Каких инструментов защиты данных не хватает в организациях

В 2023 году было зарегистрировано более 2,8 тыс. инцидентов с утечкой данных. Из них более 8 млрд записей были скомпрометированы. Даже если в организациях приняты упреждающие меры безопасности, во многих из них отсутствуют критически важные средства контроля. Как лучше защитить информацию от взлома и утечек, рассказал Forbs соучредитель и генеральный директор платформы безопасности SaaS DoControl Адам Гавиш.

Автоматизация контроля

В 2023 году было зарегистрировано более 2,8 тыс. инцидентов с утечкой данных. Из них более 8 млрд записей были скомпрометированы. Службы безопасности чрезмерно сосредоточены на внешней защите своего технологического комплекса и недостаточно сосредоточены на приближении элементов управления к реальным данным, которые необходимо защищать их организации. Обходимые элементы управления едва ли не хуже, чем полное отсутствие элементов управления.

С точки зрения злоумышленника, данные – лучшая цель, поскольку они могут использовать их для получения выкупа. В результате данные необходимо защищать на протяжении всего их жизненного цикла (при их создании, доступе, передаче, редактировании и т.д.). Это представляет серьезную проблему для предприятий, поскольку они масштабируются и производят больше данных, что требует встроенной автоматизации в инструменты, которые пытаются защитить данные.

Размещение автоматизированных средств контроля ближе к данным

Управление доступом к данным в приложениях “Программное обеспечение как услуга” (SaaS) при существующих инструментах и методах является громоздким, поэтому у организаций есть два варианта: либо приложить символические усилия, либо, в некоторых случаях, полностью отключить совместную работу на своей основной платформе обмена данными SaaS (обычно Microsoft 365 или Google Workspace).

Риски, связанные с первыми, очевидны, поскольку киберпреступники становятся все более изощренными в своих методах атак. Хотя прекращение совместной работы по SaaS для бизнеса кажется менее рискованным, реальность такова, что большинство организаций в конечном итоге получат второе универсальное решение SaaS для внешней совместной работы. Это просто отодвигает проблему и удваивает расходы групп безопасности.

Реальность такова, что команды безопасности часто недоукомплектованы и перегружены работой. Они не могут знать сложные детали каждой области деятельности организации. 

Следовательно, они не могут написать эффективные политики предотвращения потери данных (DLP). Политики либо слишком широкие, чтобы обеспечить значимую защиту, либо слишком ограничительные, чтобы снизить производительность пользователей и затруднить совместную работу.

Приблизив автоматизированные средства контроля безопасности к данным и их владельцам, службы безопасности могут сотрудничать с бизнес-подразделениями своих организаций для лучшего выявления и защиты важных данных, не нарушая бизнес-процессы и не замедляя темпы инноваций.

Средства контроля: от данных к идентификации

Средства контроля безопасности должны быть ориентированы как на данные, так и на идентификацию. Для успешной защиты ИТ-ресурсов нам необходимо знать, что мы защищаем (данные) и кто должен иметь к ним доступ (идентификацию). При подходе к этому руководители ИТ-безопасности часто полагаются на принцип “нулевого доверия и доступа с наименьшими привилегиями”. Однако реализовать этот подход гораздо легче сказать, чем сделать.

ИТ-руководители сталкиваются со многими препятствиями в ходе этого процесса, самым большим из которых является постоянная смена темпа. 

Даже если организация идеально реализует свою модель нулевого доверия, что случается редко, бизнес всегда будет меняться. Либо сотрудник увольняется, либо другой переходит в другое бизнес-подразделение, привлекается новый поставщик, нанимается консультант, либо приходит потенциальный покупатель. Этот постоянный темп изменений означает, что автоматизация необходима для поддержания модели нулевого доверия в организации.

Маркировка и классификация данных

Маркировка и классификация данных – еще один важный шаг, когда дело доходит до обеспечения безопасности данных и соответствия требованиям. Это включает в себя маркировку определенных ресурсов, чтобы они были легко доступны пользователям и владельцам. Однако проблема с маркировкой или классификацией данных заключается в изменчивости.

Данные постоянно меняются по мере доступа к ним пользователей, их обновляют программы, а права доступа изменяются на уровне абстракции. 

Получение правильных меток или классификации практически невозможно, если сами данные и список доступа к ним не являются неизменяемыми. 

Скорее всего, это не тот случай, если организация не использует систему архивирования данных или data lake (озеро данных).

Основная причина маркировки или классификации данных заключается в ускорении процесса DLP, чтобы ожидание DLP не приводило к снижению производительности или ухудшению взаимодействия с пользователем. Однако при этом ошибочно предполагается, что DLP – это единственный способ защиты данных. DLP – это всего лишь один контекст из многих, который может и должен использоваться для определения риска чрезмерного раскрытия данных.

Средства контроля поведения человека

При рассмотрении действий человека и размещении элементов управления на основе поведения необходимо учитывать несколько контекстов.

Например, если вице-президент по продажам загружает конфиденциальные отчеты из CRM, является ли это возможной внутренней угрозой или он просто выполняет свою работу? Когда отчет загружен из CRM, службы безопасности могут запросить платформу HRIS, чтобы собрать дополнительную информацию о сотруднике. Если вице-президент по продажам недавно подал заявление об отставке, вероятность инсайдерской угрозы намного выше, и ясно, что необходимо принять меры.

Если организации рассматривают исключительно содержимое данных как основной фактор при размещении средств контроля поведения человека, они, вероятно, упускают важный контекст, который мог бы отделить сигнал от шума при выявлении реальных угроз.

Рекомендации по комплексной защите данных

Какие рекомендации следует применять организациям для обеспечения надлежащей защиты данных? Во-первых, крупным компаниям следует максимально использовать автоматизацию, чтобы справиться с масштабами защиты своих данных на различных платформах с различными типами методов доступа (веб-браузеры, мобильные приложения, API и т.д.). Группы безопасности в одиночку не могут справиться с количеством созданных событий и журналов и отделить сигнал от шума без надежных инструментов автоматизации.

Во-вторых, группы безопасности должны сотрудничать с пользователями для защиты данных организации. Например, безопасность электронной почты является общей обязанностью группы безопасности и пользователей организации. Аналогичным образом, безопасность данных должна стать общей ответственностью. Это означает информирование пользователей о том, что приемлемо, а что нет, установку ограждений для предотвращения крупных утечек данных и использование автоматизации с интерактивным общением для выявления слепых зон.

Наконец, организациям следует учитывать множество контекстов, когда речь заходит о защите данных. DLP сам по себе не решает проблему, даже если она сдвинута во времени с помощью инструментов маркировки или классификации. Анализ идентификационных данных, телеметрии конечной точки, статуса пользователя и многого другого может дать четкие рекомендации относительно того, насколько велик риск, созданный действием, и следует ли принимать меры в ответ на это.

Фото: Adobe Stock