Черные лебеди в ИБ: как поймать и к чему готовиться?

Отрасль защиты информации от утечек стоит на пороге качественной трансформации. DLP-системы готовы предвосхищать инциденты, а не минимизировать их последствия.

«Генералы всегда готовятся к прошлой войне», — говорил премьер-министр Великобритании Уинстон Черчилль. Знаменитый политический деятель основывался в своих суждениях на эмпирических знаниях: людям свойственно пытаться не допустить провалов в будущем., опираясь на весь свой прошлый опыт.

В 2004 г. американский экономист Нассим Таллеб в своей книге «Черный лебедь. Под знаком непредсказуемости» («The Black Swan: The Impact of the Highly Improbable») подвел под слова Черчилля философскую базу..

Этапы взросления «лебедей»

Поскольку Нассим Таллеб был профессиональным трейдером и риск-менеджером, теория о «черных лебедях» — чрезвычайном влиянии редких и непредсказуемых событий на бизнес, а также склонности людей ретроспективно находить им простые объяснения — была активно подхвачена в деловой среде. Эта теория анализирует, почему появление новых форм ведения боя застает военачальников врасплох. Довольно быстро учение о «черных лебедях» было взято на вооружение в армии, спецслужбах, а затем и в области информационной безопасности (ИБ).

В ИБ-менеджменте до недавнего времени классическими «черными лебедями» было принято считать так называемые «фазовые переходы» в развитии ландшафта угроз и соответствующего им пересмотра парадигмы обеспечения безопасности организации.

Например, 30 лет назад ИБ по большому счету сводилась к шифрованию и аутентификации. Затем появились компьютерные вирусы, почтовые черви, трояны. Те специалисты, которые это всё проглядели и не отреагировали на новые угрозы соответствующим образом, оказались свидетелями как локальных бизнес-катастроф, так и глобальных эпидемий в сети, которые обрушивали целые рынки.

Появление программ-шифровальщиков ознаменовало очередной «фазовый переход», и было признано, что информация на компьютере порой стоит больше, чем он сам. Сначала финансовой жертвой атаки был сам владелец компьютера. А следующий «черный лебедь» под названием «социальная инженерия» привел к массовой краже и утечкам персональных данных и другой чувствительной информации, которая моментально появляется для продажи в даркнете и до сих пор пользуется спросом у мошенников. Это дало новый импульс развитию DLP-систем, которые ранее были более «заточены» под вопросы обеспечения комплаенса.

«Прилетевший» позже «черный лебедь», доказал, что ставшие массовыми, дешевыми, и являющиеся к тому же полноценными компьютерами, разнообразные гаджеты, смартфоны, устройства IoT, IP-видеокамеры и самые обычные сетевые принтеры при их взломе или перехвате управления над ними становятся полноценными участниками массовых атак. Выявленный в 2016 г. ботнет Mirai еще и еще раз доказал, что генералы действительно готовились к прошедшей войне.

Дальнейшие факты, включая пандемию Covid-19 и последствия событий 24 февраля 2022 г., позволили включить в список «пернатых дьяволов» еще немало пунктов. Но главное даже не в этом! А в том, что большинство представителей мирового ИБ-сообщества так и не смогли научиться предвидеть появление очередного «черного лебедя». Для минимизации последствий их прилетов ИТ-сообщество было вынуждено тратить инвестиции не на развитие бизнеса, а, например, на построение систем резервного копирования исключительно для борьбы с шифровальщиками и т.д. Понятно, что такая ситуация с ИБ мало кого устраивает.

Эксперты группы компаний InfoWatch нашли решение для отрасли информационной безопасности в вопросе выявления случайных событий, которые впоследствии и становятся так называемыми «черными лебедями».

Как поймать «черного лебедя»

Современный бизнес сегодня построен на эксплуатации своих цифровых активов и анализе огромных массивов данных, включая конфиденциальные. В ряде случаев можно утверждать, что довольно много видов деятельности перестали просто зависеть от той или иной информации, бизнес стал полностью цифровым: банки, телеком, онлайн-ритейл и частично госсектор (например, Единая биометрическая система, портал Госуслуг и т.д.). При этом никуда не делись персональные данных сотрудников, клиентов и контрагентов. Поэтому задача защиты данных встала весьма остро.

Однако, как показало совместное исследование InfoWatch и «Инфосекьюрити», большинство компаний защищает только порядка 20–30% данных. Весь остальной массив данных представляет собой «серую зону». Это происходит потому, что бизнес-процессы меняются стремительно, новые данные появляются ежедневно и службы ИБ не всегда могут своевременно выделять новые категории информации, нуждающиеся в защите. Все это происходит на фоне ежедневного сбора DLP-системой в целом ряде кейсов до миллиона событий в сутки.

В InfoWatch понимают, что критическая зависимость бизнеса от данных, а также от умения их защищать, и есть та отправная точка в поиске причин появления нового «черного лебедя». Ранее у безопасников не было эффективных инструментов для выявления случайностей в виде неизвестных информационных активов и их очевидных признаков, способных повлечь бизнес-катастрофу.

