Круглый стол DLP, DCAP и противодействие инсайдерам

На вопросы журнала «Информационная безопасность» ответил технический директор ARinteg Максим Деев.

1. Какие инновации в классах решений DLP и DCAP появились за последний год и как они улучшают защиту данных?

– Благодаря прорывному развитию нейронных сетей значительно продвинулась автоматизация исследования документов и их фрагментов, в том числе изображений, фото. В настоящий момент ряд заказчиков крайне настороженно относятся к понятию «искусственный интеллект», считая это "сырой" технологией. Действительно, любая технология с использованием ИИ требует длительного обучения в конкретной инфраструктуре и контроля со стороны человека. Однако нельзя забывать, что именно поведенческий анализ действий пользователя стал одним из основных методов обнаружения злоумышленников.

2. Какие новые технологии и классы решений появились на стыке с DLP и DCAP для дополнения функциональности в задаче противодействия утечкам по вине инсайдеров?

– Параллельно с развитием аналитических возможностей DLP и DCAP большое внимание на рынке уделяют контролю путей распространения информации.

Например, передача конфиденциальных документов в большинстве организаций ведется посредством зашифрованных zip-архивов и передачи пароля к ним по стороннему каналу. ARinteg, в собственной разработке – архиваторе ARZip – реализовал возможность работы DLP с запароленными архивами, что долгое время представлялось невозможным для любых систем.

Разработка компании ARinteg – архиватор ARZip – при интеграции по API с DLP позволяет автоматически проверять содержание запароленных архивов на предмет конфиденциальной информации, что позволяет исключить утечку данных через них. Если в запароленных архивах нет ничего недозволенного, то файл отправляется адресату. В противном случае DLP направит файл в карантин и оповестит сотрудника службы безопасности.

С ARZip компании устанавливают DLP «в разрыв», т.е. система сразу блокирует передачу нежелательной информации. С ARZip при интеграции с DLP компании усиливают свою кибербезопасность и могут более рационально использовать имеющиеся ресурсы. У них снижаются риски, свойственные человеческому фактору, минимизируются риски штрафов, в т.ч. за утечки ПДн, санкции за которые готовятся ужесточить.

3. Можно ли утверждать, что генеративные модели уже полноценно внедрены в ИБ-решения или это дело будущего?

– Данные технологии будут хорошим подспорьем специалистам, но они не способны самостоятельно сформировать действенного результата без предварительной обработки исходной выборки. Генеративные модели позволяют при должной подготовке создать для специалиста более полные, даже избыточные данные, требующие продолжительной обработки. Польза от их использования заключается в том, что исключаются ошибки, связанные с человеческим фактором, мы получаем большее многообразие результатов.

4. В каком направлении идет развитие отчетности, аналитики и возможностей расследования в DLP и DCAP?

– Постепенно разработчики отходят от политики «закрытых» систем, появляется все больше возможностей интеграций с продуктами сторонних производителей. Много внимания уделяется гибкости настройки различных аспектов управления и возможностей мониторинга, исчезают жестко заданные рамки в отображении информации, повышается удобство и отзывчивость систем.

5. Целесообразно ли от решений класса DLP и DCAP требовать реализацию концепции Zero Trust?

– Политика «нулевого доверия» – несбыточная мечта для подавляющего большинства компаний. Для пользователей это подразумевает множество неудобств и, как следствие, снижение их продуктивности. Для части инфраструктурных решений, компрометация или уязвимости которых могут дать доступ к ресурсам, не существует достойных аналогов. Реализация Zero Trust неизбежно вызовет отторжение у пользователей вследствие повышения количества необходимых действий и проверки множественных ложных «сработок».

6. Какие новые вызовы стоят перед DLP-системами на ближайшие 2-3 года?

– Из-за проблем глобального перехода на отечественные продукты разработчикам DLP и DCAP систем приходится быть крайне гибкими по отношению к поддержке расширяющего списка инфраструктурных активов, путей утечек данных. Ужесточение законодательства приводит к необходимости разработки новых правил обнаружения и анализа. Именно наполненность «коробочного» исполнения систем будет в ближайшее время основополагающим фактором при их сравнении и выборе.