(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Черные лебеди в ИБ: как поймать и к чему готовиться?

Источник: dlp

Отрасль защиты информации от утечек стоит на пороге качественной трансформации. DLP-системы готовы предвосхищать инциденты, а не минимизировать их последствия.

"Генералы всегда готовятся к прошлой войне", - говорил премьер-министр Великобритании Уинстон Черчилль. Знаменитый политический деятель основывался в своих суждениях на эмпирических знаниях: людям свойственно пытаться не допустить провалов в будущем., опираясь на весь свой прошлый опыт. 

В 2004 г. американский экономист Нассим Таллеб в своей книге "Черный лебедь. Под знаком непредсказуемости" ("The Black Swan: The Impact of the Highly Improbable") подвел под слова Черчилля философскую базу..

Этапы взросления "лебедей"

Поскольку Нассим Таллеб был профессиональным трейдером и риск-менеджером, теория о "черных лебедях" - чрезвычайном влиянии редких и непредсказуемых событий на бизнес, а также склонности людей ретроспективно находить им простые объяснения - была активно подхвачена в деловой среде. Эта теория анализирует, почему появление новых форм ведения боя застает военачальников врасплох. Довольно быстро учение о "черных лебедях" было взято на вооружение в армии, спецслужбах, а затем и в области информационной безопасности (ИБ).

В ИБ-менеджменте до недавнего времени классическими "черными лебедями" было принято считать так называемые "фазовые переходы" в развитии ландшафта угроз и соответствующего им пересмотра парадигмы обеспечения безопасности организации. 

Например, 30 лет назад ИБ по большому счету сводилась к шифрованию и аутентификации. Затем появились компьютерные вирусы, почтовые черви, трояны. Те специалисты, которые это всё проглядели и не отреагировали на новые угрозы соответствующим образом, оказались свидетелями как локальных бизнес-катастроф, так и глобальных эпидемий в сети, которые обрушивали целые рынки.

Появление программ-шифровальщиков ознаменовало очередной "фазовый переход", и было признано, что информация на компьютере порой стоит больше, чем он сам. Сначала финансовой жертвой атаки был сам владелец компьютера. А следующий "черный лебедь" под названием "социальная инженерия" привел к массовой краже и утечкам персональных данных и другой чувствительной информации, которая моментально появляется для продажи в даркнете и до сих пор пользуется спросом у мошенников. Это дало новый импульс развитию DLP-систем, которые ранее были более "заточены" под вопросы обеспечения комплаенса.

"Прилетевший" позже "черный лебедь", доказал, что ставшие массовыми, дешевыми, и являющиеся к тому же полноценными компьютерами, разнообразные гаджеты, смартфоны, устройства IoT, IP-видеокамеры и самые обычные сетевые принтеры при их взломе или перехвате управления над ними становятся полноценными участниками массовых атак. Выявленный в 2016 г. ботнет Mirai еще и еще раз доказал, что генералы действительно готовились к прошедшей войне.

Дальнейшие факты, включая пандемию Covid-19 и последствия событий 24 февраля 2022 г., позволили включить в список "пернатых дьяволов" еще немало пунктов. Но главное даже не в этом! А в том, что большинство представителей мирового ИБ-сообщества так и не смогли научиться предвидеть появление очередного "черного лебедя". Для минимизации последствий их прилетов ИТ-сообщество было вынуждено тратить инвестиции не на развитие бизнеса, а, например, на построение систем резервного копирования исключительно для борьбы с шифровальщиками и т.д. Понятно, что такая ситуация с ИБ мало кого устраивает.

Эксперты группы компаний InfoWatch нашли решение для отрасли информационной безопасности в вопросе выявления случайных событий, которые впоследствии и становятся так называемыми "черными лебедями".

Как поймать "черного лебедя"

Современный бизнес сегодня построен на эксплуатации своих цифровых активов и анализе огромных массивов данных, включая конфиденциальные. В ряде случаев можно утверждать, что довольно много видов деятельности перестали просто зависеть от той или иной информации, бизнес стал полностью цифровым: банки, телеком, онлайн-ритейл и частично госсектор (например, Единая биометрическая система, портал Госуслуг и т.д.). При этом никуда не делись персональные данных сотрудников, клиентов и контрагентов. Поэтому задача защиты данных встала весьма остро.

Однако, как показало совместное исследование InfoWatch и "Инфосекьюрити", большинство компаний защищает только порядка 20-30% данных. Весь остальной массив данных представляет собой "серую зону". Это происходит потому, что бизнес-процессы меняются стремительно, новые данные появляются ежедневно и службы ИБ не всегда могут своевременно выделять новые категории информации, нуждающиеся в защите. Все это происходит на фоне ежедневного сбора DLP-системой в целом ряде кейсов до миллиона событий в сутки.

В InfoWatch понимают, что критическая зависимость бизнеса от данных, а также от умения их защищать, и есть та отправная точка в поиске причин появления нового "черного лебедя". Ранее у безопасников не было эффективных инструментов для выявления случайностей в виде неизвестных информационных активов и их очевидных признаков, способных повлечь бизнес-катастрофу. 

