Дмитрий Мананников: Строить DLP с технологией UBA — заведомо проигрышный путь

На вопросы Anti-Malware.ru любезно согласился ответить Дмитрий Мананников, бизнес-консультант по безопасности. Это интервью продолжает цикл публикаций «Индустрия в лицах».

Хотелось бы поговорить о внутренних угрозах и защите от них. Насколько актуальна проблема инсайдерской деятельности и внутреннего фрода в российских реалиях?

Д. М.: В эпоху глобальной цифровизации, когда основные активы переходят из физического состояния в виртуальное, любой, даже легитимный доступ к этому активу — уже риск. Инсайдер теперь не всегда злоумышленник, а чаще просто проводник, абсолютно не понимающий, что происходит. И поэтому проблема только растет с каждым годом. То же самое с внутренним фродом. Перевод всех бизнес-процессов на цифровую основу дает возможность эксплуатировать логические ошибки. То есть уже не нужно обладать специальными знаниями и компетенциями, чтобы заниматься технологическим мошенничеством. Сторнирование счета, измененные отчеты, исправленные цифры в CRM — это то, что сейчас может сделать каждый человек. Для этого не нужно ломать систему защиты, не нужно писать вредоносные программы. Работодатель сам дает все необходимые права и возможности своим сотрудникам. При этом немаловажную роль играет и психологическая особенность человека. Для нас пока «виртуальные» хищения не выглядят равнозначными хищениям в реальном мире, и при этом каждый из нас измеряет убыток другого своим прибытком. Проще говоря, сделанная менеджером дополнительная скидка (всего лишь исправленная цифра) в CRM принесла ему новый телефон, а компании — клиента, которому год оказывают услуги по цене ниже себестоимости. Но для менеджера это все равно инцидент «размером с телефон». И таких инцидентов происходят сотни, просто в статистике они не так эффектно выглядят, как крупные хищения.

Все это в комплексе делает из инсайдеров основной источник потерь для бизнеса, с которым не могут сравнится внешние атакующие. Я бы не стал локализовать эту проблему в России или какой-то другой стороне. Это глобальная тенденция.

Почему DLP-системы до сих пор не получили повсеместного применения? С какими недостатками DLP вы сталкивались?

Д. М.: Если говорить про повсеместное применение, то тут есть парадокс. Сейчас при аудитах даже в SMB-сегменте встречаешь тот или иной клон DLP, но он пылится на полке. Или был проведен пилот, но до внедрения не дошли. На мой взгляд, этому способствовало две причины. Первая — это сама технология, которая именно как самостоятельное решение была изначально обречена. Контроль только коммуникационной части информационных потоков дает очень посредственный результат. Все равно что с закрытыми глазами угадывать цвет предмета, ощупывая его. Угадать можно, но можно и не угадать. А когда мы как общество вышли на другой технологический уровень коммуникаций, и у каждого только в его личном смартфоне 4-5 систем для общения, это окончательно размазало и коммуникационный слой. Без того неполные данные для принятия решения стали еще более скудными. Это все привело к трансформации DLP от превентивного средства к инструменту расследования, а от него — к инструменту контроля рабочего времени сотрудников. Довольно сильная деградация даже на уровне идеи.

Вторая причина — это абстрактность угрозы, защита от которой заявлена как основная задача DLP. Я говорю о коммерческой тайне. Да, у нас есть и четкие определения, и правоприменительная практика, и прочее. Но для 99% коммерческих организаций это всегда было и останется именно абстракцией. Не все в состоянии сформулировать, что именно составляет тайну, какой ущерб будет от ее разглашения, а если и могут, то поддержание режима коммерческой тайны в существующих условиях способно парализовать бизнес. Но даже если и смогли отладить этот момент, то в рамках инцидента еще нужно доказать, что через разглашение был нанесен ущерб (именно так, сам факт утечки не тождественен ущербу). В общем, весь этот комплекс мероприятий делает DLP инструментом с отрицательной экономической эффективностью в 100% случаев. Опять же повторюсь: если мы говорим о самостоятельной технологии, применяемой в рамках заявленных производителями целей. Получился определенного рода инструмент фиксации инцидента, но толку от этой фиксации, кроме мнимого ощущения безопасности, нет.
А когда мы видим такую глобальную проблематику на уровне идеологии, то какой смысл рассуждать о технологических проблемах? Не важно, как работает технология, если ошибка в самой концепции.

Проблема многих DLP-решений — большое количество ложных срабатываний, которое приводит к тому, что у безопасника либо замыливается глаз, либо он вынужден весь день посвящать исключительно разбору срабатываний. Какие методы решения Вы видите?

Д. М.: Метод ровно один. Перестать использовать DLP как самостоятельное решение. Только комплексный взгляд на процесс, который как раз без контекстного слоя (анализировать который нам и дает DLP) позволяет видеть суть инцидента и оперативно реагировать на него еще в стадии формирования, не допуская наступление ущерба. DLP как анализатор контекста — один из ключевых элементов систем поведенческого анализа, нормализации бизнес-процессов, антифрод-систем. Нет никакого смысла разбирать огромное количество статусов внутри одного из компонентов защиты. Инциденты должны быть сформированы от бизнес-логики и рассматриваться именно в комплексе всей системы безопасности. Тогда и их количество сократится.

