За последние шесть-семь лет стал очень популярен термин Big Data. Два коротких слова — и бездонный океан неструктурированных данных. На сегодняшний день это одни из любимых слов маркетологов по одной простой причине: Big Data — это круто! И мы тоже в свою очередь поразмышляем, возможно ли из DLP-системы построить корпоративную Big Data?
4. Кому понадобится DLP Big Data?
Введение
DLP-системы на рынке информационной безопасности существуют уже более 15 лет. И за это время они зарекомендовали себя как хорошее средство для обеспечения защиты информации (об этом много сказано в нашем «Обзоре DLP-систем на мировом и российском рынке»). Компании, уделяющие большое внимание сохранности своих конфиденциальных данных, сегодня и представить себя не могут без этих систем. Если же изначально использование DLP было направлено на мониторинг и контроль информации, то на сегодняшний день это еще и успешные аналитические системы, но с ограниченным функционалом. Для расширения этих возможностей необходимо внести в них что-то новое. И этим новым должно быть объединение DLP-системы с системой типа Big Data.
Что же такое Big Data?
Большие данные (Big Data) — это совокупность различных подходов и методов обработки структурированных и неструктурированных данных больших объемов.
Традиционно, определяющими характеристиками для больших данных выделяют «три V»:
Volume – объем, подразумевается величина физического объема неструктурированных данных.
Velocity – скорость, здесь речь идет как о скорости прироста данных, так и о необходимости их высокоскоростной обработки и последующего получения результатов.
Variety – многообразие, под этой характеристикой понимается возможность одновременной обработки различных типов структурированных и полуструктурированных данных.
В инструментарии для работы с большими данными изначально включались средства массово-параллельной обработки неопределенно структурированных данных. В первую очередь это СУБД категории NoSQL, алгоритмы MapReduce и Hadoop. В дальнейшем к технологиям работы с большими данными стали относить разнообразные информационно-технологические решения, обеспечивающие сходные возможности по обработке сверхбольших массивов данных.
По оценкам исследования рынка консалтинговой фирмы Ovum, рынок больших данных вырастет с $1,7 млрд в 2016 году до $9,4 млрд к 2020 году. А в России, по данным IDC и IPOboard, с $0,8 млрд в 2016 году до $1,7 млрд к 2018 году.
Рисунок 1. Объем рынка BigData в России
DLP в роли Big Data
Что же нужно изменить в привычной для нас DLP-системе, чтобы сделать из нее корпоративную Big Data?
Первым делом необходимо полностью пересмотреть политику сбора и хранения информации. При внедрении типового DLP акцент делается на события и инциденты, попавшие под определенную политику, а также архивирование почтовой переписки. Это вполне разумно, дает возможность проводить расследования и находить нарушителей. Но при построении Big Data это капля в море. Необходимо собирать максимально много информации. Начиная от той же почтовой переписки, заканчивая фиксированием того, когда и с каким документом работал сотрудник. Во время запутанного инцидента это поможет выявить нарушителя. Даже самая незначительная на первый взгляд информация может стать ключевой для расследования. Исключения будут составлять запросы на обновление операционной системы и других программных обеспечений.
Второй важный момент — это хранение и обработка больших данных. Использовать лишь стандартные реляционные СУБД не получится по одной постой причине — проблема горизонтальной масштабируемости. Ведь речь будет идти о сотнях терабайт, а возможно, и петабайт данных. Но и полный переход на NoSQL-системы тоже не является решением. Эти две системы должны дополнять друг друга. В случаях когда полученный трафик нарушает политику безопасности, процесс обработки и хранения происходит по стандартной технологии DLP. Событие помещается в реляционную СУБД и индексируется для оперативного получения информации о ней администратором безопасности. Весь остальной поток данных направляется на хранение в хранилище данных.
Ключевая задача такой DLP-системы — расследование инцидентов и выявление аномальных действий и связей сотрудников. Это мощнейший инструмент для постанализа, потому что собрана почти вся информация о действиях сотрудника. При помощи машинного обучения можно организовать формирование отчетов при появлении сомнительных связей сотрудников, с построением графа связей нарушителя. Будет выводиться информация о его действиях и процентные данные о том, какие нарушения политик безопасности стали базой для отчета. Также она может послужить инструментом для автоматизации расследования инцидентов, базируясь на выявленных ранее нарушениях и ложных срабатываниях. К тому же система автоматически становится user centric, благодаря этому ее можно будет использовать для управления рабочим временем, прогнозировать поведение пользователей, составлять отчеты об эффективности труда, что поможет бороться с нелояльными сотрудниками.
Если подумать, такую систему неправильно будет называть DLP, так как решаемые ею задачи выходят далеко за пределы возможностей средств защиты от утечки данных. Как начальный вариант для дискуссии – «Система общего контроля сотрудников и предотвращения инцидентов информационной безопасности (СОКСиПИИБ )». Хотя проще и аллегоричнее назвать такую систему «Большим братом».
Кому понадобится DLP Big Data?
Целевая аудитория DLP в роли Big Data — это компании с филиально распределенной архитектурой и количеством пользователей в 2000 и более. Для средних организаций это не целесообразно: во-первых, с обработкой небольших потоков информации справится и реляционная СУБД, а во-вторых, это им не по карману.
Все ли так прекрасно?
DLP в роли корпоративной Big Data — прекрасный инструмент для расследования инцидентов. Но, как известно, всегда есть обратная сторона медали.
Главный минус — это влияние на качество работы сотрудников. Важно, чтобы система против утечки данных не стала системой утечки персонала. Не всем сотрудникам понравится то, что каждое их действие фиксируется и может быть использовано против них же. Высока вероятность ухода работников в компанию, где предоставлена свобода действий, несмотря на, возможно, меньшую оплату труда.
Ну и конечно же еще одна проблема — это защита собранной информации. Недобросовестные конкуренты предпримут все шаги (хакеры, подкуп сотрудников и т. п.), чтобы получить базу, в которой собрана почти вся информация о компании-жертве. В связи с этим необходимо серьезно продумать систему защиты. Полностью исключить возможность появления инсайдеров, тщательно подбирать каждого сотрудника в отделы ИТ и ИБ. Грамотно построить сетевой периметр и его защиту; как вариант, возможно построение отдельной зоны во внутренней сети под DLP Big Data для усложнения и замедления хакерских атак.
Выводы
Появление DLP Big Data («Большого брата») перевернуло бы взгляды на технологию расследования и управления инцидентами ИБ, да и защиту информации в целом. С учетом скорости роста объемов информации и повышенным интересом к системам Big Data можно предположить, что «рождение» первого «Большого брата» произойдет совсем скоро — возможно, в течение следующих пяти лет.
