ИИ – как предсказатель утечек данных

ИИ – как предсказатель утечек данных

Лучше ничего не делать, чем делать вредное” (Л.Толстой)

“Прогресс цивилизации заключается в увеличении количества важных действий, которые мы выполняем не думая (Альфред Норт Уайтхед)

“Шеф поставил задачу - подобрать DLP-систему и просчитать её стоимость” (с одного из банковских форумов)


Журнальная версия статьи  была опубликована в " Information Security/Информационная безопасность"  №3, 2020 . Там же представлены комментарии производителей DLP-решений по заявленной теме. 

Личный опыт использования какой-либо технологии всегда сильнее любого маркетинга. Опыт работы с DLP-решениями влияет на знание деталей применения, а осмысление этого опыта подталкивает иногда к довольно радикальным формулировкам.

name='more'>

 

Когда покупаешь DLP-решение, чувствуешь себя личностью, когда эксплуатируешь – лохом

Почему? Попробуем порассуждать.

Стандартное DLP-решение (Data Leak Prevention) позиционируется как решение по защите от утечек данных и противодействию инсайдерам. DLP – недешёвое удовольствие. Такое решение, при расчете на количество охваченных системой пользователей в диапазоне 1500-2000 человек в докризисные времена могло стоить 10-12 млн. рублей. Поэтому, когда безопаснику руководство согласовывает бюджет на DLP, он чувствует себя значительной личностью в компании - лицом, влияющим на принимаемые решения.

Теперь объясню, почему “лохом” при переходе на стадию эксплуатации DLP.

Мы уже слышали на профильных конференциях высказывания типа: “половина инвестиций в обеспечение информационной безопасности неэффективна”. С DLP-решениями, как мне кажется, это как-раз тот случай. Проблемы эксплуатации DLP-систем кроются не столько в технических аспектах их работы, сколько в непонимании на начальном этапе эксплуатации сложности внедрения применяемых технологий и, как следствие, в завышенных ожиданиях пользователей таких систем. У меня отношение к DLP такое же, как к Microsoft Office. Большинство потребителей использует только, условно говоря, 10% возможностей подобного ПО.

Что характерно: базовые вещи в DLP-системе, такие как: контроль почты, контроль съемных носителей, поиск по ключевым словам, регулярные выражения, а также нелюбимые всеми DLP-агенты работают нормально.

Но богатство деталей применения DLP может изменить картину до неузнаваемости.

 

Тонкости DLP-систем, о которых знают только профессионалы

Даже если вы приобрели решение вобравшее, как вам кажется, в себе всё лучшее, что на данный момент известно, не факт, что это решение идеально впишется в вашу ИТ–инфраструктуру:

- система не может собирать всю возможную информацию и при этом не быть требовательной к информационным ресурсам;

- система не может с высокой точностью определять факты утечки и не требовать детального описания ваших активов и правил контроля за ними;

- система не может прерывать высокорисковые процессы и при этом не создавать дополнительные риски для бизнеса.

После развертывания системы в полном объёме, вдруг, всплывают вопросы недостатка вычислительных ресурсов и места для хранения архивов, недостаточной скорости передачи данных по сети и прочее. Как следствие: чем больше аналитиков подключаются напрямую к серверу обработки данных, тем медленнее работает система (система перегружается событиями).

В процессе работы приходит понимание, что результативность работы системы будет зависеть от грамотной настройки автоматизации поисковых алгоритмов. Как следствие: установив просто систему “из коробки” что-то обнаружить можно только при очень большом трудолюбии или откровенной наглости сотрудников. Сразу возникает масса лишней ручной работы у безопасников по анализу данных. А значит, неминуемо всплывают вопросы комплектации штата для работы с DLP-системой – нужны грамотные аналитики.

Никто в компании не обладает виденьем всего бизнес-ландшафта, каждый занимается лишь своим участком работ. Поэтому потребуется сформировать перечень категорий информации. А это, как правило, ещё один отдельный проект по защите данных, не вызывающий энтузиазма ни у кого, кроме вас, в компании. Это вы поймёте, когда придете к бизнесу с неудобными вопросами, явно мешающими ему зарабатывать.

Наводящий вопрос: вы действительно считаете, что выбрали DLP-решение с полным охватом всех возможных каналов утечки информации вашей компании?

