[ITSec] От DLP к комплексной аналитике

[ITSec] От DLP к комплексной аналитике
В связи с переходом на дистанционный режим работы многие специалисты по безопасности столкнулись с проблемами удаленного доступа к критической информации. Вопросы контроля пользователей стали приоритетными. Использование привычных средств противодействия утечкам информации, таких как DLP-системы (Data Leak Prevention, предотвращение утечек), потребовало новых подходов и дополнительных функций, так как устоявшиеся методы борьбы с утечками перестают работать.

Аналитическая платформа "Гарда Аналитика" – основа экосистемы безопасности "Гарда Технологии" – всестороннего комплекса защиты от угроз информационной и экономической безопасности, с которым интегрируются системы информационной безопасности "Гарда Предприятие", "Гарда БД", "Гарда Монитор", а также другие информационные системы.


Как работают DLP-системы в новых условиях

DLP-система активно применяется для контроля действий сотрудников и защищает от утечек конфиденциальной информации, позволяет выявлять, оперативно расследовать инциденты безопасности и контролировать распространение информации.

Но в современных реалиях использование DLP-систем встречает ряд таких сложностей, как:

  1. Рост объемов контролируемой информации. Значительно увеличилось число контактов и случаев передачи информации в онлайн-режиме, возрос и объем корпоративной переписки, появились корпоративные мессенджеры, значительная часть деловой переписки теперь происходит в Whatsapp, Telegram и других мессенджерах. Это усложняет настройку правил детектирования утечек, приводит к увеличению количества ложных срабатываний и, как следствие, отнимает больше времени у специалистов по безопасности на разбор и анализ данных.
  2. Формальное описание утечки информации. Рассмотрим один из примеров, с которыми мы сталкивались в ходе эксплуатации DLP-системы: данные об объемах продаж за полугодие переданы в виде таблицы с цифрами без каких-либо комментариев, только дата и сумма. При этом таблица вставлена в документ, который отправлен сотрудником на личную почту. Сам документ не является важным объектом, это, предположим, дипломная работа, которую сотрудник делает в свободное время. Таким образом, с точки зрения DLP-системы это не является инцидентом, так как нет никаких данных, которые она могла бы самостоятельно идентифицировать как критически важные. Ситуация осложняется тем, что отправка личных документов на личную почту сейчас встречается часто и сотруднику службы безопасности не хватает времени разбирать каждый факт подобных срабатываний.

Рост угроз безопасности и необходимость контроля большего числа источников информации от DLP требует расширения функциональных возможностей. Среди них – интеграция с другими системами безопасности, а также использование средств предиктивной аналитики, то есть поведенческий анализ и выявление инцидентов по косвенным признакам и взаимосвязям между событиями из множества систем безопасности.

Расширение возможностей DLP за счет комплексного анализа

Комплексные решения, объединяющие в себе разные инструменты информационной безопасности, в том числе и DLP, позволяют единовременно контролировать и внутренние, и внешние источники данных, доступ к базам данных, а также защищать доступ к корпоративной сети извне. Они помогают автоматизировать все процессы обеспечения информационной безопасности, выявления поведенческих отклонений пользователей и систем.

Для этого в системах комплексного анализа применяются инструменты поведенческой аналитики, построение связей и цепочек событий в момент времени, что позволяет настраивать индикаторы событий, выстраивать последовательность событий, анализируя и обрабатывая каждое событие цепочки.

Система комплексного анализа, объединяющая в себе множество источников данных и подключаемых инструментов безопасности, – "Гарда Аналитика" от "Гарда Технологии" существенно расширяет возможности DLP, выявляя группы риска среди сотрудников, фиксируя индикаторы нарушений и превентивно обнаруживая их.

"Гарда Аналитика" – платформа информационной и экономической безопасности

"Гарда Аналитика" обеспечивает глобальную видимость за счет интеграции и анализа информации из внутренних и внешних источников. Система собирает данные не только из имеющихся систем безопасности, но и из прикладных информационных систем компании и внешних источников, таких как ЕГРЮЛ, ФССП и прочих, работая при этом в режиме реального времени. Исходные события постоянно обогащаются новыми сведениями, предоставляя службе безопасности полную картину происходящего в инфополе организации.

Принцип работы системы – автоматизация процессов обнаружения отклонений в поведении сотрудников и систем благодаря непрерывному сбору и анализу поступающих данных.

Платформа определяет и строит связи между ними, позволяя раскрывать мошеннические схемы, выявлять злоумышленников и оперативно реагировать на различные виды инцидентов.

[ITSec] От DLP к комплексной аналитике, фото 1

Практика применения аналитической платформы

"Гарда Аналитика" открывает широкие возможности для решения задач безопасности, таких как: оперативная оценка кандидата или контрагента, контроль бизнес-процессов организации, анализ финансовых операций, контроль целостности и защита критических данных в информационных системах, обнаружение атак, заражений и теневых информационных технологий, выявление транзакционного и телекоммуникационного фрода, мошенничества при закупках, на производстве и в сбыте.

Допустим, сотрудник промышленного предприятия написал заявление на увольнение, но решил не уходить с пустыми руками. За оставшиеся 14 дней на отработке он скопировал выгрузку из crm-системы, включая сведения о контрактах с контрагентами.

В системе "Гарда Аналитика" такие сотрудники с момента подачи заявления на увольнение, а чаще заранее по поведенческим признакам автоматически ставятся на повышенный контроль безопасности. Информация не сохранилась на флешку, не была распечатана и не была отправлена по электронной почте, так как эти действия были заблокированы. Сотрудник попытался сфотографировать экран, но был зафиксирован камерой видеонаблюдения, и его удалось перехватить на КПП при блокировке пропуска. Таким образом, многофакторный анализ данных из разных информационных систем позволяет предотвращать утечки критических данных.

Возможность гибко адаптироваться к новым угрозам – одна из ключевых особенностей платформы. "Гарда Аналитика" позволяет построить экосистему безопасности, которая осуществляет защиту информации на уровнях сети, баз данных, на рабочих местах и устройствах, в частности благодаря бесшовной интеграции решений "Гарда Технологии" ("Гарда БД", "Гарда Монитор", "Гарда Предприятие").

С помощью платформы "Гарда Аналитика" оперативно формируется всесторонний комплекс защиты организации от угроз информационной и экономической безопасности.

Ключевые возможности платформы "Гарда Аналитика":

  • Поиск последовательности событий среди огромного количества данных, поступающих из различных внутренних и внешних источников
  • Выявление и построение связей между объектами реального мира
  • Обнаружение угроз безопасности на основе поведенческого анализа с помощью методов машинного обучения
  • Автоматизация деятельности службы безопасности
  • Система открыта для подключения дополнительных информационных систем и бизнес-приложений

Технологическая платформа BigData позволяет выявлять инциденты в реальном времени, оценивать поведение, а также превентивно реагировать на мошенничество.


Популярные в разделе
Интервью с экспертом: «Кому и зачем нужны современные продукты DAG/DCAP»
[Anti-Malware] Обзор Гарда БД 4.19, российской DAM-системы для защиты СУБД
[InfoSecurity] Контроль доступа привилегированных пользователей к базам данных