Журнал "Information Security/ Информационная безопасность" #3, 2023

На ранних стадиях шахматной партии, в то время как стратегия противника и его предполагаемые действия еще неясны, следует тщательно проанализи- ровать и адаптировать собственный план игры, исходя из текущей ситуации на доске. Ключевым аналогом этому в кон- тексте информационной безопасности становится вопрос об обеспечении непре- рывного и всестороннего контроля над информационными потоками внутри организации. В первую очередь это каса- ется прозрачности хранения и передачи данных, а также понимания, насколько детально мы осведомлены об информа- ции, которую используют наши сотруд- ники, насколько актуальными остаются политики безопасности и с какой часто- той их следует обновлять. Интеллектуальный анализ и автоматическая классификация для актуализации ИБ-политик На вебинаре InfoWatch летом 2023 г. вместе с представителем одной крупной финансовой структуры мы подняли важ- ный вопрос о необходимости регуляр- ного обновления политик безопасности и борьбе с "серой зоной" событий, кото- рые не были размечены DLP-системой. Эта дискуссия вызвала большой резо- нанс, и мы решили освежить основные моменты в этой статье. "Серая зона" – это те события в тра- фике компании, которые не затронуты правилами (политиками) защиты данных DLP-cистемы. Причин появления таких событий несколько: это может быть принципиально новое событие, связан- ное с расширением филиальной струк- туры компании или перераспределением бизнес-задач существующих подразде- лений, когда отдел начал работать с новым типом документов. Или это может быть новый процесс внутри организации, который не отражен в правилах защиты, когда сотрудник использует в работе нетипичный для отдела вид документов. Подобные данные и события, не соот- ветствующие определенным шаблонам или политикам, могут не быть должным образом обработаны или классифици- рованы DLP-системами. В контексте ИБ это считается проблемной областью, потому что новые или неразмеченные события могут привести к выходу важных данных за периметр организации. Новое поколение DLP стремится более эффективно обрабатывать "серую зону", используя более продвинутые методы обнаружения и анализа данных, о чем мы и рассказали на вебинаре по поиску и расследованию инцидентов. В резуль- тате дискуссии спикеры пришли к выво- ду, что само желание разобрать и мини- мизировать "серую зону", когда система отрабатывает более 2 млн событий в неделю, – это уже начало решения. Компания InfoWatch разрабатывает тех- нологии для автоматизации процесса обновления политик безопасности: речь о технологии для автоматической кате- горизации документов, в том числе из "серой зоны". Головным мозгом DLP-системы Info- Watch Traffic Monitor являются технологии анализа, а вестибулярным аппаратом – технология категоризации документов, кото- рая помогает удерживать равновесие – состояние, когда под контролем нахо- дятся 100% важных документов. Процесс сортировки по смыслу ранее неизвестных системе документов называется класте- ризацией (рис. 1). В ее основе использу- ется принцип машинного обучения без учителя, именно поэтому технология спо- собна эффективно работать без предва- рительных настроек и словарей в усло- виях полной неизвестности. В результате исследования документооборота компа- нии кластеризация разложит договоры на закупки, договоры на продажу, прайс- листы, даже если соответствующие собы- тия не размечены политиками. Аннотация к каждой категории поможет ознако- миться со смыслом документов, а теги позволят офицеру безопасности быстро найти конкретный файл в трафике. После того как система разложила все документы на категории, можно переходить к следующему этапу, кото- рый относится к уникальным возможно- стям DLP-системы InfoWatch Traffic Moni- tor. Речь об автоматизированном про- цессе настройки политик и мгновенном создании новых отраслевых словарей, в основе которых лежит машинное обучение с учителем. После того как технология кластеризации поможет раз- ложить документы по смыслу, сотрудник отдела информационной безопасности может ознакомиться и найти новые для себя категории документов, а также определить, нужно ли создавать новый 18 • СПЕЦПРОЕКТ Атакующий дебют: разбор неразмеченных событий в DLP ы находимся в зоне постоянной турбулентности: смена парка ИТ-решений на волне импортозамещения, поиск и наладка новых коммуникационных каналов, требования бизнеса высокой скорости принятия решений, новые требования регуляторов и обсуждаемые законы об ужесточении контроля персональных данных. Чтобы оставаться на волне в бушующем океане данных и быстроизменяющемся мире ИТ, компания InfoWatch 1 делает ставку на когнитивные технологии и автоматизацию процессов информационной безопасности. М В карете прошлого далеко не уедешь. М. Горький, “На дне", 1902 г. Рис. 1. Автоматизация процесса разбора большого количества документов на категории по смыслу с аннотацией для быстрого ознакомления и тегами для оперативного поиска 1 https://www.infowatch.ru