そのため、記事の最初の部分では、 1つの石で2羽の鳥を捕まえること、つまり フィルタリングは、100%の精度と完全性で構築できます。「真空」でのみ可能です-目的のオブジェクトの状態の有限数とその転送の条件に対して。 この「バキューム」を終了すると、両方のインジケーターが急激に悪化します。
貴重な情報とゴミの分布、およびそれらを分離する「真空」での理想的な状態:
しかし、正確性と完全性のために同時にではなく、順番に戦おうとするとどうなりますか? たとえば、最初に正確性を高めるポリシーを介して情報を含むメッセージを送信し、次にメッセージの対応するマーキングである完全性を高めるルールを介してメッセージを送信します-「精度を高める規則」および「完全性を高める規則」。 当然、最初のルールが機能した場合、2番目のルールは自動的に無視されます。 理論と実践が示すように、このアプローチにより、DLPシステムを使用して十分なレベルの成熟度で最高の結果を得ることができます。
したがって、メッセージは2段階のフィルタリングを通過します。 高精度のステージと呼ばれる最初のステージの後、実際のインシデントを伴う特定の数の重大度の高いイベントをすぐに受け取ります。 実際には、その数は、セキュリティ担当者ごとに1日あたり10〜20の高リスクイベントの数に基づいて異なります。 したがって、これらのインシデントは最初に処理されます。
これには、いわゆるが続きます。 高完全性の段階。高完全性ポリシーのルールに従ってラベル付けされたトラフィックの一部がモニタリングモードで処理されます。これも、まだ部分的に触れている手法を使用しています。
NB 。 単一レベルのフィルタリングを使用する場合は、完全性と正確性の間の妥協案を優先することをお勧めします。これは、最初に実証されたノイマン・ピアソン検定です。 簡単に言えば、この基準では、まず、検索の完全性が高いことが必要です。
フィルタリングの最初のレベル。 精度を高めて作業します。
DLPの各セキュリティポリシーは、情報に課される特定の条件 、およびこの条件の履行に対するシステムとセキュリティ担当者の反応を定義することを思い出してください。 このルールと、1つの一般的な単純な例を使用して正確なフィルタリングの機能を説明します-商用オファーのリーク。
この状況を基本的な連鎖「オブジェクト-サブジェクト-アクション」として想像してみましょう。 私たちの場合、オブジェクトは「商業的オファー」、サブジェクト-「営業部」グループの人物、およびアクション-送信メールによる2つ以上の商業的オファーの転送です。 DLPシステムの関連ポリシー条件は次のとおりです。
- テキストツールを使用した商用オファーの説明。
- メッセージのソースは、営業部の人に属します。
- 送信メールチャネルを介してメッセージを送信します。
この種のメッセージに対するDLPシステムの反応は、重要度の高い情報セキュリティイベントの作成です。 このような条件と反応により、基本的なフィルタリングポリシーが決まります。 次に、正確なフィルタリングの状態の変更に進みます。
正確なろ過は、これらの各条件と、もちろんそれらの履行に対する反応に関係する必要があります。 たとえば、大文字と小文字が区別される条件、キーワードの順序、およびドキュメント内のキーワードの番号は、引用のテキストテンプレートの説明に追加されます。 営業部グループの条件には、DLPのシステムレベルの信頼を超える条件、および被験者が「試用期間」や「疑惑」などの特別なリスクグループに属しているという条件を追加できます。 通信チャネルの条件は、Webメールに絞り込むことができます。 さらに、ドメインとして、競合ドメインのリストを指定できます。 明らかに、このような詳細な一連の条件では、いわゆる生産がはるかに少なくなり、問題になります。 「ごみ。」
増加した条件への反応に関して、その役割は、セキュリティ担当者への追加のブロックまたは通知の送信を伴うクリティカルレベルのイベントの作成です。
