Ландшафт кібербезпеки постійно розвивається внаслідок технологічного прогресу та глобальних змін. Пандемія, наприклад, призвела до багатьох неочікуваних і швидких змін у кібербезпеці. Це стало можливим в результаті переходу до віддаленої роботи та збільшення міграції до хмарних сервісів. Однак одним із найважливіших шляхів розвитку кібербезпеки є проактивні зміни для більш ефективного досягнення поставлених цілей. Компанії завжди шукають кращі способи боротьби з відомими загрозами, які нікуди не зникають. А також вони мають зосереджуватись на нових викликах, таких як хмарна безпека.
Захист від витоку даних (DLP) – це одна з дисциплін кібербезпеки, яка зазнала багатьох змін. Найважливішою була спроба відійти від інтегрованого корпоративного підходу до DLP до інтеграції DLP із конкретними рішеннями безпеки, зосередженими на конкретних технологіях. Це навіть призвело до відмови від Gartner Magic Quadrant для DLP та перехід на Market Guide. Наприклад, вважалося, що DLP для електронної пошти слід інтегрувати з іншими аспектами безпеки електронної пошти, щоб забезпечити повне покриття.
Подібні зміни відбуваються і в управлінні внутрішніми загрозами (ITM). Ці дві дисципліни зливаються, точніше, ITM все частіше розглядається як компонент DLP.
Важливість правильного фокусування
Багато великих підприємств вирішили відмовитися від великих багаторівневих систем DLP. Вони вирішили перейти до інтегрованої DLP, яка працює в поєднанні з іншими типами рішень і зосереджена на конкретних технологіях і аспектах ландшафту кібербезпеки. Хоча такі інтеграції забезпечують відмінну функціональність пов’язаних технологій, іноді навіть включаючи реагування на інциденти та виправлення, їх використання залишає значні вертикальні прогалини, які потрібно заповнити спеціальним програмним забезпеченням.
Що є причиною цього? Це все питання фокуса. Інтегрований DLP не надає пріоритету найважливішому аспекту – даним. Натомість він зосереджений на одній технології та охоплює її повністю. Наприклад, у випадку електронної пошти такі рішення гарантують безпеку кожного аспекту передачі електронної пошти, включно з тим, що будь-які дані, які містяться в електронних листах, не є конфіденційними даними. Метою таких рішень є безпека електронної пошти, а не запобігання крадіжці або витоку даних. І тут постає питання, що важливіше – доступ чи захист даних?
Здається, такий підхід схожий на спробу вилікувати хвороби шляхом усунення симптомів, а не пошуку першопричини. Організації програють, якщо не зосередяться на захисті своєї цінної інтелектуальної власності, а натомість зосередяться на технологіях, які використовуються для доступу до цієї власності.
Організації, які усвідомлюють, наскільки важливо мати правильний фокус, так само зараз усвідомлюють, що багато інших методів кібербезпеки, як-от управління внутрішніми загрозами, повинні переорієнтуватися з того, «які погані речі можуть статися і як ми можемо цьому запобігти», на «те, що нам потрібно захистити та що ми можемо зробити, щоб захистити це краще». Як наслідок, ці організації все більше зацікавлені в рішеннях і підходах із захисту від витоку даних, які збігаються з ITM і забезпечують повну функціональність, з головною метою захисту конфіденційних даних.
Які відмінності між DLP та ITM?
Попри те, що вони дуже відрізняються, дисципліни захисту від витоку даних і управління інсайдерськими загрозами часто мають багато схожих технологій і підходів. Справжньою відмінністю є їхня зосередженість. Захист від витоку даних зосереджується на безпеці даних, причому в першу чергу зосереджується на конфіденційних даних. Управління інсайдерськими загрозами зосереджується на користувачеві, причому основна увага приділяється поведінці доступу до даних.
Системи DLP та ITM часто конфліктують одна з одною або надають однакові функції. Система DLP, наприклад, відстежує буфер обміну в режимі реального часу. Адже його можна використовувати для копіювання захищеної інформації з внутрішньої системи та вставлення її в незахищені носії та програми. З іншого боку, система ITM для тієї самої кінцевої точки відстежує буфер обміну на наявність будь-якої підозрілої поведінки користувача. Наприклад, копіювання даних із внутрішньої системи та вставлення їх у незахищені носії та програми.
Залежно від реалізації, системи ITM можуть навіть розглядати перевірки DLP як загрозливі, повідомляючи про помилкові спрацьовування.
Не дивно, що ці два підходи об’єднуються. Коли є багато спільних функцій, має сенс розширювати, а не дублювати їх. Наприклад, система DLP може розширити свою функціональність, включивши ITM, аналітику об’єктів користувача та поведінки, а також методи виявлення та реагування на кінцеві точки (EDR). Тут мова йде про машинне навчання для виявлення незвичних дій користувачів (наприклад, доступ до конфіденційних даних у неробочий час) або глибокий моніторинг процесів і зв’язків.
Також не дивно, що захист від витоку даних переважає над управлінням внутрішніми загрозами. Організації, які вже мали негативний досвід переміщення уваги з основного захисту інформації на конкретні технології доступу, швидше за все, захочуть рішення, які поставлять їх інформаційну безпеку на перший план.
Управління інсайдерськими загрозами проти управління інсайдерськими ризиками
Перехід від ITM до DLP також призводить до того, що управління внутрішніми загрозами та ризиками розглядається детальніше, ніж раніше. Управління інсайдерськими загрозами зосереджується на загрозах і підозрілій поведінці користувачів. Управління інсайдерськими ризиками, як і DLP, зосереджується на першопричині, у цьому випадку, на основних причинах інсайдерських загроз.
У зв’язку з тим, що управління інсайдерськими загрозами зосереджується більше на конфіденційній інформації, для захисту якої воно призначене, управління інсайдерськими ризиками тепер може ще більше зосередитися на причинах, чому користувачі становлять загрозу для цієї інформації. Воно може протидіяти як ненавмисним загрозам, спричиненим такими факторами, як недостатня підготовка та обізнаність, так і навмисним загрозам, спричиненим такими факторами, як невдоволення працівників або недостатня перевірка нових кадрів.
І хто переможець? Конфіденційні дані
Об’єднання DLP та ITM спочатку може здатися складним, оскільки організації, які хочуть отримати вигоду від цього, повинні переконатися, що обрані ними рішення не створюють прогалин у кібербезпеці. При поступовій відмові від ITM компанії повинні переконатися, що всі переваги безпеки, які надає ITM, залишаються. Варто врахувати, що ці переваги часто розглядаються з двох різних точок зору: об’єкти, що захищаються, і особи, які мають доступ до цих об’єктів. Тому впровадження якісного, комплексного та сучасного DLP-рішення дасть змогу зосередитись саме на конфіденційних даних.
