Есть ли жизнь после DLP?

Но прогресс не стоит на месте, и специалисты по информационной безопасности стали замечать, что утечки информации являются только симптомами более серьезных нарушений. Знаете, как с гриппом – у вас температура, вы чихаете. Долгое время все лечение сводилось только к устранению симптомов, уменьшению жара и обеспечению более комфортного течения болезни для пациента. А теперь появились противовирусные препараты, которые бьют точно по штамму гриппа, позволяя решать саму причину возникновения плохого самочувствия.

Так и с утечками информации. Нарушитель не просто так ворует данные у работодателя, у него в 90% случаев есть план, цели и задачи. А там уже все зависит от ситуации, работает ли он на конкурентов или же сам придумал элегантную схему мошенничества, признаки которой, как оказывается, можно проследить через анализ коммуникаций и действий сотрудника за рабочим компьютером.

Вот и отдельные безопасники со временем выработали для себя собственные, лучшие практики по работе с DLP-системами, через которые им удавалось расследовать инциденты, связанные с утечками информации, и выявлять реальные причины таких действий. Эта тенденция, по сути, связана с тем, что руководителей бизнеса фактически не интересуют сами факты утечки информации, важна только прибыль и риски, связанные с ее снижением. А корпоративное мошенничество, на признаки которого указывают утечки, серьезно бьет по карману бизнесменов по всей стране.

Вот и получается, что вызовы перед службой безопасности стоят самые актуальные, а инструментарий по борьбе с новым угрозами в лице корпоративного мошенничества изрядно отстает.

Угрозы и способы борьбы с ними

Традиционно DLP-системы были разработаны таким образом, чтобы фиксировать нарушения, связанные с выходом информации за защищенный контур организации, т.е. в фокусе внимания оказывались только инциденты, на которые срабатывала политика безопасности в данный момент. Такая логика очень хорошо работает для борьбы с утечками информации, когда нужно быстро реагировать на угрозу.

Другое дело, когда угрозой является злонамеренный инсайдер, ведущий незаконную деятельность на предприятии в течение определенного периода времени. И отдельные инциденты, связанные с утечкой данных, могут стать только сигналами к началу проведения расследования. В этом случае бОльшую ценность для офицера безопасности будут иметь события и инциденты, которые произошли в прошлом, в частности переписка сотрудников с коллегами и внешними контактами. Именно с помощью такого анализа удается понять причины и следствия действий нарушителей, выявить круг причастных лиц и собрать необходимые доказательства.

Офицер безопасности при работе с DLP-системой должен оперативно получать представление об актуальных угрозах и погружаться в процесс расследования, быстро собирать всю необходимую информацию в удобной для анализа форме.

Именно к таким выводам пришла команда Solar Dozor при общении с заказчиками в начале проектирования 6-й версии решения. В ходе этой работы удалось четко понять, какой именно функционал требуется специалисту по безопасности чаще всего и какие элементы управления должны быть всегда под рукой, чтобы офицер мог сконцентрироваться на решении самых важных задач.

Современный подход к защите

Получить полную картину происшествия поможет современный Web-интерфейс, где данные представляются на информативных виджетах в виде статистических срезов и графических представлений.

Интерфейс Solar Dozor разработан в логике ситуационного центра, где в центре внимания находятся: а) события информационной безопасности, б) информационные объекты; в) персоны. Пользователь системы может взглянуть на одно и то же нарушение с трех разных точек зрения.

Solar Dozor, как любая классическая DLP-система, имеет ленту текущих событий. Проводя оперативный мониторинг, специалист по безопасности может быстро выявлять в потоке событий критичные в данный момент инциденты и назначать ответственного сотрудника для расследования нарушения. Тут же отображаются сообщения, передача которых была заблокирована системой, они всегда находятся на главном экране для быстрой обработки и обеспечения непрерывности бизнес-процессов.

Проводя расследования на основании полученной информации, офицер прослеживает движение информационных объектов в компании и за ее пределы. Уникальный отчет "Тепловая карта" движения информационного объекта дает быстрое представление о том, кто, когда и по каким каналам передавал защищенные данные, какие сработали политики и в каком виде передавалась информация.

Взглянуть на нарушение политик глазами самого нарушителя и вжиться в его роль в Solar Dozor помогает инструментарий ведения "Досье" на сотрудников и групп лиц, требующих особого контроля. В такие группы обычно помещаются новые сотрудники, персоны, заявившие о своем скором увольнении, и прочие сотрудники, вызывающие подозрение у службы безопасности или у своих руководителей. Проводя глубокую аналитику событий и коммуникаций сотрудников, офицер безопасности шаг за шагом собирает доказательства и копит досье на людей и информационные объекты. Используя "Граф связей", можно быстро определить круг общения подозреваемого, выявить его нетипичные связи и сообщников. А действительно быстрый поиск в Solar Dozor в течение считанных секунд выдает всю необходимую информацию, при этом работа с ним организована аналогично интернет-поисковикам и не требует специальной подготовки.

Solar Dozor дает специалисту все необходимые инструменты для выявления признаков экономических преступлений в организации и проведения полномасштабных расследований. И все это упаковано в современный интуитивно понятный и дружественный интерфейс, в котором каждое действие требует пары кликов для получения результата.

DLP-система трансформировалась из архива инцидентов с возможностью написания поисковых запросов в полномасштабное решения класса Business Intelligence, которое помогает проводить глубокую аналитику инцидентов информационной безопасности и выявлять сложные мошеннические схемы на предприятии. И это уже нечто гораздо бОльшее, чем просто DLP, и там есть не только жизнь, но и огромные перспективы.