Компания InfoWatch рассказала о дополнительных возможностях DLP-системы Traffic Monitor. Обновления, реализованные в продукте, позволяют пользователям быстро реагировать на изменения ситуации, чтобы обеспечить надежную защиту данных. Достигается это несколькими способами: меньше времени занимают рутинные операции, оперативно определяются тренды, формируется понимание возможных проактивных действий.

Последовательное проникновение технологий во все сферы деятельности несет с собой новые вызовы. На фоне повышения уровня цифровизации увеличивается количество данных, одновременно меняется ландшафт коммуникаций, перевод сотрудников на удаленку привел к тому, что корпоративный периметр продолжает размываться. В результате происходящих перемен возрастает скорость изменения бизнес-процессов, что также является вызовом для служб информационной безопасности.

Защита актуальных данных

Ценность системы DLP во многом определяется тем, насколько актуальные данные защищаются с ее помощью. На эти предпосылки обновления DLP-системы Traffic Monitor обратил внимание представитель компании InfoWatch Александр Клевцов.

Для пользователей DLP-системы особенно важно, чтобы политики отражали актуальные информационные активы, которые постоянно меняются. Решение этой и других задач невозможно без использования инструментов искусственного интеллекта. При формировании или расширении пула политик DLP-системы, в процессе настройки технологии анализа следует учитывать много факторов. Но предварительно специалистам нужно понять, какая информация циркулирует в компании, как структурировать ее по степени важности, каким документам требуется обеспечить соответствующий уровень защиты. Как показывает практика, только сбор образцов документов занимает в компании минимум две недели.

Чтобы ускорить данную процедуру, позволяющую понять, что предстоит защищать, в DLP-системе Traffic Monitor реализована новая технология на основе ИИ, обеспечивающая процесс кластеризации. Суть ее в том, что собранный DLP-системой трафик, который отражает текущий документооборот компании, структурируется по направлениям и сопровождается аннотациями (договоры продажи, должностные инструкции, финансовые документы и т. д.). В компании утверждают, что технология не требует предварительной настройки, может работать в условиях неизвестности. Возможность кластеризации неразмеченного трафика доступна пользователям системы с версии 7.2. Еще одна реализованная в системе технология на базе ИИ обучается на кластерах документов и формирует новые категории информации, необходимые для создания актуальных политик.

Оперативно собранные образцы документов – полдела. Следующий шаг – формирование политик, которые приходится регулярно обновлять по мере изменения бизнес-процессов. Процедура трудоемкая, занимает от месяца и больше, поскольку требует пересмотра информационных активов, перенастройки политик безопасности и т. д. В новой версии Traffic Monitor появился инструмент, который позволяет сформировать лингвистический словарь на основе документов за одну минуту.

По словам Александра Клевцова, использование данного инструмента не требует ни навыков компьютерного лингвиста, ни даже понимания того, как устроен лингвистический анализ. При этом качество словарей сопоставимо с качеством результата работы человека – компьютерного лингвиста.

Во время демонстрации возможностей системы для партнера была поставлена задача обеспечить защиту информацию категории «нефтегаз». Обучали систему на десяти образцах документов. Этого было достаточно, чтобы система позволила «отлавливать» акты перемещений нефтепродуктов, документы по правилам эксплуатации трубопроводов и т. п. с учетом нюансов документооборота компании. Примечательно, что документы различаются по формату, объему и содержанию, что не является препятствием для эффективного использования этой технологии на базе ИИ.

Другой не менее важный аспект функционирования DLP-системы – перехват. «Если нет перехватчика, который покрывает все каналы коммуникации, то толку от технологий анализа будет немного. Фундаментом DLP-системы является технология перехвата данных», – заметил эксперт.

Однако сколько бы DLP-вендор ни наращивал каналы перехвата (от версии к версии продукта), у заказчиков всегда появится канал, который система на данный момент не поддерживает. Представитель InfoWatch сообщил о появлении технологии универсального перехватчика, которая позволяет быстро реагировать на запрос заказчика, даже с учетом экзотических сценариев (с точки зрения перехватов данных, контроля конкретных приложений, средств коммуникации).

Например, одной из компаний нужно было фиксировать каждый факт выгрузки на диск чертежей из системы электронного документооборота. Для того чтобы отреагировать на этот запрос, специалистам InfoWatch понадобилось четыре часа, рассказали на вебинаре. Столько времени требуется для настройки перехвата любого нового канала. Одно из последних реализованных решений – перехват данных при их добавлении в шифрованные архивы. DLP-cистема обнаружит нарушения в шифрованном архиве: перехват можно осуществить в момент добавления файла в архив. Универсальный перехватчик файлов от InfoWatch не зависит от протокола приложения, способа шифрования, специфики передачи данных веб-сервиса.

