Що таке ДЛП. DLP системи. DLP-системи: що це таке

Витік комерційно значимої інформації може призвести до суттєвих збитків компанії – і фінансових, і репутаційних. Налаштування компонентів DLP дозволяє відстежувати внутрішнє листування, поштові повідомлення, обмін даними, роботу з хмарними сховищами, запуск програм на робочому столі, підключення зовнішніх пристроїв, звіти, SMS-повідомлення, телефонні переговори. Усі підозрілі операції контролюються та створюється база звітності щодо відстежених прецедентів. Для цього DLP-системи мають вбудовані механізми визначення системи конфіденційної інформації, для чого аналізуються спеціальні маркери документів та саме їх зміст (за ключовими словами, фразами, пропозиціями). Можливий ряд додаткових налаштувань контролю персоналу (правомірності дій всередині компанії, використання робочих ресурсів, аж до роздруківок на принтерах).

Якщо в пріоритеті повноцінний контроль над передачею даних, то початкове налаштування DLP полягатиме у виявленні та визначенні можливих витоків інформації, контролю кінцевих пристроїв та допуску користувачів до ресурсів компанії. Якщо у пріоритеті статистика з переміщення важливої ​​корпоративної інформації всередині організації, то її відстеження обчислюються канали і засоби передачі. DLP-системи налаштовуються індивідуально під кожне підприємство, виходячи з передбачуваних моделей загроз, категорій порушень, визначення можливих каналів витоку інформації.

DLP займають велику нішу на ринку у сфері економічної безпеки. Виходячи з досліджень Аналітичного центру Anti-Malware.ru, помітне зростання потреб компаній в DLP-системах, збільшення продажів і розширення лінійки продуктів. Актуальне налаштування запобігання передачі небажаної інформації не лише зсередини назовні, а й зовні всередину інформаційної мережі підприємства. Більше того, враховуючи поширену віртуалізацію в корпоративних інформаційних системах та повсюдне використання мобільних пристроїв, через які ведеться бізнес-контроль мобільних співробітників — одне з найпріоритетніших завдань.

Важливо враховувати інтеграцію вибраних DLP-систем із корпоративною IT-мережею, тими програмами, які використовує компанія. Для успішного запобігання витоку даних та оперативних дій щодо припинення зловживання корпоративною інформацією необхідно налагодити стабільну роботу DLP, налаштувати функціонал відповідно до завдань, встановити роботу з внутрішньокорпоративними електронними скриньками, USB-накопичувачами, месенджерами, хмарними сховищами, мобільними пристроями, у великій корпорації – та інтеграцію із SIEM системою в рамках SOC.

Довірте використання системи DLP фахівцям. Системний інтегратор «Radius» здійснить встановлення та налаштування DLP відповідно до стандартів та норм інформаційної безпеки, а також особливостей компанії-клієнта.

D LP-систему використовують, коли необхідно забезпечити захист конфіденційних даних від внутрішніх загроз. І якщо фахівці з інформаційної безпеки достатньо освоїли і застосовують інструменти захисту від зовнішніх порушників, то з внутрішніми справа не так гладка.

Використання в структурі інформаційної безпеки DLP-системи передбачає, що ІБ-фахівець розуміє:

• як співробітники компанії можуть організувати витік конфіденційних даних;
• яку інформацію слід захищати від загрози порушення конфіденційності.

Всебічні знання допоможуть фахівцеві краще зрозуміти принципи роботи технології DLP та налаштувати захист від витоків коректним чином.

DLP-система повинна вміти відрізняти конфіденційну інформацію від неконфіденційної. Якщо аналізувати всі дані всередині інформаційної системи організації, виникає проблема надмірного навантаження на ІТ-ресурси та персонал. DLP працює в основному «у зв'язці» з відповідальним фахівцем, який не лише «вчить» систему коректно працювати, вносить нові та видаляє неактуальні правила, а й проводить моніторинг поточних, заблокованих чи підозрілих подій в інформаційній системі.

Для налаштування «СерчІнформ КІБ» використовуються- правила реагування на ІБ-іцинденти У системі є 250 встановлених політик, які можна коригувати з урахуванням завдань компанії.

Функціональність DLP-системи будується навколо «ядра» - програмного алгоритму, який відповідає за виявлення та категоризацію інформації, яка потребує захисту від витоків. У ядрі більшості DLP-рішень закладено дві технології: лінгвістичного аналізу та технологія, заснована на статистичних методах. Також в ядрі можуть використовуватися менш поширені техніки, наприклад застосування міток або формальні методи аналізу.

Розробники систем протидії витокам доповнюють унікальний програмний алгоритм системними агентами, механізмами управління інцидентами, парсерами, аналізаторами протоколів, перехоплювачами та іншими інструментами.

Ранні DLP-системи базувалися одному методі в ядрі: або лінгвістичному, або статистичному аналізі. Насправді недоліки двох технологій компенсувалися сильними сторонами одне одного, і еволюція DLP призвела до створення систем, універсальних у плані «ядра».

Лінгвістичний метод аналізупрацює безпосередньо із вмістом файлу та документа. Це дозволяє ігнорувати такі параметри, як ім'я файлу, наявність чи відсутність у документі грифа, хто і коли створив документ. Технологія лінгвістичної аналітики включає:

• морфологічний аналіз - пошук за всіма можливими словоформами інформації, яку необхідно захистити від витоку;
• Семантичний аналіз - пошук входжень важливої ​​(ключової) інформації у вмісті файлу, вплив входжень на якісні характеристики файлу, оцінка контексту використання.

Лінгвістичний аналіз показує високу якість роботи з великим обсягом інформації. Для об'ємного тексту DLP-система з алгоритмом лінгвістичного аналізу точніше вибере коректний клас, віднесе до потрібної категорії та запустить налаштоване правило. Для документів невеликого обсягу краще використати методику стоп-слів, яка ефективно зарекомендувала себе у боротьбі зі спамом.

Навчання в системах з лінгвістичним алгоритмом аналізу реалізовано на високому рівні. У ранніх DLP-комплексів були складнощі із завданням категорій та іншими етапами «навчання», однак у сучасних системах закладено налагоджені алгоритми самонавчання: виявлення ознак категорій, можливості самостійно формувати та змінювати правила реагування. Для налаштування в інформаційних системах подібних програмних комплексів захисту даних не потрібно залучати лінгвістів.

До недоліків лінгвістичного аналізу зараховують прив'язку до конкретної мови, коли не можна використовувати DLP-систему з англійським ядром для аналізу російськомовних потоків інформації і навпаки. Інший недолік пов'язаний зі складністю чіткої категоризації з використанням ймовірнісного підходу, що утримує точність спрацьовування в межах 95%, тоді як для компанії критичною може виявитися витік будь-якого обсягу конфіденційної інформації.

