(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Черные лебеди в ИБ: как поймать и к чему готовиться?

Источник: dlp

Отрасль защиты информации от утечек стоит на пороге качественной трансформации. DLP-системы готовы предвосхищать инциденты, а не минимизировать их последствия.

"Генералы всегда готовятся к прошлой войне", - говорил премьер-министр Великобритании Уинстон Черчилль. Знаменитый политический деятель основывался в своих суждениях на эмпирических знаниях: людям свойственно пытаться не допустить провалов в будущем., опираясь на весь свой прошлый опыт. 

В 2004 г. американский экономист Нассим Таллеб в своей книге "Черный лебедь. Под знаком непредсказуемости" ("The Black Swan: The Impact of the Highly Improbable") подвел под слова Черчилля философскую базу..

Этапы взросления "лебедей"

Поскольку Нассим Таллеб был профессиональным трейдером и риск-менеджером, теория о "черных лебедях" - чрезвычайном влиянии редких и непредсказуемых событий на бизнес, а также склонности людей ретроспективно находить им простые объяснения - была активно подхвачена в деловой среде. Эта теория анализирует, почему появление новых форм ведения боя застает военачальников врасплох. Довольно быстро учение о "черных лебедях" было взято на вооружение в армии, спецслужбах, а затем и в области информационной безопасности (ИБ).

В ИБ-менеджменте до недавнего времени классическими "черными лебедями" было принято считать так называемые "фазовые переходы" в развитии ландшафта угроз и соответствующего им пересмотра парадигмы обеспечения безопасности организации. 

Например, 30 лет назад ИБ по большому счету сводилась к шифрованию и аутентификации. Затем появились компьютерные вирусы, почтовые черви, трояны. Те специалисты, которые это всё проглядели и не отреагировали на новые угрозы соответствующим образом, оказались свидетелями как локальных бизнес-катастроф, так и глобальных эпидемий в сети, которые обрушивали целые рынки.

Появление программ-шифровальщиков ознаменовало очередной "фазовый переход", и было признано, что информация на компьютере порой стоит больше, чем он сам. Сначала финансовой жертвой атаки был сам владелец компьютера. А следующий "черный лебедь" под названием "социальная инженерия" привел к массовой краже и утечкам персональных данных и другой чувствительной информации, которая моментально появляется для продажи в даркнете и до сих пор пользуется спросом у мошенников. Это дало новый импульс развитию DLP-систем, которые ранее были более "заточены" под вопросы обеспечения комплаенса.

"Прилетевший" позже "черный лебедь", доказал, что ставшие массовыми, дешевыми, и являющиеся к тому же полноценными компьютерами, разнообразные гаджеты, смартфоны, устройства IoT, IP-видеокамеры и самые обычные сетевые принтеры при их взломе или перехвате управления над ними становятся полноценными участниками массовых атак. Выявленный в 2016 г. ботнет Mirai еще и еще раз доказал, что генералы действительно готовились к прошедшей войне.

Дальнейшие факты, включая пандемию Covid-19 и последствия событий 24 февраля 2022 г., позволили включить в список "пернатых дьяволов" еще немало пунктов. Но главное даже не в этом! А в том, что большинство представителей мирового ИБ-сообщества так и не смогли научиться предвидеть появление очередного "черного лебедя". Для минимизации последствий их прилетов ИТ-сообщество было вынуждено тратить инвестиции не на развитие бизнеса, а, например, на построение систем резервного копирования исключительно для борьбы с шифровальщиками и т.д. Понятно, что такая ситуация с ИБ мало кого устраивает.

Эксперты группы компаний InfoWatch нашли решение для отрасли информационной безопасности в вопросе выявления случайных событий, которые впоследствии и становятся так называемыми "черными лебедями".