Для снижения издержек и масштабирования инфраструктуры многие предприятия используют облачные решения. С учетом этого обстоятельства в новом релизе системы выполнена интеграция с облачным сервисом Microsoft Teams. Это дает возможность контролировать коммуникации сотрудников, использующих для работы личные электронные устройства, домашние компьютеры и т. д.

Начиная с версии 7.2 повысилась скорость масштабирования DLP-системы. В компании утверждают, что вышли на показатель 10 тыс. агентов за пять рабочих дней. Заказчики получили возможность воспользоваться такой функцией, как автоматическая установка агентов на новые рабочие станции.

Для того чтобы специалисты по информационной безопасности меньше времени тратили на рутину, четко представляли себе текущую ситуацию, тренды и сумели адекватно реагировать, вендор расширил доступные возможности визуализации данных и предиктивной аналитики.

BI-возможности InfoWatch Vision

Представитель компании InfoWatch Марина Маркелова рассказала о нескольких модулях, которые подключаются к системе и помогают анализировать то, что DLP-система собирает в ежедневном режиме.

У пользователей есть возможность проверять оперативную обстановку на предмет нарушений. На предлагаемом наборе графиков отражается, в частности, какие политики нарушаются, в какое время и с какими ресурсами работают сотрудники, какие ресурсы посещают, какая информация накапливается на флешке, какие документы наиболее активно «путешествуют» по компании и т. д. Визуальное представление собранных данных упрощает задачу ежедневного мониторинга. Статистика, диаграммы и граф связей формируются на лету.

Как это работает, специалисты пояснили на конкретном примере. В открытом доступе обнаружили фото гарантийного письма. Для того чтобы выявить виновных в утечке документа, понадобился всего час. Поиск через InfoWatch Vision по общей части в имени файла показал все копии документа. На графе отразилась группа сотрудников, которые участвовали в составлении документа. Утечке поспособствовала выгрузка документа в сетевую папку для совместной работы. Основным подозреваемым оказался сотрудник, который не участвовал в обсуждении, но распечатал документ. Этих фактов достаточно, чтобы установить причину случившегося, проанализировать, почему это стало возможным, и принять меры.

Удаленная работа сотрудников усложнила анализ коммуникаций через их личные контакты, когда сотрудники пересылают рабочие письма себе на почту и почту коллег. Появившийся в системе фильтр помогает увидеть такие коммуникации на графе, отобрать все события с личными контактами. Кроме того, можно анализировать нетипичные маршруты взаимодействия, отслеживать новые ресурсы для онлайн-контактов. Фильтр «уволенные» помогает отобразить переписку с бывшими коллегами. С учетом таких изменений легко скорректировать политики безопасности.

 

Новый модуль Prediction (предиктивная аналитика) помогает сэкономить время на проведении ежедневного анализа, поиска инцидентов среди событий. По словам Марины Маркеловой, в этом модуле на основе ИИ заложен принцип «обучение без учителя». Система подсвечивает риски (их признаки), связанные с тем или иным работником, в виде рейтинга. Затем офицеру безопасности предоставляется возможность посмотреть на список сотрудников, отсортированный по уровню рисков.

Модуль Prediction анализирует поведение сотрудника сейчас и в прошлом, оценивает, насколько оно аномально (например, много информации копирует в облако или пересылает на личную почту). К слову, повышенный интерес к выводу информации кадровики называют одним из признаков подготовки к увольнению. На основе технологии предиктивной аналитики можно обнаружить нелояльных компании сотрудников, допускающих отклонение от бизнес-процессов.

Наличие инструментов для анализа данных – визуального, предиктивного – позволяет судить об эффективности DLP-системы. Что касается преимуществ Traffic Monitor относительно других решений на рынке, то представители компании InfoWatch отмечают возможность анализа всех поступающих в эту DLP-систему данных по любым каналам.

Модули анализа дублируют функции офицера безопасности, правда, с той разницей, что технологии и инструменты ИИ ничего не упускают из виду. Риски, характерные для отдельных сотрудников, их динамика формируются на основе объективных данных, а не абстрактных оценок. Всегда можно обнаружить события, ставшие признаками того или иного рискованного поведения, а значит, со знанием дела ответить на вопрос, почему так случилось.

https://www.connect-wit.ru/

 

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Цифровой девелопмент

Подробнее
Спецпроект

Машиностроительные предприятия инвестируют в ПО

Подробнее


Подпишитесь
на нашу рассылку