Банковское обозрение

Финансовая сфера


27.11.2019 Аналитика
Нет человека — нет проблемы

Строители Трои, древнего города-крепости в Малой Азии, полагали, что возводят самую защищенную от атак многочисленных врагов крепость. Но она пала. Причиной стало то, что сейчас называют «человеческий фактор»


Совсем недавно глава Сбербанка, самого защищенного от внешних кибератак банка в стране, Герман Греф, комментируя недавнюю утечку данных клиентов кредитной организации, заявил: «Нас предал сотрудник, который был нами обучен, окончил один из лучших вузов страны, а потом, используя все свои знания, решился на преступление, связанное с хищением данных, к которым имел доступ по долгу службы».  

Между этими событиями в Сбербанке и Трое — несколько тысяч лет, но все они наполнены подобными инцидентами. Сейчас же, когда кража и использование в своих целях чужой цифровой идентичности стала одной из основ киберкриминального бизнеса, выяснилось, что разницы между «реальной» и «виртуальной» идентичностью нет. Изменился и портрет человека: в массиве информации о каждом пользователе постоянно увеличивается количество реальной информации о нем, а не вымышленной, что не может не радовать хакеров.

Однако, если в открытые источники наподобие социальных сетей люди сами выкладывают приватную информацию, то в корпоративных IT-системах персональные данные должны надежно храниться в соответствии с требованиями многочисленных нормативных актов.

Но человек по-прежнему продолжает оставаться самым слабым звеном любой схемы защиты. Поэтому зачастую приходится не только хранить должным образом чувствительную информацию, но и контролировать действия собственного персонала, допущенного к ней, выявляя косвенные и прямые признаки нарушения режима ИБ в организации даже с использованием нарушителями легитимных приложений. Много сил уходит на организационные мероприятия, которыми занимаются кадровые службы и непосредственное руководство сотрудников. Ведется работа и по закрытию возможных каналов утечки данных, возникающих вследствие взаимодействия с внешними подрядчиками.

Несомненно, одна из главных ролей в этой «войне» отведена технологиям предотвращения утечек конфиденциальной информации из информационных систем (Data Leak Prevention, DLP). Эти системы существуют на рынке не первый год и непрерывно эволюционируют вместе с ним. Куда же направлен этот вектор и смогут ли ИБ-системы полностью оградить от рисков человеческого фактора в ИБ?

Владислав Фефелов, руководитель отдела продвижения решений компании Axoft, утверждает: «DLP — по-прежнему востребованный класс решений, который используется во многих организациях. Как и всем продуктам, им есть куда расти: например, DLP не способны решить проблему ручного копирования данных с экрана. Система должна развиваться по пути сокращения затрат на обслуживание, уменьшения количества инцидентов и давать средства автоматизации в расследовании этих инцидентов».

На прошедшем в сентябре 2019 года BIS Summit Наталья Касперская, президент ГК InfoWatch (мирового лидера в сегменте DLP), во время презентации показала слайд «Во что превратится технология DLP», где отдельно выделила шесть блоков развития DLP.

Человек, по-прежнему, продолжает оставаться самым слабым звеном любой схемы защиты

Рустэм Хайретдинов, вице-президент ГК InfoWatch, прокомментировал этот слайд следующим образом: «Для решения задач DLP мировым вендорам пришлось добавить в свои продукты технологии, далеко выходящие за пределы анализа контента на легитимность перемещения данных. Это и инструменты расследований, и корреляционные механизмы, и обогащение контентной информации поведенческим и бизнес-контекстом. Сегодня DLP-системы собирают и обрабатывают практически все события в корпоративной информационной системе, в отличие от SIEM, еще и умея обрабатывать семантический слой данных. На этих данных можно строить гораздо большую функциональность, чем DLP. Это и аналитика коммуникаций с выявлением “бутылочных горлышек”, и прогнозирование увольнений, и корпоративные персональные рейтинги, и выявление потенциальных нарушений на ранних этапах, и противодействие мошенничеству, а также много других ИБ-, IT-, кадровых, и бизнес-задач».

В технологическом треке BIS Summit доклад представителя InfoWatch вышел на второе место по итогам голосования зрительного зала, а ведь на сцене было представлено множество новинок. Что зацепило экспертов в зале?

На этот вопрос Рустэм Хайретдинов ответил следующим образом: «Думаю, что слушателей зацепило то, как с помощью новых технологий (больших данных, машинного обучения, предсказательной аналитики и др.) из уже имеющихся в информационной системе и как следствие в DLP-системе данных практически на глазах у зрителей извлекалось новое качество. Наблюдатели увидели: то, что исторически носит название DLP-система, давно уже является мощным аналитическим инструментом, построенным на понимании информационных потоков и бизнес-процессов компании, в которой она установлена. И это не традиционная бизнес-аналитика, которая всегда работает постфактум, а система защиты, которая может не только строить графики и менять цвет “светофоров”, а предсказывать и блокировать опасные действия».

UEBA — это технология, которая собственной ценности не имеет, но может существенно обогатить анализ событий и информационных потоков

Несомненно, именно этого — своевременного блокирования и информирования офицеров ИБ — недоставало, как показали расследования множества последних утечек данных, чтобы пресечь на корню инциденты. «Серебряной пули», конечно же, еще нет, а скорее всего, и не будет никогда, но на сегодняшний день успехи в области машинного обучения говорят о том, что вполне возможно и нужно обогащать DLP-системы информацией из решений класса User and Entity Behavior Analytics (UEBA). 

«Тренд развития UEBA — предоставлять пользователям детальную аналитику, собранную из других источников, по инцидентам информационной безопасности как извне, так и внутри организации. Среди тенденций также можно выделить возможность предоставления своевременной информации об аномалиях в IT-процессах, понимание, насколько инциденты значимы, и помощь IT-администраторам и ИБ-службам в реализации ответных мер», — полагает Владислав Фефелов.

Судя по некоторым докладам банковских специалистов в области ИБ, есть практические кейсы. Рустэм Хайретдинов довольно образно высказался о некоторых из них: «На наш взгляд, UEBA — это комплементарная методология и технология, которая собственной ценности не имеет, но может существенно обогатить анализ событий и информационных потоков, которые осуществляют SIEM и DLP. Методологии и технологии UEBA используются в DLP и SIEM уже десяток лет — например, когда DLP-системе недостаточно информации, полученной из почтового сообщения, чтобы принять решение о задержании или пропуске письма, на агент на рабочей станции запрашиваются действия пользователя — какие документы он открывал, на какие сайты ходил, в каких системах авторизовывался. То же самое и в SIEM — когда нельзя получить решения на основе, например, логов одной системы, запрашиваются данные о сотруднике: какие еще события он генерировал во время подозрительного события в информационной системе. Мы не выделяем UEBA в отдельный продукт, наши клиенты получают всю функциональность такого типа вместе с DLP-продуктом. Можно сказать, переиначивая цитату из Мольера “Не знал, что говорю прозой”, что корпорации давно пользуются функционалом UEBA, не зная, что он так называется».

Есть и другие технологии, сводящие к минимум человеческий фактор. Наверняка довольно скоро появится некий «джентльменский набор» средств DLP, потому что проблема стала весьма серьезной и требует незамедлительных мер. Поживем — увидим!







Сейчас на главной