Журнал "Information Security/ Информационная безопасность" #6, 2024

Еще одним важным направлением работы DLP-систем является контроль за связями сотрудников, например, с конфликтно уволенными бывшими работниками, криминальными структу- рами, конкурентами или СМИ. Особое внимание уделяется группам риска, включающим в себя должников, нар- козависимых, игроманов и тех, кто имеет другие потенциальные слабости. Системы помогают вовремя предотвра- тить возможный ущерб, минимизируя угрозы. DLP-системы незаменимы в вопросах обеспечения соответствия регламентам, стандартам и законам. Они помогают компаниям выполнять требования зако- нодательства, такие как закон 152-ФЗ "О персональных данных", постановле- ние № 1119 и приказы ФСТЭК России №№ 17 и 21, а также рекомендации Банка России. При этом их возможности выходят далеко за рамки простого соот- ветствия нормам: они выявляют при- знаки промышленного шпионажа, сабо- тажа, террористических и экстремист- ских действий, а также нарушения режи- ма охраны. Интересная функциональность Для защиты конфиденциальной информации от утечек в современных системах используются специализиро- ванные модули – перехватчики. Эти инструменты аккумулируют данные из различных каналов коммуникации, ана- лизируют действия пользователей на персональных компьютерах, контроли- руют локальные и облачные хранилища. Перехватчики охватывают широкий спектр информации от текстовых сообщений в электронной почте и мес- сенджерах до графических материалов (чертежей, изображений и сканов доку- ментов, видеофайлов и архивов). Тех- нологии позволяют идентифицировать даже специфические элементы, напри- мер развороты паспортов, печати орга- низаций, платежные карты или кон- структорскую документацию, оформлен- ную по ГОСТ. Перехватчики размещают- ся в стратегически важных точках (на почтовых серверах, сетевых шлюзах, рабочих станциях), где они могут блоки- ровать подозрительный трафик или работать в режиме пассивного наблю- дения. Интересное и перспективное направ- ление – анализ действий сотрудников и контрагентов. Работа с аномалиями в поведении позволяет заранее выявлять зарождающиеся угрозы. Технология User Behaviour Analytics (UBA) дает возмож- ность автоматически анализировать поведение пользователей, обнаруживать отклонения от нормы и выявлять подо- зрительные действия, указывающие на потенциальные риски. В основе таких решений лежат теория вероятности, тео- рия случайных процессов и теория гра- фов, которые помогают моделировать поведение и выявлять скрытые угрозы. Коммуникации, действия на рабочих станциях и взаимодействие с системами становятся ключевыми элементами ана- лиза. Вся собранная информация система- тизируется и помещается в архив, что обеспечивает возможность ретроспек- тивного анализа. Если появляются новые обстоятельства, специалисты могут вер- нуться к архивным данным, чтобы выявить ранее пропущенные инциденты. Детализированные досье на сотрудников и внешние контакты включают в себя графы связей, скриншоты, данные об использовании приложений, активности в Интернете и отклонения в поведении. Одно из инновационных решений в этой области – универсальный плеер 4D, который объединяет в единую вре- менную линию данные из разных источ- ников. За одни сутки можно получить полную картину: сообщения, события безопасности, записи и снимки экрана, аудиофайлы. Это позволяет не только сократить время на расследование инци- дентов, но и минимизировать ошибки, связанные с человеческим фактором. Унифицированный подход значительно улучшает объективность и полноту ана- лиза, делая работу служб безопасности более эффективной и менее затратной. Что нового предлагают разработчики DLP-систем Современные DLP открывают перед компаниями новые возможности для автоматизации расследований инциден- тов в области информационной, эконо- мической и внутренней безопасности. Такие системы позволяют не только проводить расследования непосред- ственно в рамках самой DLP, используя ее как базовый инструмент и источник данных для формирования дела, но и управлять полным жизненным циклом инцидента – от момента регистрации до его завершения – в удобном едином интерфейсе. Особый интерес представляет подход к расследованию инцидентов, которые могли произойти как внутри цифрового периметра организации, так и за его пределами. Для упрощения и повышения наглядности работы все чаще приме- няются так называемые интерактивные доски, позволяющие визуализировать материалы дела и выявлять скрытые взаимосвязи. Безопасное хранение материалов рас- следований с разграничением доступа и журналированием операций уже стало стандартом в рамках DLP-систем. Одна- ко реализация дополнительных функций, например перевод речи в текст, пока доступна не всем компаниям. Тем не менее эта возможность становится логичным дополнением к функции запи- си аудио с микрофона рабочих станций, поскольку автоматическое извлечение текста из аудиозаписей существенно ускоряет обработку материалов, повы- шая качество выявления потенциальных угроз. Технически важным элементом DLP является возможность обновления аген- тов без необходимости перезагрузки систем. Казалось бы, очевидная функ- ция, но она реализована далеко не везде. Еще один ключевой аспект – своевременное обновление перехватчи- ков данных для работы с мессенджера- ми. Например, Telegram меняет свои протоколы до 10–12 раз в год, и чтобы предотвратить утечку информации, необходимо оперативно обновлять пере- хватчики на всех платформах – Windows, Linux и macOS. Оптимальный срок для таких обновлений – от 2 до 4 дней. DLP-системы действительно становят- ся мощным инструментом защиты дан- ных. Их использование помогает компа- ниям не только минимизировать риски утечек, но и существенно повысить эффективность работы службы безопас- ности. Применяйте системы DLP, они реально помогают! l • 63 Защита персональных данных www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru