В крупных компаниях сотрудники ИБ-подразделения еженедельно сталкиваются с миллионами событий, выявляемых DLP-системой, и одной из их задач становится уменьшение количества ложноположительных срабатываний. Вместе с тем, не менее важно заниматься анализом ложноотрицательных срабатываний – когда DLP-система не может четко определить инцидент. Даже самая тщательная настройка правил и политик DLP не гарантирует того, что большая масса событий не окажется в «серой зоне», которые не размечены DLP-системой, из-за наличия неучтенных бизнес-процессов или категорий документов. Автоматизировать работу с ними помогают современные программные инструменты на основе технологии искусственного интеллекта.
Крупная финансовая организация насчитывает более 32000 сотрудников и более 180 отделений разного масштаба по всем регионам России. Бизнес-процессы в этих подразделениях достаточно разнообразны и не всегда унифицированы. Соблюдение сотрудниками строгих критериев информационной безопасности контролируется централизованно.
Организация с 2015 года применяет у себя DLP-систему Traffic Monitor от InfoWatch. На данный момент система генерирует в среднем 2 млн событий в неделю. В этот перечень попадают события вывода на печать (примерно 100 тысяч в сутки), копирования на флеш-накопители (примерно 600-700 тысяч в сутки), данные, передаваемые через корпоративный мессенджер, а также другие более специфические данные. Примерно в 70% случаев это события, имеющие вложения в виде документов и других файлов.
«Часто специалистам отдела ИБ приходится «на лету» изучать новый бизнес-процесс, который ранее не был ни задокументирован, ни согласован с нами, – комментирует начальник отдела по работе с DLP-системой организации. – При этом с DLP работают ежедневно два сотрудника. Несколько лет назад мы начали более плотно сотрудничать с InfoWatch и тестировать новые модули, которые предлагал вендор. Так к нам попал InfoWatch Prediction – очень полезный инструмент, позволяющий организовать работу офицера информационной безопасности таким образом, чтобы он не наугад, выборочно обрабатывал все события, а делал это более целенаправленно, опираясь на подсказки системы».
Так произошло и в рассматриваемом кейсе, когда такой инструмент как InfoWatch Prediction указал специалистам на потенциальный ИБ-инцидент. Было выявлено массовое копирование сотрудником на флешку файлов (более 600 документов), не размеченных политиками безопасности. Выгрузив статистику за три месяца, специалисты увидели, что такую операцию сотрудник проделывал и раньше в определенные дни. Но логику его действий по-прежнему было сложно понять: копируемые файлы имели разные названия и структуру. Просматривать каждый файл, чтобы определить закономерность в действиях только одного сотрудника – очень неэффективно, редко какая организация может пойти на такие трудозатраты, причем, с негарантированным результатом. Согласно расчетам компании, только на один подобный инцидент двум сотрудникам пришлось бы потратить 5-6 часов, а с учетом их повторяемости – 30 часов в месяц.
Здесь на помощь пришла другая технология - категоризации документов, которая помогает контролировать 100% важной для компании документации. Процесс, когда ранее неизвестные системе документы сортируются по смыслу, называется кластеризация. В основе технологии - принцип машинного обучения без учителя, именно поэтому технология способна эффективно работать без предварительных настроек и словарей в условиях полной неизвестности. Сотрудники создали в InfoWatch Traffic Monitor выборку необходимых данных по этому инциденту – всего в ней оказалось около 12 тысяч документов. Система примерно за час-полтора кластеризовала все документы и сформировала из них 12 категорий, а также предоставила аннотации для быстрого ознакомления со смыслом документов. Сотрудникам осталось только проверить несколько документов из каждой категории, чтобы иметь представление о характере проблемы.
Оказалось, что файлы копировал сотрудник, частично работающий удаленно. Поскольку политика безопасности банка не позволяет сотрудникам передавать корпоративные данные с помощью сетей общего пользования, он переносил необходимые документы на рабочий ноутбук через рабочую флешку, чтобы дома иметь их под рукой.