А теперь DLP-система, обладая в свою очередь огромным объемом информации о наличии цифровых активов и маршрутах ее перемещения в корпорациях, помогает работать с той самой «серой зоной» и неизвестными ранее данными, от которых зависит, «прилетит черный лебедь» в компанию или нет. Предвидеть «черного лебедя», связанного с утечкой данных, саботажем и диверсионной деятельностью собственных сотрудников, а также другими специфическими угрозами, обострившимися после 24 февраля 2022 г., вполне возможно.

Итак, что такое «черный лебедь» в ИБ с точки зрения DLP-вендора? Это некий информационный актив или бизнес-процесс для его обработки, который никак не отражен в политиках безопасности и поэтому остается вне систем защиты. При этом он способен при определенных условиях нанести вред компании, например, при утечке данных о нем наружу. Причиной тому может стать неактуальная политика ИБ.

Поддержание политик безопасности — это традиционная боль всех DLP-систем. Почему? Основная причина в том, что невозможно вручную перебрать миллионы событий, обнаружить документы — еще и при условии, что не знаешь, что искать. Мало того, многие инциденты представляют собой цепочку событий, каждое из которых по соответствующим документам компании легитимно.

Еще одна причина заключается в том, что даже если ручной разбор инцидентов приведет к нахождению неизвестного и незащищенного информационного актива, то при работе с обычной DLP-системой у безопасника увеличится объем задач, например, в области поиска подхода к защите с привлечением профессиональных лингвистов. Их задача — составить лингвистическую модель, то естьнабор стоп-слов и выражений, на которые должна реагировать DLP. Некоторые вендоры упрощают лингвистические модели до словарей, что сказывается на качестве детекта. Лингвистическая модель предполагает собой систему взаимосвязей слов с распределенными весами, расписанной морфологией, статистикой употребления слов для различных категорий, а также набор правил для выделения сущностей на основе регулярных выражений. На основе семантического и статистического анализа специалист формирует набор под необходимую категорию.

Такую модель как раз создают профессиональные лингвисты, так как требуются специальные знания и время, составляющее порядка 5–7 рабочих дней. А если это закрытая компания, где не предусмотрен допуск посторонних специалистов в их ИБ-системы? А если в трафике присутствует графическая информация или данные из CAD/CAM/CAE-систем, например, чертежи?

В итоге, как уже отмечалось выше, только 20–30% данных защищены. А остальные 70–80% данных находятся в «серой зоне». Что именно там содержится, кто из сотрудников работает с этой информацией, как она перемещается внутри компании, офицеры ИБ не знают. По этой причине сформировать критерии поиска и защиты данных невозможно. А значит, и ИБ, и весь бизнес в целом, остаются в неведении до тех пор, пока не произойдет инцидент, ведь спрогнозировать его заранее крайне трудно. Поэтому стоит задача —научиться узнавать о появлении угрозы в момент ее зарождения!

Гнездо «черного лебедя»

Сделать это можно, уменьшив объем «серой зоны». Для этого необходимо сократить до нескольких часов время составления новых политик ИБ, иначе DLP-система так и будет «защищать вчерашний день». На практике эту задачу не представляется возможным решить, применяя лишь ручной труд сотрудников ИБ-подразделений. И появление из «серой зоны» «черного лебедя» в виде крайне критического инцидента с конфиденциальными данными является вопросом времени.

На рынке попыток решить эту задачу пока немного, успешный подход есть у InfoWatch. Он заключается в использовании самообучаемого искусственного интеллекта при кластеризации данных и создании политик безопасности для DLP. Буквально за один час модуль в состоянии выявить ранее неучтенные категории информации, разбить их на тематические кластеры и составить лингвистическую модель, которая по качеству ничем не отличается от той, что пишут профессиональные лингвисты.

При выборе актуального для защиты кластера ИБ-специалисту не требуется просматривать все документы в нем. Достаточно ознакомиться с одним-двумя, этого вполне хватает для того, чтобы принять решение. Кроме того, сокращение «серой зоны» автоматически приводит к уменьшению ложноотрицательных сообщений DLP-системы, которые являются в настоящее время одним из наиболее раздражающих факторов для персонала, обслуживающего систему.

В итоге, качественно меняется характер работы безопасников с DLP-системой: она становится инструментом превентивного анализа появления инцидентов, а также анализа возможных причин, приведших к этому. В их числе могут быть саботаж сотрудников, увольнение топ-менеджеров, теневые бизнес-процессы и т.д.

Следствием применения технологии ИИ является снижение порога входа для работы с DLP-системой: снижаются требования к дефицитному ИБ-персоналу, а, значит, стоимость эксплуатация системы уменьшается и ускоряется время ее инсталляции. Это расширяет сферу применения DLP-систем за счет использования ее в малом и среднем бизнесе, где проблем с обеспечением конфиденциальных данных пока еще достаточно.

Весьма вероятно, что теория о «черных лебедях» в ИБ перестанет быть собранием двух книг. Очевидно, что уже появились все предпосылки говорить о трилогии!


Фото: © alexsvirid / Фотобанк Фотодженика

Читать полностью