Большие данные в DLP

Владимир Пономарев
Заместитель генерального директора “МФИ Софт",
рассказал об основных направлениях развития DLP-технологий
и о том, как с помощью DLP выявлять информационные риски предприятия

– Количество утечек конфиденциальной информации увеличивается с каждым годом. Как на эту тенденцию реагирует российский рынок ИБ?
– Некоторый рост, связанный с общим ростом экономики, есть. Но на самом деле появление новых каналов коммуникации не дает принципиально других возможностей для утечек информации. Просто технологии сменяют друг друга, ничего нового. Вот научимся передавать мысленно информацию – тогда будет новый класс угроз. Сейчас все зависит не от технологий, а от человека. DLP – это не только контроль документов, информации. Это система корпоративной культуры.

– Но не в каждой компании корпоративная культура достаточно развита.
– Поэтому многие компании начинают создавать эту культуру сверху – регламентировать работу с информацией, вводить правила и ограничения, соответствующие DLP-системам. Но чем больше этой бюрократии, тем становится хуже – это подталкивает людей к каким-то "неправильным" действиям и точно не помогает в развитии компании.

– Ограничения подталкивают человека уходить из этой компании не с пустыми руками?
– В том числе. И поймать его становится сложнее. Когда все регламентировано, ты десять раз подумаешь и даже посоветуешься с профессионалом. И никакая DLP-система не сможет помочь.

– Как же тогда организовывать контроль информации?
– В текущей парадигме технологического развития DLP-системы достигли своего пика. С нашей точки зрения, появилась возможность поменять вектор развития DLP – добавить аналитические возможности для выявления различных рисков, серьезно расширить возможности ретроспективного анализа. Уже сейчас это нужно продвинутым компаниям, и в дальнейшем развиваться рынок будет именно в этом направлении.

– Раз мы начали говорить про большие данные, в чем заключается сложность их контроля?
– Стоимость хранения постоянно падает, как и физический объем носителей, – и хранить всю информацию становится все дешевле. Здесь открывается возможность работать с большими данными в рамках DLP-системы. На данный момент можно хранить вообще весь трафик, сохраняя метаданные, картинки, текст. Здесь как раз заключается ответ на вопрос, в чем сложность: в общем-то, ни в чем.

Что такое большие данные? Данные, которые нельзя перебрать руками, и нужно использовать методы анализа – получать аналитику, выявлять паттерны поведения, векторы развития и получать новую информацию на основе этого.

– То есть вы уже реализуете эти технологии в своих решениях?
– Сейчас как раз самое время для этого. Наша новая DLP-система "Гарда Предприятие" построена на принципах работы с большими данными. Решения с использованием больших данных, с нашей точки зрения, должны быть прикладными. Наши клиенты смогут получать разнообразную статистику, выявлять аномалии, визуализировать показатели, смотреть на данные в разрезе инцидентов не за прошедшие три дня, а за полгода, и вообще анализировать весь спектр коммуникации. И все это в простой и удобной форме.

– Какие требования выдвигает заказчик к DLP-системе сегодня?
– Многие подходят к выбору формально – берут списки функционала и выбирают то, где больше галочек и цена меньше. Но от клиента к клиенту потребности сильно отличаются, поэтому нет единого подхода.

Стандартные DLP ориентированы на работу с конкретными инцидентами. В последнее время многим заказчикам стал интересен дополнительный функционал, связанный с выявлением информационных рисков и расширенными возможностями ретроспективного анализа. Например, когда с запозданием приходит информация о новом секретном документе, нужно проверить, не ушел ли этот документ до того, как его поставили на контроль. В обычной DLP-системе это сделать невозможно, потому что она контролирует только заранее определенные инциденты. Или нужно проследить путь движения информации внутри компании, чтобы выявить, кто имел к ней доступ, – такие задачи долгое время приходилось решать вручную.

Поэтому в "Гарде Предприятие" есть возможность записывать все действия сотрудников, поиск по ним занимает несколько секунд. На основе архива автоматизирован сбор статистики и многоуровневый анализ. Благодаря ретроспективному анализу система может выявлять аномальные события, которые допускаются политиками безопасности, но которые нехарактерны для конкретного сотрудника или отдела.

– Какой должна быть DLP-система будущего?
– Бизнесу требуется удобный инструмент комплексной защиты. Это можно реализовать на основе архива всех бизнес-коммуникаций и визуальной аналитики информационных потоков компании. Сверился сотрудник с утра с графиками – все ли хорошо? Если нет – в пару кликов нашел причину аномалии и устранил потенциальную угрозу. Технологии станут простыми, и останется развивать корпоративную культуру и обучать людей совместно поддерживать безопасность.