Статистичні методи аналізу, Навпаки, демонструють точність, близьку до 100-відсоткової. Нестача статистичного ядра пов'язана з алгоритмом самого аналізу.

У першому етапі документ (текст) ділиться на фрагменти прийнятної величини (не посимвольно, але достатньо, щоб забезпечити точність спрацьовування). З фрагментів знімається хеш (у DLP-системах зустрічається термін Digital Fingerprint - «цифровий відбиток»). Потім хеш порівнюється з хеш еталонного фрагмента, взятого з документа. При збігу система позначає документ як конфіденційний та діє відповідно до політик безпеки.

Недолік статистичного методу в тому, що алгоритм не здатний самостійно вчитися, формувати категорії та типизувати. Як наслідок - залежність від компетенцій фахівця та ймовірність завдання хешу такого розміру, при якому аналіз даватиме надмірну кількість хибних спрацьовувань. Усунути недолік нескладно, якщо дотримуватися рекомендацій розробника щодо налаштування системи.

З формуванням хешей пов'язаний і інший недолік. У розвинених IT-системах, що генерують великі обсяги даних, база відбитків може досягати такого розміру, що перевірка трафіку на збіги з еталоном серйозно уповільнить роботу всієї інформаційної системи.

Перевага рішень полягає в тому, що результативність статистичного аналізу не залежить від мови та наявності у документі нетекстової інформації. Хеш однаково добре знімається і з англійської фрази, і зображення, і з відеофрагменту.

Лінгвістичні та статистичні методи не підходять для виявлення даних певного формату для будь-якого документа, наприклад номера рахунків або паспорта. Для виявлення в масиві інформації подібних типових структур ядро ​​DLP-системи впроваджують технології аналізу формальних структур.

У якісному DLP-рішенні використовуються всі засоби аналізу, які працюють послідовно, доповнюючи один одного.

Визначити, які технології є в ядрі, можна .

Не менше значення, ніж функціональність ядра, мають рівні контролю, де працює DLP-система. Їх два:

Розробники сучасних DLP-продуктів відмовилися від відокремленої реалізації захисту рівнів, оскільки від витоку потрібно захищати кінцеві пристрої, і мережу.

Мережевий рівень контролюпри цьому має забезпечувати максимально можливе охоплення мережевих протоколів та сервісів. Йдеться не лише про «традиційні» канали ( , FTP, ), а й про нові системи мережевого обміну (Instant Messengers, ). На жаль, на мережному рівні неможливо контролювати шифрований трафік, але цю проблему в DLP-системах вирішено на рівні хоста.

Контроль на хостівому рівнідозволяє вирішувати більше завдань з моніторингу та аналізу. Фактично ІБ-служба отримує інструмент повного контролю над діями користувача на робочої станції. DLP з хостовою архітектурою дозволяє відстежувати, що , які документи , що набирається на клавіатурі, записувати аудіоматеріали, робити . На рівні кінцевої робочої станції перехоплюється шифрований трафік (), а для перевірки відкриті дані, що обробляються в даний момент і які тривалий час зберігаються на ПК користувача.

Крім вирішення звичайних завдань, DLP-системи з контролем на хостовому рівні забезпечують додаткові заходи щодо забезпечення інформаційної безпеки: контроль установки та зміни ПЗ, блокування портів вводу-виводу тощо.

Мінуси хостової реалізації в тому, що системи з широким набором функцій складніше адмініструвати, вони більш вимогливі до ресурсів самої робочої станції. Керуючий сервер регулярно звертається до модуля-«агенту» на кінцевому пристрої, щоб перевірити доступність та актуальність налаштувань. Крім того, частина ресурсів користувальницької робочої станції неминуче «з'їдатиметься» модулем DLP. Тому ще на етапі підбору рішення для запобігання витоку важливо звернути увагу на апаратні вимоги.

Принцип поділу технологій у DLP-системах залишився у минулому. Сучасні програмні рішення для запобігання витоку задіяють методи, які компенсують недоліки один одного. Завдяки комплексному підходу конфіденційні дані всередині периметра інформаційної безпеки стає більш стійкими до загроз.

28.01.2014 Сергій Корабльов

Вибір будь-якого продукту корпоративного рівня є для технічних фахівців та співробітників, які приймають рішення, нетривіальним завданням. Вибір системи запобігання витоку даних Data Leak Protection (DLP) – ще складніше. Відсутність єдиної понятійної системи, регулярних незалежних порівняльних досліджень та складність самих продуктів змушують споживачів замовляти у виробників пілотні проекти та самостійно проводити численні тестування, визначаючи коло власних потреб та співвідносячи їх з можливостями систем, що перевіряються.

Подібний похід, безперечно, правильний. Виважене, а в деяких випадках навіть вистраждане рішення полегшує подальше використання і дозволяє уникнути розчарування при експлуатації конкретного продукту. Проте процес прийняття рішень у разі може затягуватися якщо не так на роки, то багато місяців. Крім того, постійне розширення ринку, поява нових рішень та виробників ще більше ускладнюють завдання не лише вибору продукту для впровадження, а й створення попереднього шорт-листу відповідних DLP-систем. У таких умовах актуальні огляди DLP-систем мають безперечну практичну цінність для технічних фахівців. Чи варто включати конкретне рішення до списку для тестування, чи воно буде надто складним для впровадження в невеликій організації? Чи може рішення масштабуватися на компанію з 10 тис. співробітників? Чи зможе DLP-система контролювати важливі для бізнесу файли CAD? Відкрите порівняння не замінить ретельного тестування, але допоможе відповісти на базові питання, що виникають на початковому етапі робіт на вибір DLP.

Учасники

Як учасники були обрані найбільш популярні (за версією аналітичного центру Anti-Malware.ru на середину 2013 року) на російському ринку інформаційної безпеки DLP-системи компаній InfoWatch, McAfee, Symantec, Websense, Zecurion та «Інфосистем Джет».

Для аналізу використовувалися комерційно доступні на момент підготовки огляду версії DLP-систем, а також документація та відкриті огляди продуктів.

Критерії порівняння DLP-систем вибиралися, виходячи з потреб компаній різного розміру та різних галузей. Під основним завданням DLP-систем мається на увазі запобігання витоку конфіденційної інформації різними каналами.

Приклади товарів цих підприємств представлені на малюнках 1–6.

Рисунок 3. Продукт компанії Symantec

Малюнок 4. Продукт компанії InfoWatch

Рисунок 5. Продукт компанії Websense

Рисунок 6. Продукт компанії McAfee

Режими роботи

Два основні режими роботи DLP-систем – активний та пасивний. Активний – зазвичай основний режим роботи, при якому відбувається блокування дій, що порушують політики безпеки, наприклад, відправлення конфіденційної інформації на зовнішню поштову скриньку. Пасивний режим найчастіше використовується на етапі налаштування системи для перевірки та коригування налаштувань, коли висока частка помилкових спрацьовувань. І тут порушення політик фіксуються, але обмеження переміщення інформації не накладаються (таблиця 1).

У цьому аспекті всі аналізовані системи виявилися рівнозначними. Кожна з DLP вміє працювати як в активному, так і пасивному режимах, що дає замовнику певну свободу. Не всі компанії готові почати експлуатацію DLP відразу в режимі блокування – це може призвести до порушення бізнес-процесів, невдоволення з боку співробітників контрольованих відділів і претензій (у тому числі обґрунтованих) з боку керівництва.

Технології

Технології детектування дозволяють класифікувати інформацію, яка передається електронними каналами і виявляти конфіденційні відомості. На сьогодні існує кілька базових технологій та їх різновидів, подібних по суті, але різних за реалізацією. Кожна з технологій має як переваги, і недоліки. Крім того, різні типи технологій підходять для аналізу інформації різних класів. Тому виробники DLP-рішень намагаються інтегрувати у свої продукти максимальну кількість технологій (див. таблицю 2).

Загалом продукти надають велику кількість технологій, що дозволяють при належному налаштуванні забезпечити високий відсоток розпізнавання конфіденційної інформації. DLP McAfee, Symantec та Websense досить слабо адаптовані для російського ринку і не можуть запропонувати користувачам підтримку «мовних» технологій – морфології, аналізу трансліту та замаскованого тексту.

Контрольовані канали

Кожен канал передачі – це потенційний канал витоків. Навіть один відкритий канал може звести нанівець усі зусилля служби інформаційної безпеки, що контролює інформаційні потоки. Саме тому так важливо блокувати канали, які не використовуються співробітниками для роботи, а ті, що залишилися, контролювати за допомогою систем запобігання витокам.

Незважаючи на те, що найкращі сучасні DLP-системи здатні контролювати велику кількість мережевих каналів (див. таблицю 3), непотрібні канали доцільно блокувати. Наприклад, якщо співробітник працює на комп'ютері тільки з внутрішньою базою даних, можна взагалі відключити йому доступ в Інтернет.

Аналогічні висновки справедливі й у локальних каналів витоку. Щоправда, у разі буває складніше заблокувати окремі канали, оскільки порти часто використовують і підключення периферії, пристроїв вводу-вывода тощо.

Особливу роль для запобігання витоку через локальні порти, мобільні накопичувачі та пристрої відіграє шифрування. Кошти шифрування досить прості в експлуатації, їх використання може бути прозорим для користувача. Але водночас шифрування дозволяє виключити цілий клас витоків, пов'язаних із несанкціонованим доступом до інформації та втратою мобільних накопичувачів.

Ситуація з контролем локальних агентів загалом гірша, ніж із мережевими каналами (див. таблицю 4). Успішно контролюються всіма продуктами лише USB-пристрої та локальні принтери. Також, незважаючи на зазначену вище важливість шифрування, така можливість є лише в окремих продуктах, а функція примусового шифрування на основі контентного аналізу присутня тільки в Zecurion DLP.

Для запобігання витокам важливим є не тільки розпізнавання конфіденційних даних у процесі передачі, але й обмеження поширення інформації в корпоративному середовищі. Для цього до складу DLP-систем виробники включають інструменти, здатні виявляти та класифікувати інформацію, що зберігається на серверах та робочих станціях у мережі (див. таблицю 5). Дані, які порушують політики інформаційної безпеки, мають бути видалені чи переміщені до безпечного сховища.

Для виявлення конфіденційної інформації на вузлах корпоративної мережі використовуються ті ж технології, що і для контролю витоків електронними каналами. Головна відмінність – архітектурна. Якщо для запобігання витоку аналізується мережевий трафік або файлові операції, то для виявлення несанкціонованих копій конфіденційних даних досліджується інформація, що зберігається - вміст робочих станцій і серверів мережі.

З DLP-систем, що розглядаються, тільки InfoWatch і «Дозор-Джет» ігнорують використання засобів виявлення місць зберігання інформації. Це не є критичною функцією для запобігання витоку електронними каналами, але суттєво обмежує можливості DLP-систем щодо проактивного запобігання витоку. Наприклад, коли конфіденційний документ перебуває у межах корпоративної мережі, це витік інформації. Однак, якщо місце зберігання цього документа не регламентовано, якщо про місцезнаходження цього документа не знають власники інформації та офіцери безпеки, це може призвести до витоку. Можливий несанкціонований доступ до інформації або документа не буде застосовано відповідних правил безпеки.

Зручність управління

Такі характеристики, як зручність використання та управління, можуть бути не менш важливими, ніж технічні можливості рішень. Адже справді складний продукт буде важко запровадити, проект забере більше часу, сил та, відповідно, фінансів. Вже впроваджена DLP-система вимагає уваги з боку технічних фахівців. Без належного обслуговування, регулярного аудиту та коригування налаштувань якість розпізнавання конфіденційної інформації згодом сильно падатиме.

Інтерфейс керування рідною для співробітника служби безпеки мовою – перший крок для спрощення роботи з DLP-системою. Він дозволить не лише полегшити розуміння, за що відповідає те чи інше налаштування, а й значно прискорить процес конфігурування великої кількості параметрів, які необхідно налаштувати для коректної роботи системи. Англійська мова може бути корисною навіть для російськомовних адміністраторів для однозначного трактування специфічних технічних понять (див. таблицю 6).

Більшість рішень передбачають зручне керування з єдиної (для всіх компонентів) консолі з веб-інтерфейсом (див. таблицю 7). Виняток становлять російські InfoWatch (відсутня єдина консоль) та Zecurion (немає веб-інтерфейсу). При цьому обидва виробники вже анонсували появу веб-консолі у своїх майбутніх продуктах. Відсутність єдиної консолі у InfoWatch обумовлена ​​різною технологічною основою продуктів. Розробка власного агентського рішення була на кілька років припинена, а нинішній EndPoint Security є наступником продукту EgoSecure (раніше відомого як cynapspro) стороннього розробника, придбаного компанією у 2012 році.

Ще один момент, який можна віднести до недоліків рішення InfoWatch, полягає в тому, що для налаштування та керування флагманським DLP-продуктом InfoWatch TrafficMonitor необхідне знання спеціальної скриптової мови LUA, що ускладнює експлуатацію системи. Тим не менш, для більшості технічних фахівців перспектива підвищення власного професійного рівня та вивчення додаткового, нехай і не надто ходової мови, повинна бути сприйнята позитивно.

Поділ ролей адміністратора системи необхідний для мінімізації ризиків запобігання появі суперкористувача з необмеженими правами та інших махінацій з використанням DLP.

Журналування та звіти

Архів DLP – це база даних, в якій акумулюються та зберігаються події та об'єкти (файли, листи, http-запити тощо), що фіксуються датчиками системи в процесі її роботи. Зібрана в базі інформація може застосовуватися для різних цілей, у тому числі для аналізу дій користувачів, для збереження копій критично важливих документів як основи для розслідування інцидентів ІБ. Крім того, база всіх подій є надзвичайно корисною на етапі впровадження DLP-системи, оскільки допомагає проаналізувати поведінку компонентів DLP-системи (наприклад, з'ясувати, чому блокуються ті чи інші операції) та здійснити коригування налаштувань безпеки (див. таблицю 8).

У разі ми бачимо важливе архітектурне різницю між російськими і західними DLP. Останні взагалі ведуть архів. В цьому випадку сама DLP стає більш простою для обслуговування (відсутня необхідність вести, зберігати, резервувати та вивчати величезний масив даних), але ніяк не для експлуатації. Адже архів подій допомагає налаштовувати систему. Архів допомагає зрозуміти, чому відбулося блокування передачі інформації, перевірити, чи спрацювало правило коректно, внести в налаштування системи необхідні виправлення. Також слід зауважити, що DLP-системи потребують не тільки первинного настроювання при впровадженні, але й регулярного «тюнінгу» в процесі експлуатації. Система, яка не підтримується належним чином, не доводиться технічними фахівцями, багато втрачатиме як розпізнавання інформації. В результаті зросте і кількість інцидентів, і кількість хибних спрацьовувань.

Звітність – важлива частина будь-якої діяльності. Інформаційна безпека – не виняток. Звіти в DLP-системах виконують кілька функцій. По-перше, короткі та зрозумілі звіти дозволяють керівникам служб ІБ оперативно контролювати стан захищеності інформації, не вдаючись до деталей. По-друге, докладні звіти допомагають офіцерам безпеки коригувати політики безпеки та налаштування систем. По-третє, наочні звіти завжди можна показати топ-менеджерам компанії для демонстрації результатів роботи DLP-системи та самих фахівців ІБ (див. таблицю 9).

Майже всі конкуруючі рішення, розглянуті в огляді, пропонують і графічні, зручні топ-менеджерам та керівникам служб ІБ, та табличні, більш відповідні технічним фахівцям звіти. Графічні звіти відсутні лише у DLP InfoWatch, за що їм і було знижено оцінку.

Сертифікація

Питання про необхідність сертифікації засобів забезпечення інформаційної безпеки та DLP зокрема є відкритим, і в рамках професійних спільнот експерти часто сперечаються на цю тему. Узагальнюючи думки сторін, слід визнати, що сама собою сертифікація не дає серйозних конкурентних переваг. У той же час існує певна кількість замовників, насамперед, держорганізацій, для яких наявність того чи іншого сертифікату є обов'язковою.

Крім того, порядок сертифікації погано співвідноситься з циклом розробки програмних продуктів. В результаті споживачі опиняються перед вибором: купити вже застарілу, але сертифіковану версію продукту або актуальну сертифікацію, що не пройшла. Стандартний вихід у цій ситуації – придбання сертифікованого продукту «на полицю» та використання нового продукту у реальному середовищі (див. таблицю 10).

Результати порівняння

Узагальнюємо враження від розглянутих DLP-рішень. Загалом, всі учасники справили сприятливе враження та можуть використовуватися для запобігання витоку інформації. Відмінності продуктів дозволяють конкретизувати сферу їх застосування.

DLP-система InfoWatch може бути рекомендована організаціям, для яких важливою є наявність сертифіката ФСТЕК. Втім, остання сертифікована версія InfoWatch Traffic Monitor проходила випробування ще наприкінці 2010 року, а термін дії сертифіката закінчується наприкінці 2013 року. Агентські рішення на базі InfoWatch EndPoint Security (відомого також як EgoSecure) більше підходять підприємствам малого бізнесу та можуть використовуватися окремо від Traffic Monitor. Спільне використання Traffic Monitor та EndPoint Security може викликати проблеми з масштабуванням в умовах великих компаній.

Продукти західних виробників (McAfee, Symantec, Websense), за даними незалежних аналітичних агентств, значно менш популярні, ніж російські. Причина – у низькому рівні локалізації. Причому справа навіть не в складності інтерфейсу чи відсутності документації російською мовою. Особливості технологій розпізнавання конфіденційної інформації, налаштовані шаблони та правила «заточені» під використання DLP у західних країнах та націлені на виконання західних нормативних вимог. У результаті якість розпізнавання інформації виявляється помітно гірше, а виконання вимог іноземних стандартів часто неактуально. При цьому самі по собі продукти зовсім не погані, але специфіка застосування DLP-систем на російському ринку навряд чи дозволить їм у найближчому майбутньому стати більш популярними, ніж вітчизняні розробки.

Zecurion DLP відрізняється гарною масштабованістю (єдина російська DLP-система з підтвердженим впровадженням більш ніж на 10 тис. робочих місць) і високою технологічною зрілістю. Однак дивує відсутність веб-консолі, що допомогло б спростити управління корпоративним рішенням, орієнтованим на різні сегменти ринку. Серед сильних сторін Zecurion DLP – висока якість розпізнавання конфіденційної інформації та повна лінійка продуктів для запобігання витоку, включаючи захист на шлюзі, робочих станціях та серверах, виявлення місць зберігання інформації та інструменти для шифрування даних.

DLP-система "Дозор-Джет", один з піонерів вітчизняного ринку DLP, широко поширена серед російських компаній і продовжує нарощувати клієнтську базу за рахунок великих зв'язків системного інтегратора "Інфосистеми Джет", за сумісництвом та розробником DLP. Хоча технологічно DLP дещо відстає від потужніших побратимів, її використання може бути виправдане в багатьох компаніях. Крім того, на відміну від іноземних рішень, «Дозор Джет» дозволяє вести архів усіх подій та файлів.

Вступ

Огляд призначений для всіх, хто цікавиться ринком рішень у сфері DLP і, в першу чергу, для тих, хто хоче вибрати відповідне для своєї компанії DLP-рішення. В огляді розглядається ринок систем DLP у широкому розумінні цього терміна, дається короткий опис світового ринку та докладніше - російського сегмента.

Системи захисту цінних даних існували з їх появи. Протягом століть ці системи розвивалися та еволюціонували разом із людством. З початком комп'ютерної ери та переходом цивілізації в постіндустріальну епоху, інформація поступово стала головною цінністю держав, організацій та навіть приватних осіб. А основним інструментом її зберігання та обробки стали комп'ютерні системи.

Держави завжди захищали свої секрети, але в держав свої кошти та методи, які, як правило, не впливали на формування ринку. У постіндустріальну епоху частими жертвами комп'ютерного витоку цінної інформації стали банки та інші кредитно-фінансові організації. Світова банківська система першою потребувала законодавчого захисту своєї інформації. Необхідність захисту приватного життя усвідомили і медицині. У результаті, наприклад, у США було прийнято Health Insurance Portability and Accountability Act (HIPAA), Sarbanes-Oxley Act (SOX), а Базельський комітет з банківського нагляду випустив низку рекомендацій, званий "Basel Accords". Такі кроки дали потужний поштовх до розвитку ринку систем захисту комп'ютерної інформації. Слідом за зростаючим попитом стали з'являтися компанії, що пропонували перші DLP-системи.

Що таке DLP системи?

Загальноприйнятих розшифровок терміну DLP кілька: Data Loss Prevention, Data Leak Prevention або Data Leakage Protection, що можна перекласти російською як «запобігання втраті даних», «запобігання витоку даних», «захист від витоку даних». Цей термін набув широкого поширення і закріпився на ринку приблизно 2006 року. А перші DLP системи виникли дещо раніше саме як засіб запобігання витоку цінної інформації. Вони були призначені для виявлення та блокування мережевої передачі інформації, що розпізнається за ключовими словами або виразами та заздалегідь створеними цифровими «відбитками» конфіденційних документів.

Подальший розвиток DLP-систем визначався інцидентами, з одного боку, та законодавчими актами держав, з іншого. Поступово потреби захисту від різних видів загроз призвели компанії до необхідності створення комплексних систем захисту. В даний час, розвинені DLP-продукти, крім безпосередньо захисту від витоку даних, забезпечують захист від внутрішніх і навіть зовнішніх загроз, облік робочого часу співробітників, контроль усіх їхніх дій на робочих станціях, включаючи віддалену роботу.

При цьому блокування передачі конфіденційних даних, канонічна функція DLP-систем стала відсутня в деяких сучасних рішеннях, що відносяться розробниками до цього ринку. Такі рішення підходять виключно для моніторингу корпоративного інформаційного середовища, але в результаті маніпуляції термінологією стали іменуватися DLP і ставитись у цьому ринку в широкому розумінні.

В даний час основний інтерес розробників DLP-систем змістився у бік широти охоплення потенційних каналів витоку інформації та розвитку аналітичних інструментів розслідування та аналізу інцидентів. Нові DLP-продукти перехоплюють перегляд документів, їх друк та копіювання на зовнішні носії, запуск додатків на робочих станціях та підключення зовнішніх пристроїв до них, а сучасний аналіз мережевого трафіку, що перехоплюється, дозволяє виявити витік навіть за деякими тунелюючими і зашифрованими протоколами.

Крім розвитку власної функціональності, сучасні DLP-системи надають широкі можливості з інтеграції з різними суміжними і навіть з конкуруючими продуктами. Як приклади можна навести поширену підтримку протоколу ICAP, що надається проксі-серверами та інтеграцію модуля DeviceSniffer, що входить до «Контуру інформаційної безпеки SearchInform», з Lumension Device Control. Подальший розвиток DLP-систем веде до їх інтеграції з IDS/IPS-продуктами, SIEM-рішеннями, системами документообігу та захисту робочих станцій.

DLP-системи розрізняють за способом виявлення витоку даних:

• при використанні (Data-in-Use) – на робочому місці користувача;
• при передачі (Data-in-Motion) – у мережі компанії;
• при зберіганні (Data-at-Rest) – на серверах та робочих станціях компанії.

DLP-системи можуть розпізнавати критичні документи:

• за формальними ознаками – це надійно, але потребує попередньої реєстрації документів у системі;
• за аналізом вмісту - це може давати помилкові спрацьовування, але дозволяє виявляти критичну інформацію у складі будь-яких документів.

Згодом змінилися і характер загроз, і склад замовників і покупців DLP-систем. Сучасний ринок пред'являє до цих систем такі вимоги:

• підтримка декількох способів виявлення витоку даних (Data in-Use, Data-in-Motion, Data-at-Rest);
• підтримка всіх популярних мережевих протоколів передачі: HTTP, SMTP, FTP, OSCAR, XMPP, MMP, MSN, YMSG, Skype, різних P2P-протоколів;
• наявність вбудованого довідника веб-сайтів і коректна обробка трафіку, що передається на них (веб-пошта, соціальні мережі, форуми, блоги, сайти пошуку роботи і т.д.);
• бажана підтримка тунелюючих протоколів: VLAN, MPLS, PPPoE, та їм подібних;
• прозорий контроль захищених SSL/TLS протоколів: HTTPS, FTPS, SMTPS та інших;
• підтримка протоколів VoIP-телефонії: SIP, SDP, H.323, T.38, MGCP, SKINNY та інших;
• наявність гібридного аналізу – підтримки кількох методів розпізнавання цінної інформації: за формальними ознаками, за ключовими словами, щодо збігу вмісту з регулярним виразом, на основі морфологічного аналізу;
• бажана можливість вибіркового блокування передачі критично важливої ​​інформації з будь-якого контрольованого каналу в режимі реального часу; виборче блокування (для окремих користувачів, груп або пристроїв);
• бажаною є можливість контролю дій користувача над критичними документами: перегляд, друк, копіювання на зовнішні носії;
• Бажана можливість контролювати мережеві протоколи роботи з поштовими серверами Microsoft Exchange (MAPI), IBM Lotus Notes, Kerio, Microsoft Lync і т.д. для аналізу та блокування повідомлень у реальному часі за протоколами: (MAPI, S/MIME, NNTP, SIP тощо);
• бажане перехоплення, запис та розпізнавання голосового трафіку: Skype, IP-телефонія, Microsoft Lync;
• наявність модуля розпізнавання графіки (OCR) та аналізу вмісту;
• підтримка аналізу документів кількома мовами;
• ведення докладних архівів та журналів для зручності розслідування інцидентів;
• бажано наявність розвинених засобів аналізу подій та їх зв'язків;
• можливість побудови різної звітності, включаючи графічні звіти.

Завдяки новим тенденціям у розвитку інформаційних технологій стають затребуваними і нові функції DLP-продуктів. З широким поширенням віртуалізації в корпоративних інформаційних системах виникла потреба її підтримки і в DLP-рішеннях. Повсюдне використання мобільних пристроїв як інструменту ведення бізнесу стало стимулом для виникнення мобільного DLP. Створення як корпоративних, так і публічних «хмар» вимагало їхнього захисту, у тому числі й DLP-системами. І як логічне продовження призвело до появи «хмарних» сервісів інформаційної безпеки (security as a service - SECaaS).

Принцип роботи системи DLP

Сучасна система захисту від витоку інформації, як правило, є розподіленим програмно-апаратним комплексом, що складається з великої кількості модулів різного призначення. Частина модулів функціонує на виділених серверах, частина – на робочих станціях співробітників компанії, частина – на робочих місцях співробітників служби безпеки.

Виділені сервери можуть бути потрібні для таких модулів як база даних і, іноді, для модулів аналізу інформації. Ці модулі по суті є ядром і без них не обходиться жодна DLP-система.