したがって、精度の向上に対応するフィルタリングルールには、通常、イベントへの迅速な応答が含まれます。 最も深刻なのは、送信されたメッセージをブロックしたり、情報を移動したりすることです(たとえば、リムーバブルメディアへの印刷やコピーを禁止するなど)。 通知を送信するそれほど厳しくないアクションは、ルールのフィルタリングにも積極的に使用されます。 通常、通知はセキュリティ担当者に送信されるか、ビジネス情報を関連部門の長にユーザー本人に転送する場合(通常、これは会社の情報セキュリティ戦略によって決定されます)。 些細なことではありませんが、イベントに対応する効果的な手段はメッセージの再構築です 。
したがって、この例は、正確なフィルタリングの原理を示しています。これは、すべてのリスク要因の条件を強化し、応答レベルを上げることで構成される、提案されている二重フィルタリング方法の2段階の最初です。
フィルタリングの第2レベル。 完全性を高めて作業します。
繰り返しになりますが、コマーシャルオファーの例に戻って、2番目の「うさぎ」のフィルタリングを設定します。完全性です。 前述のように、メッセージは、精度を高めるためにフィルタリング後に完全性を高めてフィルタリングされます。
ここで、商用オファーのリークに関連するイベントのフィルタリング条件を緩和します。 特に、メッセージのソースが営業部グループに属しているという条件を破棄し、発信メールチャネルを介した送信の制限を厳密に削除します。 このようなメッセージには、重要度の低いイベントを作成して対応します。 したがって、完全性を高めると、即時の応答アクションがブロックされます(ブロック、通知の送信、重要度の高いイベントの作成など)。
このようなフィルタリング後の出力では、通知のブロックと送信を行わずに、すでに低い重要度レベルのイベントが大幅に増えています。 もちろん、これらのイベントの中にはもっと多くのゴミがあります。 しかし、属性と脅威の種類によるイベントの動的フィルタリングのおかげで、さまざまなイベントのセットを組み合わせて、「高精度」という厳しい条件に該当しないものの違反を示すイベントを見つけることができます。
1つのポリシールールの観点から見るとガベージとは、複数の種類のイベントを組み合わせた場合に実際のインシデントになることがあります。 このケースでは、商用オファーに関するセキュリティポリシーが、修正が適用されていないMicrosoft Word文書を検出するルールによって補足されているとします。 これらの2つの規則の組み合わせは、利益の対立を明らかにする可能性があります。オファーへの未適用の修正には、着信メールによって1部で受信されたとしても、営業秘密の共謀または開示の兆候が含まれる可能性があるためです。
強化されたフィルタリング結果を使用する場合、DLPで利用可能な分析ツールを備えたセキュリティ担当者がインシデント検出作業に積極的に関与します。 まず第一に、これらは完全性が向上したイベントの複数のサンプルを操作するためのツールです。
- 脅威の種類とトリガーされたルールによる高度な検索。
- 一人当たりの関係書類。
- さまざまなタイプ、ソース、チャネルのイベントの組み合わせによる動的フィルタリング。
- 統計スライス
まとめると
情報トラフィックの2レベルフィルタリングの考慮された手法により、DLPでの作業の効率を高めることができます。 しかし、いつものように、高品質には追加の要件があります。
1つは、フィルタリングポリシーの開発コストの増加です。 ポリシーの設定はめったに行われませんが、このタスクのコストを増やす必要があります。
第二に、フィルタリングルールが2倍になるため、トラフィックのタイムリーな高速処理には、シングルレベルフィルタリングよりも多くのリソースが必要になります。
第三に、提案されたアプローチは、現代のDLPのツールの良好な所有権を意味します。 これは特に、フィルタリングと高度な検索ポリシーに当てはまります。
しかし、このすべてにおいて達成不可能なものはなく、神が鉢を燃やすわけでもありません。 しかし、最終的に、セキュリティ担当者は「誤検知ゼロ」の保証を受けるのではなく、インシデント処理の完全性とそれらへの対応速度の両方の点で、DLPの使用効率を改善できる透明で理解可能な作業方法を受け取ります。
著者:
マキシム・ブジノフ、上級数学者、ソーラーセキュリティ。
Galina Ryabova、Solar Dozor、ソーラーセキュリティ責任者。