А теперь DLP-система, обладая в свою очередь огромным объемом информации о наличии цифровых активов и маршрутах ее перемещения в корпорациях, помогает работать с той самой "серой зоной" и неизвестными ранее данными, от которых зависит, "прилетит черный лебедь" в компанию или нет. Предвидеть "черного лебедя", связанного с утечкой данных, саботажем и диверсионной деятельностью собственных сотрудников, а также другими специфическими угрозами, обострившимися после 24 февраля 2022 г., вполне возможно.

Итак, что такое "черный лебедь" в ИБ с точки зрения DLP-вендора? Это некий информационный актив или бизнес-процесс для его обработки, который никак не отражен в политиках безопасности и поэтому остается вне систем защиты. При этом он способен при определенных условиях нанести вред компании, например, при утечке данных о нем наружу. Причиной тому может стать неактуальная политика ИБ.

Поддержание политик безопасности - это традиционная боль всех DLP-систем. Почему? Основная причина в том, что невозможно вручную перебрать миллионы событий, обнаружить документы - еще и при условии, что не знаешь, что искать. Мало того, многие инциденты представляют собой цепочку событий, каждое из которых по соответствующим документам компании легитимно.

Еще одна причина заключается в том, что даже если ручной разбор инцидентов приведет к нахождению неизвестного и незащищенного информационного актива, то при работе с обычной DLP-системой у безопасника увеличится объем задач, например, в области поиска подхода к защите с привлечением профессиональных лингвистов. Их задача - составить лингвистическую модель, то естьнабор стоп-слов и выражений, на которые должна реагировать DLP. Некоторые вендоры упрощают лингвистические модели до словарей, что сказывается на качестве детекта. Лингвистическая модель предполагает собой систему взаимосвязей слов с распределенными весами, расписанной морфологией, статистикой употребления слов для различных категорий, а также набор правил для выделения сущностей на основе регулярных выражений. На основе семантического и статистического анализа специалист формирует набор под необходимую категорию.

Такую модель как раз создают профессиональные лингвисты, так как требуются специальные знания и время, составляющее порядка 5-7 рабочих дней. А если это закрытая компания, где не предусмотрен допуск посторонних специалистов в их ИБ-системы? А если в трафике присутствует графическая информация или данные из CAD/CAM/CAE-систем, например, чертежи?

В итоге, как уже отмечалось выше, только 20-30% данных защищены. А остальные 70-80% данных находятся в "серой зоне". Что именно там содержится, кто из сотрудников работает с этой информацией, как она перемещается внутри компании, офицеры ИБ не знают. По этой причине сформировать критерии поиска и защиты данных невозможно. А значит, и ИБ, и весь бизнес в целом, остаются в неведении до тех пор, пока не произойдет инцидент, ведь спрогнозировать его заранее крайне трудно. Поэтому стоит задача -научиться узнавать о появлении угрозы в момент ее зарождения!

Гнездо "черного лебедя"

Сделать это можно, уменьшив объем "серой зоны". Для этого необходимо сократить до нескольких часов время составления новых политик ИБ, иначе DLP-система так и будет "защищать вчерашний день". На практике эту задачу не представляется возможным решить, применяя лишь ручной труд сотрудников ИБ-подразделений. И появление из "серой зоны" "черного лебедя" в виде крайне критического инцидента с конфиденциальными данными является вопросом времени.

На рынке попыток решить эту задачу пока немного, успешный подход есть у InfoWatch. Он заключается в использовании самообучаемого искусственного интеллекта при кластеризации данных и создании политик безопасности для DLP. Буквально за один час модуль в состоянии выявить ранее неучтенные категории информации, разбить их на тематические кластеры и составить лингвистическую модель, которая по качеству ничем не отличается от той, что пишут профессиональные лингвисты.

При выборе актуального для защиты кластера ИБ-специалисту не требуется просматривать все документы в нем. Достаточно ознакомиться с одним-двумя, этого вполне хватает для того, чтобы принять решение. Кроме того, сокращение "серой зоны" автоматически приводит к уменьшению ложноотрицательных сообщений DLP-системы, которые являются в настоящее время одним из наиболее раздражающих факторов для персонала, обслуживающего систему.

В итоге, качественно меняется характер работы безопасников с DLP-системой: она становится инструментом превентивного анализа появления инцидентов, а также анализа возможных причин, приведших к этому. В их числе могут быть саботаж сотрудников, увольнение топ-менеджеров, теневые бизнес-процессы и т.д.

Следствием применения технологии ИИ является снижение порога входа для работы с DLP-системой: снижаются требования к дефицитному ИБ-персоналу, а, значит, стоимость эксплуатация системы уменьшается и ускоряется время ее инсталляции. Это расширяет сферу применения DLP-систем за счет использования ее в малом и среднем бизнесе, где проблем с обеспечением конфиденциальных данных пока еще достаточно.

Весьма вероятно, что теория о "черных лебедях" в ИБ перестанет быть собранием двух книг. Очевидно, что уже появились все предпосылки говорить о трилогии!



 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 27.08.2022 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
SmartBear Collaborator - Named User License (Includes 1 Year Maintenance)
Microsoft 365 Apps for business (corporate)
Nero 2018 Platinum ESD
ABViewer Professional пользовательская
Microsoft Office 365 Бизнес. Подписка на 1 рабочее место на 1 год
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
Новости ITShop.ru - ПО, книги, документация, курсы обучения
Программирование на Microsoft Access
CASE-технологии
СУБД Oracle "с нуля"
Работа в Windows и новости компании Microsoft
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
 



    
rambler's top100 Rambler's Top100