«Сегодня мы продолжаем регулярно исследовать с помощью InfoWatch Traffic Monitor объемные блоки данных. Преимущество комплексного подхода с использованием DLP – системы Traffic Monitor и InfoWatch Prediction в том, что эти инструменты позволяют значительно упростить работу сотрудников и минимизировать риски того, что они пропустят какой-то важный инцидент в «серой зоне». Мне как администратору DLP-системы они сильно упрощают создание правил и рассмотрение каких-то сложных моментов, которые требуют большого долгосрочного анализа», – комментирует спикер. – Помимо этого, с помощью инструмента «Автолингвист», мы обучаем систему, загружая в нее разложенные на предыдущем этапе образцы документов. И сообщаем, что это будет новый словарь. Эта технология позволила нам сформировать из этих выявленных двенадцати категорий документов новые объекты защиты и включить их в политики безопасности». Примечательно то, что технология реализована как для текстовых, так и для графических данных, что максимально расширяет возможности обучения системы на самых специфичных изображениях, будь то планы местности, схемы или чертежи.
По опыту специалистов InfoWatch, компании сегодня по-разному подходят к обработке событий «серой зоны» – тех, которые не размечены в DLP. Некоторые по-прежнему анализируют ее избирательно, полагаясь на удачу, а другие уже научились использовать цифровые инструменты наподобие InfoWatch Prediction и InfoWatch Traffic Monitor и оценили преимущества такого подхода.
Александр Клевцов, руководитель по развитию продукта InfoWatch Traffic Monitor
«С помощью Prediction можно выявлять аномалии, отклонения от бизнес-процессов, даже если они никак не размечены DLP-системой, если мы предварительно не создали по ним политик безопасности и даже пока не выявили соответствующий бизнес-процесс или категорию информации. Кроме того, система рассчитывает индивидуальный скоринг для каждого сотрудника, для этого за основу берется более двухсот тридцати параметров: режим работы, объем копируемой информации и т. д. Сравнивается активность сотрудника в различные промежутки времени, его поведение с поведением коллег», – отмечает руководитель по развитию продукта InfoWatch Traffic Monitor Александр Клевцов.
В случае, когда специалист ИБ уже выявил аномальное поведение с участием большого количества документов, он может использовать инструменты InfoWatch Traffic Monitor для их кластеризации. В ходе этого процесса система на базе искусственного интеллекта изучает любые неформализованные текстовые данные, объединяет похожие документы в группы по тематикам, по смыслу, по семантическому сходству. Для каждой группы формируются аннотации.
Важно, что далее система Traffic Monitor на основе новых выявленных кластеров позволяет быстро создать новую политику безопасности и сгенерировать для нее словарь – полноценную качественную лингвистическую модель с учетом веса слов, их взаимосвязей и других параметров. На создание подобного словаря профессиональный компьютерный лингвист тратит 3-5 рабочих дней, а инструмент «Автолингвист» – около минуты. Таким образом, специалист отдела ИБ может очень быстро покрыть ранее не формализованную «серую зону» политиками и словарями или убедиться, что все 100% данных защищены и под контролем.
«В большинстве компаний глобально политики безопасности обновляют не чаще, чем раз в полгода. Этот процесс трудоемкий, много времени занимает разбор документов, формирование словарей. Инструменты искусственного интеллекта, как InfoWatch Prediction и InfoWatch Traffic Monitor, позволяют намного быстрее и эффективнее разбирать «серую зону», бороться с ложноотрицательными срабатываниями, а также качественно менять процесс актуализации политик: например, делать его более частым и, что важно, при этом снижать трудозатраты. С их помощью мы можем актуализировать политики сразу же по необходимости, не опасаясь того, что придется разгребать «вручную» тысячи документов. Таким образом, в ИБ-подразделении происходит некое разделение труда: система на базе машинного обучения обрабатывает и анализирует большие объемы данных, обнаруживает аномалии, а человек принимает ключевые решения», – резюмирует Александр Клевцов.
Подробнее об инструментах InfoWatch на базе искусственного интеллекта – в материале ICT-Online.ru.
Также мы публиковали обзор всех обновлений DLP-системы Traffic Monitor.