InfoWatch на форуме DLP+. Искусственный интеллект защитит от утечек данных

Рынок DLP-систем в России динамично растет. Сегодня решения данного класса обладают большой функциональностью, выходящей далеко за пределы базовых задач – контроля трафика и блокировки подозрительных транзакций. Значительную роль в системах DLP начинают играть технологии искусственного интеллекта, позволяющие автоматизировать рутинные операции ИБ-специалиста и предупреждать инциденты превентивно. О том, каким образом искусственный интеллект может повысить эффективность выявления и расследования инцидентов, рассказал на форуме DLP+ руководитель направления InfoWatch Traffic Monitor компании InfoWatch Александр Клевцов.

«Для специалистов, которые занимаются внедрением и эксплуатацией DLP, не секрет, что заставить эту систему быть эффективной достаточно трудозатратно. Необходимо разобраться, какие данные нужно защищать, с какими рисками бороться, настраивать и актуализировать политики и технологии анализа, непосредственно заниматься мониторингом инцидентов и разбором событий. Это сложный, непрерывный процесс. Но сегодня искусственный интеллект может взять часть этих задач на себя. Существует несколько инструментов, которые уже разработаны в InfoWatch и используются нашими заказчиками», – рассказывает Александр Клевцов.

 

Александр Клевцов, руководитель направления InfoWatch Traffic Monitor, InfoWatch

Александр Клевцов, руководитель направления InfoWatch Traffic Monitor, InfoWatch

 

Составление лингвистического словаря можно доверить роботу

Когда в компании уже определены информационные активы, которые подлежат защите от утечек, например, данные тендеров или закупок, DLP-системе может ставиться задача выявлять любое упоминание тендерной документации в корпоративной почте, чатах, мессенджерах и других используемых средствах коммуникации. Для этого систему нужно обеспечить качественным лингвистическим словарем: взять образцы первичных документов, выявить ключевые и не ключевые термины, создать лингвистическую модель, включающую сотни таких терминов, учитывая взаимосвязь между ними и их вес. По данным компании Infosecurity, эта работа занимает у профессионального лингвиста в среднем 5-7 рабочих дней, независимо от того, какая DLP-система используется в организации.

Учитывая, что у компании примерно 15-20 различных информационных активов, которые нужно защищать, создание эффективных политик безопасности – дорогая и трудозатратная процедура, занимающая по времени обычно больше месяца. Это является причиной того, что коренным обновлением политик DLP компании занимаются, по статистике, в среднем всего раз в год.

 

 

Технология «Автолингвист», входящая в состав программного комплекса Infowatch Traffic Monitor, на порядок сокращает время, затрачиваемое на лингвистический анализ документации и составление словаря. Достаточно загрузить в систему документацию в любом цифровом формате (Excel, PDF, DOCX и других), и буквально через минуту она сформирует новый лингвистический словарь. Причем по качеству работа искусственного интеллекта не будет уступать работе профессионального лингвиста – это показывают исследования InfoWatch.

Таким образом, теперь компания имеет возможность актуализировать и даже полностью пересматривать политики системы в любой момент, оперативно реагируя на изменившуюся бизнес-ситуацию – например, появление новых форм документов или присоединение филиала.

Защита от неизвестных угроз

Ежедневно через DLP-систему проходит гигантский объем событий, многие из которых не учтены и никак не отражены в политиках системы. Это так называемые «серые» события – не имеющие политик, маркеров и тегов, которые DLP могла бы отработать. ИБ-подразделения большинства компаний просматривают информацию о них лишь выборочно, например, если это касается увольняющихся сотрудников или данных, покидающих периметр. Обнаружить таким образом ложноотрицательное событие удается далеко не всегда.

 

 

Технология искусственного интеллекта Data Explorer, которая используются в системе Infowatch Traffic Monitor, автоматически находит в «сером» трафике новые виды документов, не отраженные в политиках DLP, распределяет их по категориям и предлагает защитить.

В отличие от «Автолингвиста», где используется машинное обучение, Data Explorer – самообучающийся компонент, который не нужно предварительно настраивать. DLP-система самостоятельно создает процесс противодействия ложноотрицательным срабатываниям, выявляя новые категории документов, которые никак не отражены в политиках системы.

Превентивная безопасность

Технологии искусственного интеллекта, применяемые в DLP-системах, позволяют автоматически, без участия специалиста, не только выявлять, но и предупреждать инциденты, не учтенные определенной политикой. Система предиктивной аналитики прогнозирует риски разного направления: например, использование аномального объема информации, потенциальное увольнение ключевого сотрудника, злоупотребление доступом, нелояльность сотрудника к компании. По каждому сотруднику программа проводит персональный скоринг и анализирует его.

 

 

Таким образом от мониторинга и блокировки инцидентов служба безопасности компании с помощью интеллектуальных инструментов системы DLP переходит к предсказанию инцидентов. Это кардинально меняет процесс защиты информационных ресурсов организации от внешних и внутренних угроз.

«Искусственный интеллект сегодня способен “перемалывать” миллионы событий, которые есть в вашем трафике, анализировать первичную документацию и формировать словари – то есть выполнять тяжелый труд, требующий скрупулезной работы с большим объемом информации. Роль человека в этом процессе заключается в управлении системой и вынесении ключевых решений», – делает вывод Александр Клевцов.

* * *

На портале ICT-Online.ru опубликован детальный обзор российского рынка DLP-систем: первая часть посвящена особенностям и главным трендам рынка, вторая часть – практике внедрения и использования ведущих DLP-систем.

 

Рубрики: Маркетинг, Безопасность

Ключевые слова: мероприятия, информационная безопасность, InfoWatch, форум, DLP