База даних необхідна для зберігання інформації, починаючи від правил контролю та детальної інформації про інциденти і закінчуючи всіма документами, що потрапили в поле зору системи за певний період. У деяких випадках система може навіть зберігати копію всього мережевого трафіку компанії, перехопленого протягом заданого періоду часу.

p align="justify"> Модулі аналізу інформації відповідають за аналіз текстів, витягнутих іншими модулями з різних джерел: мережевий трафік, документи на будь-яких пристроях зберігання інформації в межах компанії. Деякі системи мають можливість виймати текст із зображень і розпізнавати голосові повідомлення, що перехоплюються. Усі аналізовані тексти порівнюються із заздалегідь заданими правилами і відзначаються відповідним чином при виявленні збігу.

Для контролю дій співробітників з їхньої робочі станції може бути встановлені спеціальні агенти. Такий агент повинен бути захищений від втручання користувача у свою роботу (на практиці це не завжди так) і може вести як пасивне спостереження за його діями, так і активно перешкоджати тим, які користувачеві заборонені політикою безпеки компанії. Перелік контрольованих дій може обмежуватися входом/виходом користувача із системи та підключенням USB-пристроїв, а може включати перехоплення та блокування мережевих протоколів, тіньове копіювання документів на будь-які зовнішні носії, друк документів на локальні та мережеві принтери, передачу інформації через Wi-Fi та Bluetooth і багато іншого. Деякі DLP-системи здатні записувати всі натискання на клавіатурі (key-logging) і зберігати копії екрана (screen-shots), але це виходить за рамки загальноприйнятих практик.

Зазвичай, у складі DLP-системи є модуль управління, призначений для моніторингу роботи системи та її адміністрування. Цей модуль дозволяє стежити за працездатністю всіх інших модулів системи та виконувати їх налаштування.

Для зручності роботи аналітика служби безпеки в DLP-системі може бути окремий модуль, що дозволяє налаштовувати політику безпеки компанії, відстежувати її порушення, проводити детальне розслідування і формувати необхідну звітність. Як не дивно, за інших рівних саме можливості аналізу інцидентів, проведення повноцінного розслідування та звітність виходять на перший план важливості в сучасній DLP-системі.

Світовий DLP-ринок

Ринок DLP-систем почав формуватися вже цього століття. Як було сказано на початку статті, саме поняття DLP поширилося приблизно в 2006 році. Найбільше компаній, що створювали DLP-системи, виникло США. Там був найбільший попит на ці рішення та сприятлива обстановка для створення та розвитку такого бізнесу.

Майже всі компанії, що починали створення DLP-систем і досягли помітних успіхів, були куплені або поглинені, а їх продукти і технології інтегровані в більші інформаційні системи. Наприклад, Symantec придбала компанію Vontu (2007), Websense – компанію PortAuthority Technologies Inc. (2007), EMC Corp. придбала компанію RSA Security (2006), а McAfee поглинула низку компаній: Onigma (2006), SafeBoot Holding B.V. (2007), Reconnex (2008), TrustDigital (2010), tenCube (2010).

В даний час провідними світовими виробниками DLP-систем є: Symantec Corp., RSA (підрозділ EMC Corp.), Verdasys Inc, Websense Inc. (2013 куплена приватною компанією Vista Equity Partners), McAfee (2011 куплена компанією Intel). Помітну роль на ринку відіграють компанії Fidelis Cybersecurity Solutions (у 2012 куплена компанією General Dynamics), CA Technologies та GTB Technologies. Наочною ілюстрацією їхніх позицій на ринку, в одному з розрізів, може бути магічний квадрант аналітичної компанії Gartner на кінець 2013 року (рис. 1).

Рисунок 1. РозподілпозиційDLP-систем на світовому ринкупоGartner

Російський DLP-ринок

У Росії ринок DLP-систем став формуватися майже одночасно зі світовим, але зі своїми особливостями. Відбувалося це поступово, у міру виникнення інцидентів та спроб з ними боротися. Першим у Росії 2000 року почала розробляти DLP-рішення компанія «Інфосистеми Джет» (спочатку це був поштовий архів). Трохи пізніше в 2003 році було засновано InfoWatch як дочірня компанія «Лабораторії Касперського». Саме рішення цих двох компаній і задали орієнтири для решти гравців. До них, трохи пізніше, увійшли компанії Perimetrix, SearchInform, DeviceLock, SecureIT (у 2011 перейменована на Zecurion). У міру створення державою законодавчих актів щодо захисту інформації (ДК РФ стаття 857 «Банківська таємниця», 395-1-ФЗ «Про банки та банківську діяльність», 98-ФЗ «Про комерційну таємницю», 143-ФЗ «Про акти цивільного стану », 152-ФЗ «Про персональні дані», та інші, всього близько 50 видів таємниць), зростала потреба в інструментах захисту та зростав попит на DLP-системи. І за кілька років ринку прийшла «друга хвиля» розробників: Falcongaze, «МФІ Софт», Trafica. Всі ці компанії мали напрацювання в області DLP набагато раніше, але стали замінені на ринку відносно недавно. Наприклад, компанія «МФІ Софт» розпочала розробку свого DLP-рішення ще у 2005 році, а заявила про себе на ринку лише у 2011 році.

Ще пізніше, російський ринок став цікавим і для іноземних компаній. У 2007-2008 роках у нас стали доступні продукти Symanteс, Websense та McAfee. Нещодавно, в 2012, на наш ринок вивела свої рішення компанія GTB Technologies. Інші лідери світового ринку теж не залишають спроб прийти на російський ринок, але поки що без помітних результатів. В останні роки російський DLP-ринок демонструє стабільне зростання (понад 40% щорічно) протягом кількох років, що приваблює нових інвесторів та розробників. Як приклад, можна назвати компанію Iteranet, яка з 2008 року розробляє елементи DLP-системи для внутрішніх цілей, потім для корпоративних замовників. Зараз компанія пропонує своє рішення Business Guardian російським і зарубіжним покупцям.

Компанія відокремилася від «Лабораторії Касперського» у 2003 році. За підсумками 2012 року InfoWatch займає понад третину російського DLP-ринку. InfoWatch пропонує повний спектр DLP рішень для замовників, починаючи від середнього бізнесу і закінчуючи великими корпораціями та держструктурами. Найбільш затребуване на ринку рішення InfoWatch Traffic Monitor. Основні переваги їх рішень: розвинений функціонал, унікальні запатентовані технології аналізу трафіку, гібридний аналіз, підтримка багатьох мов, вбудований довідник веб-ресурсів, масштабованість, велика кількість встановлених конфігурацій та політик для різних галузей. Відмінними рисами рішення InfoWatch є єдина консоль управління, контроль дій співробітників, які перебувають під підозрою, інтуїтивно зрозумілий інтерфейс, формування безпекових політик без використання булевої алгебри, створення ролей користувачів (офіцер безпеки, керівник компанії, HR-директор і т.д.). Недоліки: відсутність контролю за діяльністю користувачів на робочих станціях, важкість InfoWatch Traffic Monitor для середнього бізнесу, висока вартість.

