Революция в DLP: как ИИ защищает конфиденциальные данные от утечек?

Рост объема цифровых данных и расширение практики удаленной работы одновременно с дефицитом ИБ-кадров сильно осложнили противодействие утечкам данных. В то же время усилившиеся кибератаки и корпоративный шпионаж заставляют создавать защитный цифровой барьер для детального анализа входящей и исходящей информации. Корпоративная безопасность — новый краеугольный камень бизнес-стратегии, а «прогресс» хакеров — двигатель для создания решений, способных защитить данные от различных посягательств. Как применение искусственного интеллекта помогает повысить эффективность ИБ-систем?

DLP и ИБ

DLP-системы являются мощными аналитическими инструментами, позволяющими не только минимизировать ИБ-риски, связанные с действиями инсайдеров внутри компаний, но и выявлять экономические преступления, анализировать активность персонала и т.д. Скорость изменений и рост объема информационных потоков требуют повышенного внимания ИБ-специалистов к работе DLP-систем.

ИБ-специалистов, которые обслуживают ИБ-инфраструктуру банков, государственных организаций, промышленных предприятий, ритейла, транспорта и т.д. на рынке не хватает.

В сложившейся реальности многократно возросли риски и угрозы безопасности информации. Сегодня фиксируется увеличение количества кибератак на российские объекты критической информационной инфраструктуры (КИИ). Злоумышленники в том числе задействуют деструктивные возможности внутреннего персонала, влекущие утечки конфиденциальной информации.

Для минимизации рисков необходимо анализировать коммуникации сотрудников, выявлять их формальные и неформальные каналы общения, лидеров мнений и т.д. А если в организации работают десятки тысяч человек?

На практике

Успешный опыт использования DLP-системы InfoWatch Traffic Monitor в крупной территориально-распределенной страховой компании позволил службе безопасности финансовой организации максимально защитить весь спектр корпоративных процессов, и, что немаловажно, — коммуникаций. А также усилить экономическую безопасность.

В частности, только за третий квартал 2021 г. было выявлено более 250 нарушений, в 177 случаях проводились проверки.

Приведем один из примеров предотвращенных инцидентов. Благодаря системе удалось выявить факт пересылки одним из сотрудников на личную почту клиентских данных по пролонгации за два месяца. В ходе расследования выяснилось, что сотрудник намеревался уволиться и открыть собственный бизнес в сфере страхования и даже успел арендовать офисное помещение, приступив к его ремонту. Общий размер собранных премий за предыдущий период клиентов, фигурирующих в выгрузке, составил более 40 млн рублей. Этот инцидент закончился уголовным делом и вступившим в силу приговором суда.

Выйти за рамки классической защиты от утечек

Несмотря на развитие систем информационной безопасности, нерешенным остается вопрос дефицита кадров в этой области.

Проблема нехватки квалифицированного ИБ-персонала усугубляется, как минимум, тремя обстоятельствами. Во-первых, постоянно идет процесс оцифровки все новых и новых массивов данных в рамках цифровой трансформации бизнеса. Во-вторых, пандемия COVID-19 окончательно «утвердила» удаленный формат работы сотрудников. Произошел массовый переход от электронной почты к мессенджерам, изменилась сама манера коммуникаций. И, наконец, непрерывно изменяющиеся бизнес-процессы требуют постоянных изменений настроек системы.

Сама по себе оцифровка бизнес-процессов для DLP-системы является благоприятным фактором, поскольку в поле ее зрения попадает больше цифровых артефактов и коммуникаций, которые она могла бы обработать.

«Однако во всей этой парадигме есть одно крайне неприятное свойство: количество ИБ-событий, которое собирает DLP, растет по экспоненте. Например, у одного из наших клиентов число таких событий превышает два млн в сутки. Поэтому сегодня типичной ситуацией является то, что только 20–30% документов в компаниях находятся под защитой. Причина в том, что формирование и актуализация политик DLP является трудозатратной процедурой», — отмечает руководитель направления InfoWatch Traffic Monitor Александр Клевцов.

Сбор образцов документов, которые необходимо защищать, занимает от двух до трех недель, не все документы компании можно таким образом обработать и учесть.
Однако это далеко не всё, что необходимо сделать этим сотрудникам. На втором этапе им нужно сконфигурировать технологии анализа и сформировать политики безопасности. Это тоже занимает много времени.

