InfoWatch на форуме DLP+. Искусственный интеллект защитит от утечек данных
Рынок DLP-систем в России динамично растет. Сегодня решения данного класса обладают большой функциональностью, выходящей далеко за пределы базовых задач – контроля трафика и блокировки подозрительных транзакций. Значительную роль в системах DLP начинают играть технологии искусственного интеллекта, позволяющие автоматизировать рутинные операции ИБ-специалиста и предупреждать инциденты превентивно. О том, каким образом искусственный интеллект может повысить эффективность выявления и расследования инцидентов, рассказал на форуме DLP+ руководитель направления InfoWatch Traffic Monitor компании InfoWatch Александр Клевцов.
«Для специалистов, которые занимаются внедрением и эксплуатацией DLP, не секрет, что заставить эту систему быть эффективной достаточно трудозатратно. Необходимо разобраться, какие данные нужно защищать, с какими рисками бороться, настраивать и актуализировать политики и технологии анализа, непосредственно заниматься мониторингом инцидентов и разбором событий. Это сложный, непрерывный процесс. Но сегодня искусственный интеллект может взять часть этих задач на себя. Существует несколько инструментов, которые уже разработаны в InfoWatch и используются нашими заказчиками», – рассказывает Александр Клевцов.
Александр Клевцов, руководитель направления InfoWatch Traffic Monitor, InfoWatch
Составление лингвистического словаря можно доверить роботу
Когда в компании уже определены информационные активы, которые подлежат защите от утечек, например, данные тендеров или закупок, DLP-системе может ставиться задача выявлять любое упоминание тендерной документации в корпоративной почте, чатах, мессенджерах и других используемых средствах коммуникации. Для этого систему нужно обеспечить качественным лингвистическим словарем: взять образцы первичных документов, выявить ключевые и не ключевые термины, создать лингвистическую модель, включающую сотни таких терминов, учитывая взаимосвязь между ними и их вес. По данным компании Infosecurity, эта работа занимает у профессионального лингвиста в среднем 5-7 рабочих дней, независимо от того, какая DLP-система используется в организации.
Учитывая, что у компании примерно 15-20 различных информационных активов, которые нужно защищать, создание эффективных политик безопасности – дорогая и трудозатратная процедура, занимающая по времени обычно больше месяца. Это является причиной того, что коренным обновлением политик DLP компании занимаются, по статистике, в среднем всего раз в год.
Технология «Автолингвист», входящая в состав программного комплекса Infowatch Traffic Monitor, на порядок сокращает время, затрачиваемое на лингвистический анализ документации и составление словаря. Достаточно загрузить в систему документацию в любом цифровом формате (Excel, PDF, DOCX и других), и буквально через минуту она сформирует новый лингвистический словарь. Причем по качеству работа искусственного интеллекта не будет уступать работе профессионального лингвиста – это показывают исследования InfoWatch.
Таким образом, теперь компания имеет возможность актуализировать и даже полностью пересматривать политики системы в любой момент, оперативно реагируя на изменившуюся бизнес-ситуацию – например, появление новых форм документов или присоединение филиала.
Защита от неизвестных угроз
Ежедневно через DLP-систему проходит гигантский объем событий, многие из которых не учтены и никак не отражены в политиках системы. Это так называемые «серые» события – не имеющие политик, маркеров и тегов, которые DLP могла бы отработать. ИБ-подразделения большинства компаний просматривают информацию о них лишь выборочно, например, если это касается увольняющихся сотрудников или данных, покидающих периметр. Обнаружить таким образом ложноотрицательное событие удается далеко не всегда.
Технология искусственного интеллекта Data Explorer, которая используются в системе Infowatch Traffic Monitor, автоматически находит в «сером» трафике новые виды документов, не отраженные в политиках DLP, распределяет их по категориям и предлагает защитить.
В отличие от «Автолингвиста», где используется машинное обучение, Data Explorer – самообучающийся компонент, который не нужно предварительно настраивать. DLP-система самостоятельно создает процесс противодействия ложноотрицательным срабатываниям, выявляя новые категории документов, которые никак не отражены в политиках системы.
Превентивная безопасность
Технологии искусственного интеллекта, применяемые в DLP-системах, позволяют автоматически, без участия специалиста, не только выявлять, но и предупреждать инциденты, не учтенные определенной политикой. Система предиктивной аналитики прогнозирует риски разного направления: например, использование аномального объема информации, потенциальное увольнение ключевого сотрудника, злоупотребление доступом, нелояльность сотрудника к компании. По каждому сотруднику программа проводит персональный скоринг и анализирует его.
Таким образом от мониторинга и блокировки инцидентов служба безопасности компании с помощью интеллектуальных инструментов системы DLP переходит к предсказанию инцидентов. Это кардинально меняет процесс защиты информационных ресурсов организации от внешних и внутренних угроз.
«Искусственный интеллект сегодня способен “перемалывать” миллионы событий, которые есть в вашем трафике, анализировать первичную документацию и формировать словари – то есть выполнять тяжелый труд, требующий скрупулезной работы с большим объемом информации. Роль человека в этом процессе заключается в управлении системой и вынесении ключевых решений», – делает вывод Александр Клевцов.
* * *
На портале ICT-Online.ru опубликован детальный обзор российского рынка DLP-систем: первая часть посвящена особенностям и главным трендам рынка, вторая часть – практике внедрения и использования ведущих DLP-систем.