В поисках ответа потребуется определить реальные каналы утечки информации, обычно это составляющая аудита информационной безопасности в компании. Если обнаруженные потенциально опасные каналы не “закрываются” DLP-комплексом, приходится подключать дополнительные технические меры защиты. Возможно, DLP поможет предотвратить утечку, но система не может заменить все современные инструменты защиты данных.

Как бы не уверял вас производитель, что преимуществом именно его продукта является “простой и понятный процесс настройки DLP, который не потребует регулярных консультаций у технических специалистов”, помощь разработчика или поставщика решения понадобится как в начале работы, так и при последующей эксплуатации системы (по моему опыту, примерно раз в квартал).

Опять же за каждый дополнительный “чих” с вашей стороны производителем решения выкатывается немеренный ценник на доработку.

Установив DLP-систему, организация начинает всматриваться в себя в поисках злодеев. Они, как правило, находятся. Чтобы с ними “расправиться”, требуется тщательная подготовка правовой стороны применения DLP-систем в организации (публично определить границы личного и производственного и зафиксировать это в документах под роспись сотрудников).

Как следствие: задача предотвращения утечек информации должна быть зафиксирована вашей организацией по результатам оценки рисков и принято решение проводить деятельность по предотвращению утечек информации конфиденциального характера (О требованиях и рекомендациях по предотвращению утечек информации в кредитных организациях, можно узнать из нормативных документов: ГОСТ Р 57580.1-2017; РС БР ИББС-2.9-2016).

Ещё несколько нюансов DLP из личного опыта (сразу оговорюсь, что я уже 2 года не работаю с DLP - возможно, что-то уже неактуально).

Пользователю системы приходится администрировать бОльшую часть компонентов системы из разных консолей. Это неудобно.

Ненормально, когда нет защиты от удаления DLP-агента, который обнаруживается на компьютере продвинутым пользователем с обычными правами.

Как показывает практика, цифровые отпечатки полноценно работают только применительно к текстовым документам.

Пользователю системы, как правило, недостаточно предустановленных правил контроля и словарей с экземплярами защищаемых данных.

В большинстве DLP отсутствует машинное обучение.

Мало реальных интеграций DLP с существующими на рынке SIEM-системами.

 

Что общего между DLP и пандемией?

От темы пандемии сейчас трудно абстрагироваться, поэтому проведу параллели DLP с медициной.

Представим любую организацию в виде человеческого организма, в котором завелся вирус (в терминах DLP - инсайдер). Наша задача, найти в организме информацию о вирусе (инсайдере), который где-то там движется по кровеносным сосудам организма (организации). Прежде всего нас, конечно, интересует работа сердца (бизнес-процессы организации), чистота легких (пусть это в контексте DLP будет электронная почта) и взаимодействие разных клеток крови: эритроцитов (например, сотрудников), которые переносят кислород и углекислый газ, лейкоцитов (сотрудников с повышенными привилегиями в информационных системах), обеспечивающих работу иммунной системы, и тромбоцитов (руководство), обеспечивающих свертываемость крови.

Как и в медицине, тромбоциты некоторыми учёными не считаются клетками, так и мы, в контексте борьбы с утечками и инсайдерами, руководство организации иногда выводим за скобки мониторинга DLP-системами.

Принято определять здоровье организма, измеряя температуру тела (информацию, которая движется в электронном виде внутри организации). Иногда еще измеряют пульс (в контексте DLP пусть будет модуль по контролю рабочего времени).

Совокупность всех измеряемых параметров организма помогает поставить диагноз (собрать доказательную базу): вирус (инсайдер) есть или его нет. Иногда вирус (инсайдер) может до определенного времени вообще никак себя не проявлять - болезнь протекает бессимптомно.

Если у вас нет вакцины, то вам трудно защитить организм от неизвестного вируса. Такой “вакциной” в контексте DLP могут быть искусственный интеллект (ИИ), машинное обучение, нейронные сети. С их помощью можно автоматизировать процесс обнаружения защищаемых данных в компании, что позволит целенаправленно лечить те “органы”, которые в этом нуждаются.

Борясь с пандемией, неразумно покупать аппараты ИВЛ впрок, не зная предположительно, сколько у вас будет лёгочных больных и, тем более ставить их всем подряд без разбора, чтобы просто оправдать их приобретение. Но именно так приходится поступать при покупке DLP-лицензий, приобретая их впрок, без какой-либо статистики аналогичных случаев (инцидентов).