Компанія заснована ще 1991 року, на сьогоднішній день є одним із стовпів російського DLP-ринку. Спочатку компанія розробляла системи захисту організацій від зовнішніх загроз та її вихід на DLP-ринок – закономірний крок. Компанія «Інфосистеми Джет» – важливий гравець російського ІБ-ринку, який надає послуги системної інтеграції та розробляє власне ПЗ. Зокрема, власне DLP-рішення «Дозор-Джет». Основні його переваги: ​​масштабованість, висока продуктивність, можливість роботи з Big Data, великий набір перехоплювачів, вбудований довідник веб-ресурсів, гібридний аналіз, оптимізована система зберігання, активний моніторинг, робота у розрив, засоби швидкого пошуку та аналізу інцидентів, розвинена технічна підтримка, зокрема у регіонах. Також комплекс має можливості для інтеграції із системами класів SIEM, BI, MDM, Security Intelligence, System and Network Management. Власне ноу-хау – модуль "Досьє", призначений для розслідування інцидентів. Недоліки: недостатній функціонал агентів для робочих станцій, слабкий розвиток контролю над діями користувачів, орієнтованість рішення лише великі компанії, висока вартість.

Американська компанія, яка розпочинала свій бізнес у 1994 році як виробник ПЗ з інформаційної безпеки. У 1996 році представила свою першу власну розробку Internet Screening System для контролю за діями персоналу в мережі Інтернет. Надалі компанія продовжила роботу у сфері інформаційної безпеки, освоюючи нові сегменти та розширюючи асортимент продуктів та послуг. У 2007 році компанія посилила свої позиції на DLP-ринку, придбавши компанію PortAuthority. 2008 року Websense прийшла на російський ринок. На даний момент компанія пропонує комплексний продукт Websense Triton для захисту від витоку конфіденційних даних, а також зовнішніх загроз. Основні переваги: ​​єдина архітектура, продуктивність, масштабованість, кілька варіантів постачання, встановлені політики, розвинені засоби звітності та аналізу подій. Недоліки: немає підтримки низки IM-протоколів, немає підтримки морфології російської.

Корпорація Symantec є визнаним світовим лідером на ринку DLP рішень. Сталося це після покупки у 2007 році компанії Vontu, великого виробника DLP-систем. З 2008 року Symantec DLP офіційно представлено і на російському ринку. Наприкінці 2010 року, перша з іноземних компаній, Symantec локалізувала свій DLP-продукт для нашого ринку. Основними перевагами цього рішення є: потужний функціонал, велика кількість методів для аналізу, можливість заблокувати витік будь-яким контрольованим каналом, вбудований довідник веб-сайтів, можливість масштабування, розвинений агент для аналізу подій на рівні робочих станцій, багатий міжнародний досвід впровадження та інтеграція з іншими продуктами Symantec. До недоліків системи можна віднести високу вартість та відсутність можливостей контролю деяких популярних IM-протоколів.

Ця російська компанія була заснована у 2007 році як розробник засобів інформаційної безпеки. Основні переваги рішення Falcongaze SecureTower: простота встановлення та налаштування, зручний інтерфейс, контроль більшої кількості каналів передачі даних, розвинені засоби аналізу інформації, можливість моніторингу дій співробітників на робочих станціях (включаючи перегляд скріншотів робочого столу), граф-аналізатор взаємозв'язків персоналу, масштабованість, швидкий пошук за перехопленими даними, наочна система звітності за різними критеріями.

Недоліки: не передбачена робота у розрив на рівні шлюзу, обмежені можливості блокування передачі конфіденційних даних (тільки SMTP, HTTP та HTTPS), відсутність модуля пошуку конфіденційних даних у мережі підприємства.

Американська компанія, заснована у 2005 році. Завдяки власним напрацюванням у галузі інформаційної безпеки має великий потенціал розвитку. На російський ринок прийшла у 2012 та успішно реалізувала кілька корпоративних проектів. Переваги її рішень: висока функціональність, контроль багатьох протоколів і каналів потенційного витоку даних, оригінальні патентовані технології, модульність, інтеграція з IRM. Недоліки: часткова російська локалізація, немає російської документації, відсутність морфологічного аналізу.

Російська компанія, заснована 1999 року як системний інтегратор. 2013 року реорганізована в холдинг. Одним із напрямів діяльності є надання широкого спектру послуг та продуктів для захисту інформації. Один із продуктів компанії - DLP-система Business Guardian власної розробки.

Переваги: ​​висока швидкість обробки інформації, модульність, територіальна масштабованість, морфологічний аналіз 9 мовами, підтримка широкого спектра протоколів тунелювання.

Недоліки: обмежені можливості блокування передачі (підтримується лише плагінами під MS Exchange, MS ISA/TMG і Squid), обмежена підтримка шифрованих мережевих протоколів.

"МФІ Софт" - це російська компанія-розробник систем інформаційної безпеки. Історично компанія спеціалізується на комплексних рішеннях для операторів зв'язку, тому велику увагу приділяє швидкості обробки даних, відмовостійкості та ефективного зберігання. Розробки в галузі інформаційної безпеки МФІ Софт веде з 2005 року. Компанія пропонує на ринку DLP-систему АПК «Гарда Підприємство», орієнтоване на великі та середні підприємства. Переваги системи: простота розгортання та налаштування, висока продуктивність, гнучкі налаштування правил детектування (включаючи можливість запису всього трафіку), широкі можливості контролю каналів комунікації (крім стандартного набору, що включають VoIP-телефонію, P2P та тунелюючі протоколи). Недоліки: відсутність деяких видів звітів, відсутність можливостей блокування передачі інформації та пошуки місць зберігання конфіденційної інформації у мережі підприємства.

Російська компанія, заснована в 1995 році, що спочатку спеціалізувалася на розробці технологій зберігання та пошуку інформації. Пізніше компанія застосувала свій досвід та напрацювання у галузі інформаційної безпеки, створив DLP-рішення під назвою «Контур інформаційної безпеки». Переваги цього рішення: широкі можливості перехоплення трафіку та аналізу подій на робочих станціях, контроль робочого часу співробітників, модульність, масштабованість, розвинені інструменти пошуку, швидкість обробки пошукових запитів, граф-зв'язки співробітників, власний запатентований пошуковий алгоритм «Пошук схожих», власний навчальний центр для навчання аналітиків та технічних фахівців клієнтів. Недоліки: обмежені можливості блокування передачі, відсутність єдиної консолі управління.