Кроме того, стоит периодически актуализировать политики безопасности: постоянно изменяются данные и бизнес-процессы, трансформируется организационная структура компании и т.д. В среднем по рынку политики безопасности обновляются всего лишь один раз в год. Не потому, что нет необходимости в более частом обновлении, а потому что это трудоемкий и затратный процесс. Даже те организации, которые довольно много внимания уделяют актуализации политик безопасности, редко выходят на показатель в два раза в год.

Появляется актуальный вопрос: как перестать защищать вчерашний день при использовании DLP-системы и быстро реагировать на изменения? «Очевидно, необходимо сократить количество рутинного ручного труда дефицитных на сегодняшний день специалистов в области ИБ. Это можно сделать при помощи автоматизации, а также за счет использования искусственного интеллекта», — отвечает Александр Клевцов.

Как практическое подтверждение этих слов, в сентябре 2021 г. InfoWatch представила новый подход в применении DLP-систем, позволяющий в автоматическом режиме обучать систему защиты от утечек новым правилам фильтрации как текстового, так и графического контента — InfoWatch Data Explorer.

ИИ в ИБ

Технологию машинного обучения (machine learning, ML) — один из классов методов искусственного интеллекта — в InfoWatch начали применять для расширения возможностей InfoWatch Traffic Monitor еще с 2006 г.

«За годы собственных исследований, мы пришли к совершенно четкому понимаю того, где и зачем DLP-системе нужен искусственный интеллект. А серьезные инвестиции в это направление оправдались тем, что сегодня InfoWatch Traffic Monitor способен обеспечить реальную, а не «бумажную» безопасность заказчиков. Несмотря на различные сложности, с которыми приходится сталкиваться российским отраслям в условиях санкций и дефицита ИБ-кадров», — говорит Андрей Арефьев, директор по инновационным проектам InfoWatch.

Разработчикам InfoWatch Traffic Monitor, интегрировавшим в эту DLP-систему искусственный интеллект, удалось существенно повысить качество защиты информации, при этом сократив влияние человеческого фактора при обработке исходных данных.

По словам эксперта, одна из основных проблем клиентов, которая приводит к тому, что под контролем DLP-системы находится не более 20–30% документов, заключается в том, что ИБ-специалисты компаний физически не в состоянии разметить сотни терабайт данных, которые собирает система.

«Зато с этой проблемой отлично справляется ИИ, который в режиме «обучение без учителя» самостоятельно с огромной скоростью производит кластеризацию контролируемых данных. Благодаря этому удается учитывать все документы для выявления конфиденциальной информации. А также, при появлении новых кластеров документов, оповещать об этом ИБ-специалистов, в том числе для актуализации существующих политик безопасности системы. Эти процессы существенно облегчают и внедрение, и дальнейшее сопровождение системы», — уточняет Андрей Арефьев.

Какой эффект дает применение модуля InfoWatch Data Explorer? Первичная кластеризация документов, которые необходимо защищать в будущем, занимает не более одного рабочего дня. Дальнейшее автоматическое обучение системы документам новой тематики и конфигурирования политик не займет более одного часа против обычных 10 дней. При этом не требуется особой квалификации сотрудников, практически все операции происходят без вмешательства человека.

Особенно это важно в тех случаях, когда специалисты InfoWatch не могут быть допущены непосредственно на площадку заказчика, в силу секретности данных, например.

Долой ЛОСы и «слепые зоны»

InfoWatch Data Explorer позволяет решить серьезную проблему, стоящую перед вендором – сократить количество ложноотрицательных срабатываний (ЛОС). Она возникает, когда система не настроена на мониторинг какой-то категории информации. Чаще всего речь идет о тех 20–30%, упомянутых выше. Специалисты называют оставшийся массив данных «слепой зоной».

«Наши клиенты рассказывают о том, что при анализе действий сотрудников, которые подали заявление на увольнение из компании, зачастую обнаруживают в его трафике или информации, которую он выносит за периметр организации, ту категорию конфиденциальных данных, о существовании которой они ранее и не догадывались. А поскольку не была создана соответствующая политика, DLP-система не могла априори выявить эту информацию. InfoWatch Data Explorer может автоматически разбирать эти слепые зоны, что резко снижает риски утечек данных при минимуме ручного труда специалистов. Ранее таких инструментов ни у кого не было», — утверждает Александр Клевцов.

Читать полностью