Журнал "Information Security/ Информационная безопасность" #3, 2022

Инсайдеры продолжают "сливать" информацию, а хакеры – атаковать, вооружившись более технологичными инструментами. Все чаще эти две группы работают вместе, осуществляя гибрид- ные атаки. Теперь, чтобы соответствовать новой обстановке и актуальным требованиям регулятора, заказчикам приходится еще щепетильнее подходить к выбору DLP- системы (Data Loss Prevention). И этот выбор все больше зависит от наличия технологий искусственного интеллекта и возможностей автоматизации. Искусственный интеллект автомати- чески обрабатывает большие массивы данных, кратно превосходящие те, что раньше обрабатывались вручную. С его помощью можно автоматизировать тру- дозатратные операции и минимизиро- вать ручной труд, применяя гибкие инструменты для быстрого решения практических задач, на которые прежде тратились дни и недели, а также делать многое из того, о чем раньше оставалось только мечтать, например заранее про- гнозировать инциденты. В DLP-системе InfoWatch Traffic Monitor искусственный интеллект применяется для настройки политик безопасности, анализа данных и поведения сотрудни- ков (UBA). Визуальная аналитика (BI- система), поддерживающая отечествен- ные ОС, позволяет ускорять расследо- вания с помощью динамичных виджетов статистики и графа связей. Автоматическая категоризация документов за 1 час Категоризация информации – трудо- емкая задача для службы ИБ при внед- рении DLP. Перечень информационных активов, требующих защиты, со време- нем меняется. А при быстрых изменениях внешней среды бизнес-процессы меняются еще быстрее, производя на свет новые виды конфиденциальных документов. Чтобы перечень оставался актуальным, можно опрашивать бизнес- подразделения или производить выбо- рочную проверку трафика в режиме так называемой свободной охоты. Обычно это делается не чаще чем раз в полгода- год. Если делать чаще, то компании это обойдется дороже, не говоря уже об увеличении нагрузки на службу ИБ, у которой имеется и ряд других посто- янных задач, помимо этой. С помощью InfoWatch Data Explorer актуализировать перечень защищаемых документов можно хоть каждый день. Модуль "просматривает" весь трафик в организации и с помощью ИИ распре- деляет все документы, которые пересы- лались, по категориям, без участия чело- века. Специалисту ИБ остается лишь принять решения о том, что необходимо защищать. "Автолингвист" обучает DLP новым категориям информации за 1 день Когда известно, какие категории информации необходимо защищать, воз- никает другая задача: обучить DLP этим новым категориям. Для формирования словаря раньше требовались профессиональные лингви- сты и несколько дней. В результате получался словарь, который учитывал все словоформы, транслитерацию, опе- чатки и относительную частоту исполь- зования слов, что повышало точность детектирования. "Автолингвист" может формировать словарь за один день, и не хуже, чем профессиональный лингвист. Достаточно предъявить модулю DLP на основе искусственного интеллекта "Автолингвист" десятки документов по новой теме, и он автоматически сфор- мирует словарь, на основе которого похожие документы в будущем начнут распознаваться как относящиеся к опре- деленной тематике. Коллекцию доку- ментов можно подобрать самостоятель- но или использовать результаты Info- Watch Data Explorer. "Автолингвист" не требует от сотруд- ников специальных навыков и справ- ляется с задачей за считанные минуты. Заказчик может самостоятельно обучить DLP-систему, а это значимое преиму- щество, если с конфиденциальными документами не должен работать никто из посторонних, включая специалистов по внедрению DLP. То же относится и к графическим дан- ным: систему можно обучить детектиро- ванию однотипных изображений, харак- терных для конкретного заказчика, будь то схемы бизнес-процессов, карты гео- логоразведки, чертежи или другие доку- менты в графическом формате. Быстрые расследования с помощью визуальной аналитики BI-модуль визуального анализа данных в режиме реального времени представ- ляет данные DLP в виде статистики и графа связей. Благодаря ему возможен быстрый поиск сопряженных с инциден- том событий. InfoWatch Vision позволяет исследовать коммуникации сотрудников и пути перемещения документов, ана- лизировать круг общения подозревае- мых, работать со статистикой в поисках инцидентов и аномалий даже в "серой зоне", выгружать отчеты. Особенностью модуля является его высокая производительность. Граф свя- зей может отображать одновременно до 50 тыс. узлов и быстро перестраи- ваться при изменении фильтров, что делает его пригодным для интерактив- ного анализа данных и коммуникаций. Такая скорость возможна благодаря использованию технологий, применяе- мых при разработке компьютерных игр. UBA на основе искусственного интеллекта для прогнозирования рисков InfoWatch Prediction отличается от дру- гих решений класса UBA, оно создано на основе искусственного интеллекта для предиктивного анализа данных, кото- рые собирает DLP-система Traffic Monitor. Чтобы прогнозировать инциденты, необходимо выявить признаки готовя- щегося нарушения. Отличие InfoWatch Prediction от аналогов в том, что система не делает выводы об аномалиях в пове- дении на основании жестко задаваемых усредненных параметров или, тем более, на основании психологического портрета сотрудника, не имеющего четкой связи с намерением совершить нарушение. InfoWatch Prediction – UBA-система на основе искусственного интеллекта, с помо- щью которого она анализирует более 200 параметров по всем необходимым каналам связи, выстраивает профили пользовате- лей, ищет отклонения от привычного пове- дения и выявляет подозрительные паттер- ны, состоящие из набора событий. Info- 18 • СПЕЦПРОЕКТ Новое время диктует отказ от старых представлений о DLP-системах и защите от утечек информации нформационный ландшафт значительно изменился под влиянием пандемийного и постпандемийного времени, подняв ценность информационных активов на новый уровень. 2022 год подлил масла в огонь, продемонстрировав абсолютное влияние мировой политики на работу российских компаний. При этом традиционные риски ИБ никуда не делись. И