Отрасль защиты информации от утечек стоит на пороге качественной трансформации. DLP-системы готовы предвосхищать инциденты, а не минимизировать их последствия.
"Генералы всегда готовятся к прошлой войне", - говорил премьер-министр Великобритании Уинстон Черчилль. Знаменитый политический деятель основывался в своих суждениях на эмпирических знаниях: людям свойственно пытаться не допустить провалов в будущем., опираясь на весь свой прошлый опыт.
В 2004 г. американский экономист Нассим Таллеб в своей книге "Черный лебедь. Под знаком непредсказуемости" ("The Black Swan: The Impact of the Highly Improbable") подвел под слова Черчилля философскую базу..
Этапы взросления "лебедей"
Поскольку Нассим Таллеб был профессиональным трейдером и риск-менеджером, теория о "черных лебедях" - чрезвычайном влиянии редких и непредсказуемых событий на бизнес, а также склонности людей ретроспективно находить им простые объяснения - была активно подхвачена в деловой среде. Эта теория анализирует, почему появление новых форм ведения боя застает военачальников врасплох. Довольно быстро учение о "черных лебедях" было взято на вооружение в армии, спецслужбах, а затем и в области информационной безопасности (ИБ).
В ИБ-менеджменте до недавнего времени классическими "черными лебедями" было принято считать так называемые "фазовые переходы" в развитии ландшафта угроз и соответствующего им пересмотра парадигмы обеспечения безопасности организации.
Например, 30 лет назад ИБ по большому счету сводилась к шифрованию и аутентификации. Затем появились компьютерные вирусы, почтовые черви, трояны. Те специалисты, которые это всё проглядели и не отреагировали на новые угрозы соответствующим образом, оказались свидетелями как локальных бизнес-катастроф, так и глобальных эпидемий в сети, которые обрушивали целые рынки.
Появление программ-шифровальщиков ознаменовало очередной "фазовый переход", и было признано, что информация на компьютере порой стоит больше, чем он сам. Сначала финансовой жертвой атаки был сам владелец компьютера. А следующий "черный лебедь" под названием "социальная инженерия" привел к массовой краже и утечкам персональных данных и другой чувствительной информации, которая моментально появляется для продажи в даркнете и до сих пор пользуется спросом у мошенников. Это дало новый импульс развитию DLP-систем, которые ранее были более "заточены" под вопросы обеспечения комплаенса.
"Прилетевший" позже "черный лебедь", доказал, что ставшие массовыми, дешевыми, и являющиеся к тому же полноценными компьютерами, разнообразные гаджеты, смартфоны, устройства IoT, IP-видеокамеры и самые обычные сетевые принтеры при их взломе или перехвате управления над ними становятся полноценными участниками массовых атак. Выявленный в 2016 г. ботнет Mirai еще и еще раз доказал, что генералы действительно готовились к прошедшей войне.
Дальнейшие факты, включая пандемию Covid-19 и последствия событий 24 февраля 2022 г., позволили включить в список "пернатых дьяволов" еще немало пунктов. Но главное даже не в этом! А в том, что большинство представителей мирового ИБ-сообщества так и не смогли научиться предвидеть появление очередного "черного лебедя". Для минимизации последствий их прилетов ИТ-сообщество было вынуждено тратить инвестиции не на развитие бизнеса, а, например, на построение систем резервного копирования исключительно для борьбы с шифровальщиками и т.д. Понятно, что такая ситуация с ИБ мало кого устраивает.
Эксперты группы компаний InfoWatch нашли решение для отрасли информационной безопасности в вопросе выявления случайных событий, которые впоследствии и становятся так называемыми "черными лебедями".
Как поймать "черного лебедя"
Современный бизнес сегодня построен на эксплуатации своих цифровых активов и анализе огромных массивов данных, включая конфиденциальные. В ряде случаев можно утверждать, что довольно много видов деятельности перестали просто зависеть от той или иной информации, бизнес стал полностью цифровым: банки, телеком, онлайн-ритейл и частично госсектор (например, Единая биометрическая система, портал Госуслуг и т.д.). При этом никуда не делись персональные данных сотрудников, клиентов и контрагентов. Поэтому задача защиты данных встала весьма остро.
Однако, как показало совместное исследование InfoWatch и "Инфосекьюрити", большинство компаний защищает только порядка 20-30% данных. Весь остальной массив данных представляет собой "серую зону". Это происходит потому, что бизнес-процессы меняются стремительно, новые данные появляются ежедневно и службы ИБ не всегда могут своевременно выделять новые категории информации, нуждающиеся в защите. Все это происходит на фоне ежедневного сбора DLP-системой в целом ряде кейсов до миллиона событий в сутки.
В InfoWatch понимают, что критическая зависимость бизнеса от данных, а также от умения их защищать, и есть та отправная точка в поиске причин появления нового "черного лебедя". Ранее у безопасников не было эффективных инструментов для выявления случайностей в виде неизвестных информационных активов и их очевидных признаков, способных повлечь бизнес-катастрофу.