Даже, если а) проведена оценка рисков в компании (поставлен диагноз – не факт, что правильный) б) руководство сформулировало вам задачу: “закрутить гайки” и держать курс на “терзать и трясти” собственных сотрудников, это вовсе не означает, что вам выдан карт-бланш на мониторинг всего и вся и неограниченный бюджет на эти цели.

Покупая DLP-систему, вы, примерно, должны представлять, сколько системных агентов вам понадобится для мониторинга каналов. Понимать логику комбинирования возможностей различных DLP-агентов с другими инструментами системы: механизмами управления инцидентами, парсерами, анализаторами протоколов, перехватчиками и так далее.

Наводящий вопрос: а что с мониторингом соцсетей и удаленным доступом?

Корпоративная жизнь – это сонное царство, бесцветное и зарегулированное. Если бы это было не так, то загруженные на вход системы искусственного интеллекта корпоративные данные на выходе выдавали бы рекомендацию: уволить каждого второго.

Сейчас фокус мониторинга смещается в сторону мониторинга соцсетей – все отрываются там. Уже проводились эксперименты, когда ИИ после обучения на высказываниях в Твиттере признавался в ненависти к человечеству.

Для мониторинга социальных сетей корпоративная DLP-система бесполезна (доступ к соцсетям внутри компаний, как правило, запрещен) и для этих целей есть много онлайн-сервисов в Интернете, в том числе и бесплатных.

Кто знал, что в 2020 будет проведено глобальное тестирование компаний на соблюдение “требований по организации безопасного удаленного доступа” из планов непрерывности деятельности. Корпоративная движуха с началом пандемии переместилась на домашние компьютеры. Практика и суровая реальность взяла верх над, казалось бы, незыблемыми устоями информационной безопасности компании. Реагируя на это, корпоративные DLP-системы должны перестроиться под новую задачу: удаленная работа как допустимый формат на постоянной основе.

 

У нас так много средств защиты, что не для всех из них придуманы угрозы

Компании-производители систем защиты информации давно уже выскребли “сусеки” заказчиков до дна: они (не без помощи регуляторов) отыскивают у них несуществующие угрозы, лоббируют приобретение “монстров” лингвистического и статистического анализа – DLP-решений - с их будущими проблемами обнаружения данных определенного формата (анализ формальных структур), проклятием нехватки выделенных под систему вычислительных ресурсов и невозможностью интеграции выбранного решения с имеющимися SIEM-системами и системами защиты.

 

Неокончательные выводы или ИИ – как предсказатель утечек данных

Темпы развития современных коммуникаций переросли те технологии, которые ещё вчера использовались для защиты информации в компаниях. Например, маркировка документов в соответствии с содержащейся в них категорией информации в современной, коммерческой компании давно потеряла смысл. Поиск по регулярным выражениям себя не оправдывает. Правила контроля надо постоянно подкручивать, например, “подхватил вирус” до пандемии – это одно, сейчас – это может быть другое.

Являясь крайне высокотехнологичным программным обеспечением, современные DLP пока не дотягивают до средств защиты информации, помогающим безопасникам совершать важные действия, которые они бы выполняли с минимальными затратами.

Организации научились собирать данные с помощью DLP-систем. Теперь им надо понять, что делать с этими данными. На передний план выходят не столько сами данные, сколько технологии их обработки.

Очевидно, что будущее за интеграцией технологий: DLP, машинного обучения, искусственного интеллекта, автоматизации с применением нейронных сетей. Уже сейчас с помощью искусственного интеллекта в компаниях пробуют предсказывать, например, увольнения сотрудников.

Наводящий вопрос: от предсказания увольнений с помощью ИИ до предсказания утечек данных тем же ИИ остался всего один шаг?

Технологии стали главным источником информации. Но пока “выявлять чувствительные персональные данные и разбираться с ними столь же сложно, как и определять, какая корпоративная информация сохранила или потеряла свою деловую ценность с течением времени” (Старший вице-президент по стратегическим вопросам компании Titus Марк Кассетта (Mark Cassetta).


Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Валерий Естехин

Информационная безопасность глазами практикующего специалиста по ИБ (16+)