее не формализованную «серую зону» политиками и словарями или убедиться, что все 100% данных защищены и под контролем.

«В большинстве компаний глобально политики безопасности обновляют не чаще, чем раз в полгода. Этот процесс трудоемкий, много времени занимает разбор документов, формирование словарей. Инструменты искусственного интеллекта, как InfoWatch Prediction и InfoWatch Traffic Monitor, позволяют намного быстрее и эффективнее разбирать «серую зону», бороться с ложноотрицательными срабатываниями, а также качественно менять процесс актуализации политик: например, делать его более частым и, что важно, при этом снижать трудозатраты. С их помощью мы можем актуализировать политики сразу же по необходимости, не опасаясь того, что придется разгребать «вручную» тысячи документов. Таким образом, в ИБ-подразделении происходит некое разделение труда: система на базе машинного обучения обрабатывает и анализирует большие объемы данных, обнаруживает аномалии, а человек принимает ключевые решения», – резюмирует Александр Клевцов.

Подробнее об инструментах InfoWatch на базе искусственного интеллекта – в материале ICT-Online.ru.

Также мы публиковали обзор всех обновлений DLP-системы Traffic Monitor.

Опубликовал: Андрей Блинов (info@spbit.ru)

Тематики: Безопасность

Ключевые слова: информационная безопасность, InfoWatch, DLP

Свежее по теме