Минусами DLP-решений часто называют «тяжелые» агенты, которые негативно влияют на быстродействие рабочих станций. Не получим ли мы еще один прожорливый «антивирус» на хосте в погоне за контролем всего происходящего?

Д. М.: Мне кажется, это проблема лишь конкретных вендоров, а не технологии в целом. Единственное, что отмечу: равно как и с антивирусами, «прожорливость» агентов DLP, к сожалению, никак не улучшает результат.

Как считаете, есть ли проблема утечек через мобильные устройства? Или эта чисто маркетинговая история?

Д. М.: Я, честно говоря, давно не видел компаний, в которых больше 50% всех устройств были бы не мобильными. Ноутбуки и телефоны сейчас основной инструмент. Разделять устройства на мобильные или не мобильные нет никакого смысла. Равно как и говорить о периметре и прочих архаичных вещах. Просто было неудобно говорить об этом факте, пока не было отдельного продукта. Теперь продукт появился, и на рынке зафиксирован новый всплеск в продаже «страха».

Какой процент утечек, по вашей оценке, происходит через мобильный канал? Насколько они критичны? (Например, ту же базу данных клиентов, о ценности которой так часто напоминают вендоры, едва ли будут выносить, фотографируя монитор на телефон) .

Д. М.: Ценность базы клиентов именно как базы — это как раз и есть маркетинг вендоров. Но если просто разделить утечки именно по объему информации, то уверен, что порядка 90% составят утечки размером в несколько мегабайт. Это пара фотографий и 10 сообщений в мессенджере. Большие базы, безусловно, интересны, но их сложно копировать из-за огромных объемов, с флешкой или пересылкой по почте тут уже не справиться. А потом их еще нужно и анализировать… В общем, кража баз данных сейчас живет скорее на уровне глобального промышленного шпионажа, а не на уровне коммерческого отдела с базой данных по клиентам.

Как вы оцениваете потенциал появляющихся мобильных DLP? Отнимут ли они долю рынка у EMM (MDM)-решений?

Д. М.: Довольно скептически. Это не более чем соревнование агентов на устройстве. А этом контексте EMM более широко работает с точки зрения технологии.

Можно ли решить проблему мобильных утечек другими техническими и организационными мерами, без применения DLP?

Д. М.: Тут я бы сформулировал вопрос иначе: возможно ли решить проблему мобильных утечек с применением DLP? Ответ на эти оба вопроса на самом деле одинаковый: теоретически для сферической организации в вакууме — да. Но в реальном мире такая возможность приведет к фатальному падению экономической эффективности компании. Ни один бизнес сейчас не может себе позволить, во-первых, загнать все корпоративные коммуникации в контролируемые им каналы и, во-вторых, включить систему безопасности в разрыв, чтобы обеспечить предотвращение утечки. Оба этих пункта нарушат любую бизнес-модель.

Многие вендоры внезапно заговорили о необходимости фокусировать внимание не на данных, а самом сотруднике. Как вы считаете, чем это вызвано?

Д. М.: Сложностями с терминологией, очевидно. С точки зрения технологий ИБ, сотрудник — это и есть набор данных. Статусы, логи, события. Сотрудник даже как физический объект для систем безопасности — это всегда набор цифр. В том числе в рамках видеонаблюдения. Поэтому тут не совсем верно, на мой взгляд, сформулирован вопрос.

Мне кажется, речь несколько о другом. Если ранее концентрация была вокруг данных в рамках каждой из отдельных систем, то сейчас однозначно понятно, что никакой бизнес-процесс не существует только в одной из систем. Это приводит к той же проблеме, о которой мы говорили, обсуждая DLP. Поэтому нет ничего удивительного, что уровень «объекта контроля» поднимается. От данных внутри конкретной системы до данных в рамках целого ряда систем, но объединенных в рамках объекта, процесса или пользователя. Без такой трансформации подхода было бы невозможно говорить о повышении эффективности средств безопасности в принципе.

В сторону технологий анализа действий пользователя и выявления аномалий смотрят многие российские вендоры, но пока — только на словах. Стоит ли нам ждать появления DLP c технологиями UBA, или этот тренд так и останется в плоскости теории?

Д. М.: DLP — один из важных компонентов для UBA, но не основа. То есть если говорить об UBA с компонентой DLP, то да, это одна из перспектив. Но не наоборот. Тут мы скорее наблюдаем попытку DLP-вендоров скорректировать стратегию и начать строить новый класс систем вокруг уже имеющегося. Но важно понимать, что сделать UBA только лишь на одном компоненте не получится. Это такая же логическая ловушка, с которой они уже столкнулись, полагая что можно решить вопрос с утечками, рассматривая только доступный контекстный слой. К чему это привело, мы уже говорили. Те вендоры, которые выберут путь DLP с технологией UBA — пойдут по заведомо проигрышному пути. Вперед выйдут только те, кто начнет разрабатывать новую технологию анализа и включит свои наработки в области DLP как один из компонентов.