Как поймать "черного лебедя"

Современный бизнес сегодня построен на эксплуатации своих цифровых активов и анализе огромных массивов данных, включая конфиденциальные. В ряде случаев можно утверждать, что довольно много видов деятельности перестали просто зависеть от той или иной информации, бизнес стал полностью цифровым: банки, телеком, онлайн-ритейл и частично госсектор (например, Единая биометрическая система, портал Госуслуг и т.д.). При этом никуда не делись персональные данных сотрудников, клиентов и контрагентов. Поэтому задача защиты данных встала весьма остро.

Однако, как показало совместное исследование InfoWatch и "Инфосекьюрити", большинство компаний защищает только порядка 20-30% данных. Весь остальной массив данных представляет собой "серую зону". Это происходит потому, что бизнес-процессы меняются стремительно, новые данные появляются ежедневно и службы ИБ не всегда могут своевременно выделять новые категории информации, нуждающиеся в защите. Все это происходит на фоне ежедневного сбора DLP-системой в целом ряде кейсов до миллиона событий в сутки.

В InfoWatch понимают, что критическая зависимость бизнеса от данных, а также от умения их защищать, и есть та отправная точка в поиске причин появления нового "черного лебедя". Ранее у безопасников не было эффективных инструментов для выявления случайностей в виде неизвестных информационных активов и их очевидных признаков, способных повлечь бизнес-катастрофу. 

А теперь DLP-система, обладая в свою очередь огромным объемом информации о наличии цифровых активов и маршрутах ее перемещения в корпорациях, помогает работать с той самой "серой зоной" и неизвестными ранее данными, от которых зависит, "прилетит черный лебедь" в компанию или нет. Предвидеть "черного лебедя", связанного с утечкой данных, саботажем и диверсионной деятельностью собственных сотрудников, а также другими специфическими угрозами, обострившимися после 24 февраля 2022 г., вполне возможно.

Итак, что такое "черный лебедь" в ИБ с точки зрения DLP-вендора? Это некий информационный актив или бизнес-процесс для его обработки, который никак не отражен в политиках безопасности и поэтому остается вне систем защиты. При этом он способен при определенных условиях нанести вред компании, например, при утечке данных о нем наружу. Причиной тому может стать неактуальная политика ИБ.

Поддержание политик безопасности - это традиционная боль всех DLP-систем. Почему? Основная причина в том, что невозможно вручную перебрать миллионы событий, обнаружить документы - еще и при условии, что не знаешь, что искать. Мало того, многие инциденты представляют собой цепочку событий, каждое из которых по соответствующим документам компании легитимно.

Еще одна причина заключается в том, что даже если ручной разбор инцидентов приведет к нахождению неизвестного и незащищенного информационного актива, то при работе с обычной DLP-системой у безопасника увеличится объем задач, например, в области поиска подхода к защите с привлечением профессиональных лингвистов. Их задача - составить лингвистическую модель, то естьнабор стоп-слов и выражений, на которые должна реагировать DLP. Некоторые вендоры упрощают лингвистические модели до словарей, что сказывается на качестве детекта. Лингвистическая модель предполагает собой систему взаимосвязей слов с распределенными весами, расписанной морфологией, статистикой употребления слов для различных категорий, а также набор правил для выделения сущностей на основе регулярных выражений. На основе семантического и статистического анализа специалист формирует набор под необходимую категорию.

Такую модель как раз создают профессиональные лингвисты, так как требуются специальные знания и время, составляющее порядка 5-7 рабочих дней. А если это закрытая компания, где не предусмотрен допуск посторонних специалистов в их ИБ-системы? А если в трафике присутствует графическая информация или данные из CAD/CAM/CAE-систем, например, чертежи?

В итоге, как уже отмечалось выше, только 20-30% данных защищены. А остальные 70-80% данных находятся в "серой зоне". Что именно там содержится, кто из сотрудников работает с этой информацией, как она перемещается внутри компании, офицеры ИБ не знают. По этой причине сформировать критерии поиска и защиты данных невозможно. А значит, и ИБ, и весь бизнес в целом, остаются в неведении до тех пор, пока не произойдет инцидент, ведь спрогнозировать его заранее крайне трудно. Поэтому стоит задача -научиться узнавать о появлении угрозы в момент ее зарождения!

