Сигурност

Поведенческият подход в информационната сигурност връща фокуса върху хората

CIO Media

Павел Йосифов е технически директор на Мнемоника и един от основателите ѝ. Има повече от 13 години опит в сферата на ИТ, като близо 10 години от тях са на управленско ниво. Част от връчените му награди са: НР TOP CONTRIBUTOR for 2011 for Extraordinary results and HP team spirit и ЕМС MVP of the year за 2014 година. Притежава множество сертификати и квалификации в сферите на системите за съхранение и обработка на данни, виртуализация, информационна сигурност и др.

Г-н Йосифов, какво представлява поведенческият подход и какво е мястото му в защитата на компанията?

Към момента повечето компании са ориентирани към това да използват конкретни решения за конкретни проблеми. Поведенческият подход не се интересува толкова от самите решения, колкото от това как хората работят с данните. Той следи за промени и флуктуации в поведението на хората, на базата на това как те нормално действат, може да алармира и да взима определени типове решения какво да прави в конкретни ситуации.

Неговият основен плюс е, че той връща акцента отново върху човека. Вече не е толкова важно как защитаваме самата информация, а какво се случва с тези данни, след като служителите започнат да работят с тях.

Може ли поведенческият подход да функционира самостоятелно, без традиционните начини на защита?

За съжаление, не. Той разчита в много голяма част на информацията, която идва от традиционните начини на защита. Една от причините да навлиза сега като методология и подход е масовото използване на големи данни в световен мащаб. Вече има огромно количество информация, с която да работят аналитичните модули и да създават профилите на хората – как функционират нормално. Трябва да се интегрира с всички други стандартни решения. Това е надграждане над тях, а не техен заместител.

За какви компании е подходящ?

Много е подходящ за финансовия сектор. Вече има няколко случая, в които този подход е можел да помогне да се спре изтичането на информация. Във всички големи компании вероятно скоро ще видим такъв тип технология. Част от компаниите вече използват такава технология, но не за целите на информационната сигурност, а за търговски и маркетингови инициативи, като например Google и Facebook.

Необходимо ли е в компанията да има специалист, който да чете данните? След като системата генерира някаква информация, какво се случва с тази информация?

Би могло да се създаде ниво на автоматизация – при определени събития или нива на критичност системата сама да взима определен тип решения. Но сме далеч от термина изкуствен интелект все още. Системите имат нужда от хора, които да ги администрират, да взимат решенията, да направят анализа от всички данни, за да оценят защо поведението се е променило, а не просто, че се е променило. Профилът на подобни специалисти като че ли все още не съществува в изчистен вид, но като цяло това са хора, които могат да работят с данни и да правят изводи на базата на тях за човека. Най-близко до това са анализаторите на данни.

Как се приема такъв подход от служителите на компанията?

Поднесен по правилния начин и с правилните аргументи, хората биха могли да го приемат по-добре. Трудно беше на хората, преди да знаят например, че пощите им се следят, че тяхното поведение в уеб пространството се следи. Няколко години по-късно това се приема почти за нормално и ползите от него са очевидни както за служителите, така и за компаниите. Мисля, че при правилно позициониране и обясняване на служителите какви са ползите, повечето от тях ще проявят разбиране.

Какво представлява аналитичният инструмент?

Сложната част от решението е аналитичният инструмент. Въпреки че другите части от системата са достатъчно сложни и имат много функционалности, но те вече са установени на пазара, технологиите са се развили. Аналитичният инструмент е модулът, който се развива най-много. Той представлява софтуер, който чете информация от всички останали места – антивирус, антиспам, DLP и всички други системи. На базата на тази информация изгражда профили на хората в зависимост от тяхното поведение – в колко часа отиват на работа, в какви сайтове влизат. Технологията работи с агент на работната станция на служителя и на базата на информацията, събрана и анализирана от аналитичния модел, може да налага различни политики на определени агенти. Ако агентът е променил профила си в последните 2-3 дни, а през последната година е работил по определен начин, системата би могла сама да вземе решение и да наложи правила.

В каква посока се развива?

Това го има отдавна, когато става дума за маркетинг и за търговия, не се е използвало досега за информационна сигурност. Сега има много производители, в които започваме да виждаме такива функционалности. Имаме партньори в нашето портфолио, които имат такива модули и ги развиват. Смятам, че това ще е най-сериозната посока на развитие в информационната сигурност през следващата година.

Има ли интерес от български компании към подобни системи?

Да. Имаме два или три проекта, които са във фаза уточняване на технически детайли. Не очаквахме клиентите толкова бързо да реагират на тази технология. Самите те виждат ползите от нея и е сравнително лесно, когато клиентът е внедрил почти всичко, което може, от стандартните решения за информационна сигурност и въпреки това страда и бива пробиван. Не е много трудно да види ползата от такъв тип решение.

Въпросите зададе Деница Дженева


X