А теперь DLP-система, обладая в свою очередь огромным объемом информации о наличии цифровых активов и маршрутах ее перемещения в корпорациях, помогает работать с той самой "серой зоной" и неизвестными ранее данными, от которых зависит, "прилетит черный лебедь" в компанию или нет. Предвидеть "черного лебедя", связанного с утечкой данных, саботажем и диверсионной деятельностью собственных сотрудников, а также другими специфическими угрозами, обострившимися после 24 февраля 2022 г., вполне возможно.
Итак, что такое "черный лебедь" в ИБ с точки зрения DLP-вендора? Это некий информационный актив или бизнес-процесс для его обработки, который никак не отражен в политиках безопасности и поэтому остается вне систем защиты. При этом он способен при определенных условиях нанести вред компании, например, при утечке данных о нем наружу. Причиной тому может стать неактуальная политика ИБ.
Поддержание политик безопасности - это традиционная боль всех DLP-систем. Почему? Основная причина в том, что невозможно вручную перебрать миллионы событий, обнаружить документы - еще и при условии, что не знаешь, что искать. Мало того, многие инциденты представляют собой цепочку событий, каждое из которых по соответствующим документам компании легитимно.
Еще одна причина заключается в том, что даже если ручной разбор инцидентов приведет к нахождению неизвестного и незащищенного информационного актива, то при работе с обычной DLP-системой у безопасника увеличится объем задач, например, в области поиска подхода к защите с привлечением профессиональных лингвистов. Их задача - составить лингвистическую модель, то естьнабор стоп-слов и выражений, на которые должна реагировать DLP. Некоторые вендоры упрощают лингвистические модели до словарей, что сказывается на качестве детекта. Лингвистическая модель предполагает собой систему взаимосвязей слов с распределенными весами, расписанной морфологией, статистикой употребления слов для различных категорий, а также набор правил для выделения сущностей на основе регулярных выражений. На основе семантического и статистического анализа специалист формирует набор под необходимую категорию.
Такую модель как раз создают профессиональные лингвисты, так как требуются специальные знания и время, составляющее порядка 5-7 рабочих дней. А если это закрытая компания, где не предусмотрен допуск посторонних специалистов в их ИБ-системы? А если в трафике присутствует графическая информация или данные из CAD/CAM/CAE-систем, например, чертежи?
В итоге, как уже отмечалось выше, только 20-30% данных защищены. А остальные 70-80% данных находятся в "серой зоне". Что именно там содержится, кто из сотрудников работает с этой информацией, как она перемещается внутри компании, офицеры ИБ не знают. По этой причине сформировать критерии поиска и защиты данных невозможно. А значит, и ИБ, и весь бизнес в целом, остаются в неведении до тех пор, пока не произойдет инцидент, ведь спрогнозировать его заранее крайне трудно. Поэтому стоит задача -научиться узнавать о появлении угрозы в момент ее зарождения!
Гнездо "черного лебедя"
Сделать это можно, уменьшив объем "серой зоны". Для этого необходимо сократить до нескольких часов время составления новых политик ИБ, иначе DLP-система так и будет "защищать вчерашний день". На практике эту задачу не представляется возможным решить, применяя лишь ручной труд сотрудников ИБ-подразделений. И появление из "серой зоны" "черного лебедя" в виде крайне критического инцидента с конфиденциальными данными является вопросом времени.
На рынке попыток решить эту задачу пока немного, успешный подход есть у InfoWatch. Он заключается в использовании самообучаемого искусственного интеллекта при кластеризации данных и создании политик безопасности для DLP. Буквально за один час модуль в состоянии выявить ранее неучтенные категории информации, разбить их на тематические кластеры и составить лингвистическую модель, которая по качеству ничем не отличается от той, что пишут профессиональные лингвисты.
При выборе актуального для защиты кластера ИБ-специалисту не требуется просматривать все документы в нем. Достаточно ознакомиться с одним-двумя, этого вполне хватает для того, чтобы принять решение. Кроме того, сокращение "серой зоны" автоматически приводит к уменьшению ложноотрицательных сообщений DLP-системы, которые являются в настоящее время одним из наиболее раздражающих факторов для персонала, обслуживающего систему.
В итоге, качественно меняется характер работы безопасников с DLP-системой: она становится инструментом превентивного анализа появления инцидентов, а также анализа возможных причин, приведших к этому. В их числе могут быть саботаж сотрудников, увольнение топ-менеджеров, теневые бизнес-процессы и т.д.
Следствием применения технологии ИИ является снижение порога входа для работы с DLP-системой: снижаются требования к дефицитному ИБ-персоналу, а, значит, стоимость эксплуатация системы уменьшается и ускоряется время ее инсталляции. Это расширяет сферу применения DLP-систем за счет использования ее в малом и среднем бизнесе, где проблем с обеспечением конфиденциальных данных пока еще достаточно.
Весьма вероятно, что теория о "черных лебедях" в ИБ перестанет быть собранием двух книг. Очевидно, что уже появились все предпосылки говорить о трилогии!