Російська компанія, заснована в 1996 році і спеціалізується на розробці DLP-і EDPC-рішень. У категорію DLP-виробників компанія перейшла у 2011 році, додавши до свого всесвітньо відомого у категорії EDPC рішення DeviceLock (контроль пристроїв та портів на робочих станціях Windows) компоненти, що забезпечують контроль мережевих каналів та технології контентного аналізу та фільтрації. Сьогодні DeviceLock DLP реалізує усі способи виявлення витоку даних (DiM, DiU, DaR). Переваги: ​​гнучка архітектура та помодульне ліцензування, простота встановлення та управління DLP-політиками, в т.ч. через групові політики AD, оригінальні патентовані технології контролю мобільних пристроїв, підтримка віртуалізованих середовищ, наявність агентів для Windows та Mac OS, повноцінний контроль мобільних співробітників поза корпоративною мережею, резидентний модуль OCR (використовується, зокрема, під час сканування місць зберігання даних). Недоліки: відсутність DLP-агенту для Linux, версія агента для Mac-комп'ютерів реалізує лише контекстні методи контролю.

Молода російська компанія, що спеціалізується на технологіях глибокого аналізу трафіку мережі (Deep Packet Inspection - DPI). На основі цих технологій компанія розробляє власну DLP-систему під назвою Monitorium. Переваги системи: простота установки та налаштування, зручний інтерфейс користувача, гнучкий і наочний механізм створення політик, підходить навіть для невеликих компаній. Недоліки: обмежені можливості аналізу (немає гібридного аналізу), обмежені можливості контролю на рівні робочих станцій, відсутність можливостей пошуку місць зберігання несанкціонованих копій конфіденційної інформації у корпоративній мережі.

Висновки

Подальший розвиток DLP-продуктів іде у напрямку укрупнення та інтеграції з продуктами суміжних областей: контроль персоналу, захист від зовнішніх загроз, інші сегменти інформаційної безпеки. При цьому, майже всі компанії працюють над створенням полегшених версій своїх продуктів для малого та середнього бізнесу, де простота розгортання DLP-системи та зручність її використання важливіша за складний і потужний функціонал. Також триває розвиток DLP для мобільних пристроїв, підтримки технологій віртуалізації та SECaaS в «хмарах».

З урахуванням всього сказаного можна припустити, що бурхливий розвиток світового, і особливо російського DLP-ринків, залучить і нові інвестиції і нові компанії. А це, у свою чергу, має призвести до подальшого зростання кількості та якості пропонованих DLP-продуктів та послуг.

Пропонуємо ряд маркерів, які допоможуть вичавити максимум із будь-якої системи DLP.

DLP-системи: що це таке

Нагадаємо, що DLP-системи (Data Loss/Leak Prevention) дозволяють контролювати всі канали мережевої комунікації компанії (пошта, інтернет, системи миттєвих повідомлень, флешки, принтери тощо). Захист від витоку інформації досягається за рахунок того, що на всі комп'ютери співробітників ставляться агенти, які збирають інформацію та передають її на сервер. Іноді інформація збирається через шлюз з використанням SPAN-технологій. Інформація аналізується, після чого системою чи офіцером безпеки приймаються рішення щодо інциденту.

Отже, у вашій компанії пройшло використання DLP-системи. Які кроки потрібно зробити, щоб система запрацювала ефективно?

1. Коректно налаштувати правила безпеки

Припустимо, що в системі, що обслуговує 100 комп'ютерів, створено правило «Фіксувати всі листування зі словом «договір»», яке спровокує величезну кількість інцидентів, в якому може загубитися справжній витік.

Крім того, не кожна компанія може дозволити собі утримувати штат співробітників, які відстежують інциденти.

Підвищити коефіцієнт корисності правил допоможе інструментарій зі створення ефективних правил та відстеження результатів їхньої роботи. Кожна DLP-система має функціонал, який дозволяє це зробити.

Загалом методологія передбачає аналіз накопиченої бази інцидентів та створення різних комбінацій правил, які в ідеалі призводять до появи 5-6 справді невідкладних інцидентів на день.

2. Актуалізувати правила безпеки з певною періодичністю

Різке зниження чи збільшення кількості інцидентів — показник того, що потрібне коригування правил. Причини можуть бути в тому, що правило втратило актуальність (користувачі перестали звертатися до певних файлів) або співробітники засвоїли правило і більше не роблять дій, заборонених системою (DLP - навчальна система). Проте практика показує, що й одне правило засвоєно, то сусідньому місці потенційні ризики витоку зросли.

Також слід звернути увагу на сезонність у роботі підприємства. Протягом року ключові параметри, пов'язані зі специфікою роботи компанії, можуть змінюватись. Наприклад, для оптового постачальника малої техніки навесні будуть актуальними велосипеди, а восени — снігокати.

3. Продумати алгоритм реагування на інциденти

Існує кілька підходів до реагування на інциденти. При тестуванні та обкатуванні DLP-систем найчастіше людей не сповіщають про зміни. За учасниками інцидентів лише спостерігають. При накопиченні критичної маси із нею спілкується представник відділу безпеки чи відділу кадрів. Надалі часто роботу з користувачами віддають на відкуп представникам відділу безпеки. Виникають міні-конфлікти, у колективі накопичується негатив. Він може виплеснутися у навмисному шкідництві співробітників стосовно компанії. Важливо дотримуватись балансу між вимогою дисципліни та підтримкою здорової атмосфери в колективі.

4. Перевірити роботу режиму блокування

Існує два режими реагування на інцидент у системі - фіксація та блокування. Якщо кожен факт надсилання листа або прикріплення вкладеного файлу на флешку блокується, це створює проблеми для користувача. Часто співробітники атакують системного адміністратора проханнями розблокувати частину функцій, керівництво також може бути незадоволеним такими налаштуваннями. У результаті система DLP та компанія отримують негатив, система дискредитується та демаскується.

5. Перевірити, чи введено режим комерційної таємниці

Дає можливість зробити певну інформацію конфіденційною, а також зобов'язує будь-яку особу, яка знає про це, нести повну юридичну відповідальність за її розголошення. У разі серйозного витоку інформації при чинному на підприємстві режимі комерційної таємниці з порушника можна стягнути суму фактичної та моральної шкоди через суд відповідно до 98-ФЗ «Про комерційну таємницю».

Сподіваємося, що ці поради допоможуть знизити кількість ненавмисних витоків у компаніях, адже саме з ними покликані успішно боротися системи DLP. Однак не варто забувати про комплексну систему інформаційної безпеки та про те, що навмисні витоку інформації вимагають окремої пильної уваги. Існують сучасні рішення, які дозволяють доповнити функціонал систем DLP та значно знизити ризик навмисних витоків. Наприклад, один із розробників пропонує цікаву технологію - при підозріло частому зверненні до конфіденційних файлів автоматично вмикається веб-камера і починає вести запис. Саме ця система дозволила зафіксувати, як невдаха викрадач активно робив знімки екрану за допомогою мобільної фотокамери.

Олег Нечеухін, експерт із захисту інформаційних систем, «Контур.Безпека»