Совсем недавно глава Сбербанка, самого защищенного от внешних кибератак банка в стране, Герман Греф, комментируя недавнюю утечку данных клиентов кредитной организации, заявил: «Нас предал сотрудник, который был нами обучен, окончил один из лучших вузов страны, а потом, используя все свои знания, решился на преступление, связанное с хищением данных, к которым имел доступ по долгу службы».  

Между этими событиями в Сбербанке и Трое — несколько тысяч лет, но все они наполнены подобными инцидентами. Сейчас же, когда кража и использование в своих целях чужой цифровой идентичности стала одной из основ киберкриминального бизнеса, выяснилось, что разницы между «реальной» и «виртуальной» идентичностью нет. Изменился и портрет человека: в массиве информации о каждом пользователе постоянно увеличивается количество реальной информации о нем, а не вымышленной, что не может не радовать хакеров.

Однако, если в открытые источники наподобие социальных сетей люди сами выкладывают приватную информацию, то в корпоративных IT-системах персональные данные должны надежно храниться в соответствии с требованиями многочисленных нормативных актов.

Но человек по-прежнему продолжает оставаться самым слабым звеном любой схемы защиты. Поэтому зачастую приходится не только хранить должным образом чувствительную информацию, но и контролировать действия собственного персонала, допущенного к ней, выявляя косвенные и прямые признаки нарушения режима ИБ в организации даже с использованием нарушителями легитимных приложений. Много сил уходит на организационные мероприятия, которыми занимаются кадровые службы и непосредственное руководство сотрудников. Ведется работа и по закрытию возможных каналов утечки данных, возникающих вследствие взаимодействия с внешними подрядчиками.

Несомненно, одна из главных ролей в этой «войне» отведена технологиям предотвращения утечек конфиденциальной информации из информационных систем (Data Leak Prevention, DLP). Эти системы существуют на рынке не первый год и непрерывно эволюционируют вместе с ним. Куда же направлен этот вектор и смогут ли ИБ-системы полностью оградить от рисков человеческого фактора в ИБ?

Владислав Фефелов, руководитель отдела продвижения решений компании Axoft, утверждает: «DLP — по-прежнему востребованный класс решений, который используется во многих организациях. Как и всем продуктам, им есть куда расти: например, DLP не способны решить проблему ручного копирования данных с экрана. Система должна развиваться по пути сокращения затрат на обслуживание, уменьшения количества инцидентов и давать средства автоматизации в расследовании этих инцидентов».

На прошедшем в сентябре 2019 года BIS Summit Наталья Касперская, президент ГК InfoWatch (мирового лидера в сегменте DLP), во время презентации показала слайд «Во что превратится технология DLP», где отдельно выделила шесть блоков развития DLP.

Человек, по-прежнему, продолжает оставаться самым слабым звеном любой схемы защиты

Рустэм Хайретдинов, вице-президент ГК InfoWatch, прокомментировал этот слайд следующим образом: «Для решения задач DLP мировым вендорам пришлось добавить в свои продукты технологии, далеко выходящие за пределы анализа контента на легитимность перемещения данных. Это и инструменты расследований, и корреляционные механизмы, и обогащение контентной информации поведенческим и бизнес-контекстом. Сегодня DLP-системы собирают и обрабатывают практически все события в корпоративной информационной системе, в отличие от SIEM, еще и умея обрабатывать семантический слой данных. На этих данных можно строить гораздо большую функциональность, чем DLP. Это и аналитика коммуникаций с выявлением “бутылочных горлышек”, и прогнозирование увольнений, и корпоративные персональные рейтинги, и выявление потенциальных нарушений на ранних этапах, и противодействие мошенничеству, а также много других ИБ-, IT-, кадровых, и бизнес-задач».

В технологическом треке BIS Summit доклад представителя InfoWatch вышел на второе место по итогам голосования зрительного зала, а ведь на сцене было представлено множество новинок. Что зацепило экспертов в зале?

На этот вопрос Рустэм Хайретдинов ответил следующим образом: «Думаю, что слушателей зацепило то, как с помощью новых технологий (больших данных, машинного обучения, предсказательной аналитики и др.) из уже имеющихся в информационной системе и как следствие в DLP-системе данных практически на глазах у зрителей извлекалось новое качество. Наблюдатели увидели: то, что исторически носит название DLP-система, давно уже является мощным аналитическим инструментом, построенным на понимании информационных потоков и бизнес-процессов компании, в которой она установлена. И это не традиционная бизнес-аналитика, которая всегда работает постфактум, а система защиты, которая может не только строить графики и менять цвет “светофоров”, а предсказывать и блокировать опасные действия».

UEBA — это технология, которая собственной ценности не имеет, но может существенно обогатить анализ событий и информационных потоков

Несомненно, именно этого — своевременного блокирования и информирования офицеров ИБ — недоставало, как показали расследования множества последних утечек данных, чтобы пресечь на корню инциденты. «Серебряной пули», конечно же, еще нет, а скорее всего, и не будет никогда, но на сегодняшний день успехи в области машинного обучения говорят о том, что вполне возможно и нужно обогащать DLP-системы информацией из решений класса User and Entity Behavior Analytics (UEBA). 

«Тренд развития UEBA — предоставлять пользователям детальную аналитику, собранную из других источников, по инцидентам информационной безопасности как извне, так и внутри организации. Среди тенденций также можно выделить возможность предоставления своевременной информации об аномалиях в IT-процессах, понимание, насколько инциденты значимы, и помощь IT-администраторам и ИБ-службам в реализации ответных мер», — полагает Владислав Фефелов.

Судя по некоторым докладам банковских специалистов в области ИБ, есть практические кейсы. Рустэм Хайретдинов довольно образно высказался о некоторых из них: «На наш взгляд, UEBA — это комплементарная методология и технология, которая собственной ценности не имеет, но может существенно обогатить анализ событий и информационных потоков, которые осуществляют SIEM и DLP. Методологии и технологии UEBA используются в DLP и SIEM уже десяток лет — например, когда DLP-системе недостаточно информации, полученной из почтового сообщения, чтобы принять решение о задержании или пропуске письма, на агент на рабочей станции запрашиваются действия пользователя — какие документы он открывал, на какие сайты ходил, в каких системах авторизовывался. То же самое и в SIEM — когда нельзя получить решения на основе, например, логов одной системы, запрашиваются данные о сотруднике: какие еще события он генерировал во время подозрительного события в информационной системе. Мы не выделяем UEBA в отдельный продукт, наши клиенты получают всю функциональность такого типа вместе с DLP-продуктом. Можно сказать, переиначивая цитату из Мольера “Не знал, что говорю прозой”, что корпорации давно пользуются функционалом UEBA, не зная, что он так называется».

Есть и другие технологии, сводящие к минимум человеческий фактор. Наверняка довольно скоро появится некий «джентльменский набор» средств DLP, потому что проблема стала весьма серьезной и требует незамедлительных мер. Поживем — увидим!