А вообще может ли DLP стать платформой для UBA?

Д. М.: Если несколько утрировать, то это вопрос из разряда «можем ли мы начать выпускать автомобили на базе завода по производству покрышек?». UBA в своей логике предполагает анализ максимально возможного количества источников. Только так она сможет быть эффективна. Строить UBA на базе одного из информационных слоев этой логике несколько противоречит.

В контексте UBA есть ощущение, что за большинством громких слов об искусственном интеллекте в поведенческом анализе стоят банальные правила корреляции, недостает серьезной научной базы. В нашей стране вам попадались знающие люди в этой области?

Д. М.: В технологических хайпах всегда недостает серьезной научной базы, и техноевангелисты всегда наполовину фантасты. Такова уж данность нашего времени. Сначала должен «выдуматься» смысл или мечта, а только уже потом методом проб и ошибок начинает выкристаллизовываться научная база. Даже сама постановка вопроса, на мой взгляд, только лишь подтверждает это. Искусственный интеллект в поведенческом анализе отличается от него же в управлении авто? Почему искусственный интеллект не может быть построен на корреляциях? Банальные правила корреляции — это корреляция моментов по Пирсону, или мы говорим о ранговой корреляции по Кендаллу? Мы активно навешиваем терминологические ярлыки, не вникая в их смысл, и это одна из проблем индустрии. В большей части дискуссий на тему «Искусственный интеллект и корреляция» я пока, к сожалению, вижу мнения людей, не знакомых даже на базовом уровне ни с математикой, ни с когнитивной психологией. Этакие споры на уровне определений из Википедии. Но в целом это не плохо. Это лишь «растопка».

Что касается практики, то с научной точки зрения на пути к искусственному интеллекту мы еще не прошли базовые ступени, и возможностей «банальной корреляции» в рамках поведенческого анализа нам хватит с избытком на тот период времени, пока мы как общество готовим прочную научную базу для искусственного интеллекта.

Многие DLP начинают позиционировать себя и как средства контроля рабочего времени сотрудников. Что вы об этом думаете? Есть ли смысл включать эту функциональность в DLP, или лучше оставить в качестве отдельного решения?

Д. М.: Это отчасти неизбежный логический регресс DLP в погоне за хоть каким-то счетным результатом. Смысла включать эту функциональность в DLP нет, это просто еще один из слоев в UBA. Более того, если смотреть на рынок, то мы увидим, что либо DLP-вендор делает отдельное приложение для этого, либо покупает с рынка уже готовую разработку и интегрирует ее в свое решение. Этакая «игра рукой»: когда основная функциональность не дает результата, то нужно дать возможность хоть как-то продемонстрировать свою работу. Использовать эту функцию в рамках DLP или выбирать отдельное решение — не принципиально. Зависит от целей.

Как считаете, насколько в принципе необходим контроль эффективности персонала и рабочего времени в больших компаниях? Есть устойчивое мнение, что нужно управлять задачами, а не пытаться контролировать каждый шаг сотрудников.

Д. М.: Это зависит от бизнеса и его модели в первую очередь. Контроль времени проектных людей, ориентированных на четко сформулированный целевой результат, — одна история. Контроль операционного персонала, выполняющего простые повторяющиеся функции, — другая. В любом случае, тут всегда вопрос цели. Контроль ради контроля не нужен никому, в контексте эффективности это будет всего лишь пустой тратой ресурсов.

С другой стороны, модуль контроля дает нам еще один слой для поведенческого анализа. Тут, как я уже говорил, любой дополнительный информационный слой только лишь повысит качество работы.

Суммируя все вышесказанное: каким, на ваш взгляд, должно быть идеальное решение для защиты от внутренних угроз?

Д. М.: Идеального, к сожалению, не будет. Но если говорить о максимально эффективном в бизнес-контексте, то можно выделить два основных качества для такой системы.

Комплексность подхода. Старая формулировка для безопасности, но в данном случае я имею в виду комплексный подход к защите бизнес-процесса или цифрового продукта. Новое поколение систем и методов защиты должно быть сконцентрировано именно вокруг объекта защиты, которыми сейчас становятся бизнес-процессы или цифровые продукты. А не отдельных систем сервисов, из которых этот объект защиты состоит.

Предиктивность. Система защиты должна уметь определять инцидент вне зависимости от прошлого опыта (сигнатурный подход больше не эффективен). То есть система защиты должна стать подобием иммунитета организма, который распознает и реагирует на любые изменения в своих процессах.

Остальные моменты — будут ли это системы анализа поведения или какой-либо другой класс систем, будет использоваться искусственный интеллект или нет — вопрос не принципиальный.

Благодарим за интервью и желаем успехов!