Гнездо "черного лебедя"

Сделать это можно, уменьшив объем "серой зоны". Для этого необходимо сократить до нескольких часов время составления новых политик ИБ, иначе DLP-система так и будет "защищать вчерашний день". На практике эту задачу не представляется возможным решить, применяя лишь ручной труд сотрудников ИБ-подразделений. И появление из "серой зоны" "черного лебедя" в виде крайне критического инцидента с конфиденциальными данными является вопросом времени.

На рынке попыток решить эту задачу пока немного, успешный подход есть у InfoWatch. Он заключается в использовании самообучаемого искусственного интеллекта при кластеризации данных и создании политик безопасности для DLP. Буквально за один час модуль в состоянии выявить ранее неучтенные категории информации, разбить их на тематические кластеры и составить лингвистическую модель, которая по качеству ничем не отличается от той, что пишут профессиональные лингвисты.

При выборе актуального для защиты кластера ИБ-специалисту не требуется просматривать все документы в нем. Достаточно ознакомиться с одним-двумя, этого вполне хватает для того, чтобы принять решение. Кроме того, сокращение "серой зоны" автоматически приводит к уменьшению ложноотрицательных сообщений DLP-системы, которые являются в настоящее время одним из наиболее раздражающих факторов для персонала, обслуживающего систему.

В итоге, качественно меняется характер работы безопасников с DLP-системой: она становится инструментом превентивного анализа появления инцидентов, а также анализа возможных причин, приведших к этому. В их числе могут быть саботаж сотрудников, увольнение топ-менеджеров, теневые бизнес-процессы и т.д.

Следствием применения технологии ИИ является снижение порога входа для работы с DLP-системой: снижаются требования к дефицитному ИБ-персоналу, а, значит, стоимость эксплуатация системы уменьшается и ускоряется время ее инсталляции. Это расширяет сферу применения DLP-систем за счет использования ее в малом и среднем бизнесе, где проблем с обеспечением конфиденциальных данных пока еще достаточно.

Весьма вероятно, что теория о "черных лебедях" в ИБ перестанет быть собранием двух книг. Очевидно, что уже появились все предпосылки говорить о трилогии!



 Распечатать »
 Правила публикации »
  Обсудить материал в конференции Дискуссии и обсуждения общего плана »
Написать редактору 
 Рекомендовать » Дата публикации: 27.08.2022 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
TeeChart Standard VCL/FMX 2 developer license
SAP Crystal Server 2011 WIN INTL 5 CAL License
VMware Horizon 7 Standard : 10 Pack (CCU)
GFI LanGuard подписка на 1 год (25-49 лицензий)
IBM DOMINO ENTERPRISE CLIENT ACCESS LICENSE AUTHORIZED USER LICENSE + SW SUBSCRIPTION & SUPPORT 12 MONTHS
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
Программирование на Microsoft Access
CASE-технологии
СУБД Oracle "с нуля"
Windows и Office: новости и советы
3D и виртуальная реальность. Все о Macromedia Flash MX.
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
Обсуждения в форумах
Онлайн казино ПокерДом (2)
Поспешите начинать зарабатывать играя в онлайн казино ПокерДом...
 
Заработок в сети интернет (23)
Зайди сюда - http://www.netbusin.boom.ru и узнай подробности.
 
Поиск рабочих зеркал МарафонБет (4)
На сегодняшний день, просторы интернета позволяют нам легко найти зеркало на Марафон для входа в...
 
Выбор лучшего онлайн казино (14)
Очень важным критерием для составления рейтинга являются честные отзывы клиентов о казино. Люди...
 
Нормальные казино в 2021 году (22)
После долгих поисков все таки смог найти хорошие игровухи, хотя и ушла куча времени, пока я...
 
 
 



    
rambler's top100 Rambler's Top100