Контакты
Подписка
МЕНЮ
Контакты
Подписка

DLP-системы нового поколения

Ксения Головко, 23/07/20

В известной аббревиатуре DLP (Data Loss Prevention) обозначена непосредственная задача, которую решает данная система, а именно – защищает от утечек конфиденциальной информации. Сегодня же в какой-то мере система DLP является “заложницей" своей аббревиатуры, ведь современная система нового поколения – DLP Next Generation – уже не только решает задачу по предотвращению умышленных и случайных утечек, но и помогает бизнесу справляться сразу с несколькими глобальными проблемами. Что же из себя представляет система DLP Next Generation и какие решает задачи?

Ксения Головко, специалист по внешним коммуникациям Zecurion

Сегодня на рынке присутствуют разные по своей функциональности DLP-системы:

  • полноценные DLP с большими возможностями контроля и блокировки передачи информации и анализа данных;
  • системы с частичным функционалом DLP, которые могут отследить перемещение данных, но не могут предотвратить утечку;
  • системы другого класса со встроенным модулем DLP.

Разные системы решают различный спектр задач. Для того чтобы разобраться в этом, важно понимать, как они эволюционировали.

Эволюция DLP

Изначально DLP-рынок возник из проблемы Compliance (выполнение требований законодательства), в частности с того момента, когда регуляторы обратили внимание на утечки информации в компаниях и разработали ряд законов и отраслевых стандартов относительно защиты информации от внутренних угроз, которых нужно было каким-то образом придерживаться. Для решения задачи информационной безопасности вендоры предоставили бизнесу специальный инструмент – DLP-систему.

Второй этап разработки – DLP для защиты коммерческой тайны. Если раньше системой пользовались организации, в основном оперирующие персональными и финансовыми данными клиентов, то в дальнейшем у этих же организаций возник спрос на защиту собственной коммерческой информации. Это дало толчок для пересмотра концепции DLP и ее переформатирования в более сложную систему для максимального контроля каналов передачи данных.

Следующим шагом стала DLP для внутренней безопасности, то есть система уже не только предотвращала утечку информации, но и позволяла детально анализировать информацию и выявлять инциденты. Возможности такой DLP отчасти пополнились функционалом других классов ИБ-систем, таких как платформы для расследования инцидентов и даже SOC. Данный класс DLP начал формироваться относительно недавно. Это означает, что пока на рынке не так много разработчиков, готовых предложить клиентам возможность полноценно анализировать данные и события.

DLP как класс ИБ-решений в силу своей специфики и задач окупается не сразу, и у бизнеса возникают вопросы по поводу обоснования использования и эффективности системы. В итоге вендоры стали наращивать свои компетенции, чтобы предоставить заказчику не просто инструмент для предотвращения утечки информации, а конкретное решение бизнес-задач, которое будет приносить видимые результаты уже на ранних стадиях использования, например выявлять корпоративные преступления как в режиме реального времени, так и ретроспективно.

Новое поколение DLP – борьба с корпоративными мошенниками

После того как полноценные DLP созрели в своих аналитических возможностях по выявлению инцидентов, вендоры обратили внимание на применение системы для борьбы с мошенничеством в компаниях, в том числе с экономическими преступлениями. Архив большого количества информации о пользователях, собранной DLP-решением, анализ действий сотрудников и предоставление специалистам службы информационной безопасности максимального количества инструментов – одни из основных векторов развития DLP Next Generation. Какими характеристиками должна обладать DLP-система нового поколения?

Полный архив файлов, событий, инцидентов

Во-первых, такие системы ведут полный архив передаваемых и найденных файлов, событий и инцидентов, в отличие от предыдущих поколений DLP, которые фиксировали только случаи несоблюдения политик безопасности. Благодаря возможности системы фиксировать и сохранять такую детальную информацию департамент безопасности может видеть как общую картину состояния защищенности предприятия, так и детально расследовать инциденты внутренней безопасности вплоть до составления досье на сотрудника и его круг общения.

Управление и расследование

Удобство управления и широкие возможности по расследованию инцидентов – одни из важнейших показателей современной DLP-системы. Речь идет о наличии единого для всех компонентов DLP веб-интерфейса с возможностью построения различных отчетов, начиная от досье сотрудников со списком их взаимодействий с другими пользователями и заканчивая специальным отчетом для топ-менеджеров компании.

То же самое относится и к администрированию. Несмотря на стремительное развитие системы, до сих пор головной болью администраторов остается управление несколькими консолями с разными настройками для каждого модуля DLP у некоторых вендоров.

Аналогичная ситуация с установкой. Если раньше на нее требовалось много времени, то сегодня есть возможность максимально упростить внедрение в почти любую инфраструктуру. Например, у Zecurion есть собственный сервер установки, который позволяет заказчику самостоятельно управлять внедрением, обновлением и обслуживанием системы без привлечения ИТ-департамента, использования групповых политик домена или других решений.

Поведенческий анализ (UBA)

Новый уровень DLP-систем представляет собой совокупность основных возможностей перехвата и блокировки передачи данных и функционала других классов ИБ-решений, например поведенческого анализа пользователей, или UBA (User Behavior Analytics). DLP-вендоры обратили внимание на данный класс решений, позволяющих выявлять стандартное поведение работников, а в случае отклонения от этих норм – принимать меры, к примеру уделять больше внимания подозрительным сотрудникам. Разработчики DLP пришли к выводу, что такой функционал будет отличным дополнением к системе, которая находится в стадии трансформации в ИБ-решение тотального контроля пользователей. Однако данный функционал все еще развивается, и пока полноценный поведенческий анализ реализован лишь в выборочных DLP, в числе которых продукты Zecurion.

Контроль эмоционального состояния

Помимо анализа поведения сотрудников, можно оценивать уровень их эмоционального состояния. Система анализирует и оценивает всю лексику исходящих сообщений пользователя в мессенджерах, электронной почте и соцсетях. Анализ проводится на основе специального встроенного словаря тональной лексики, который состоит из "эмоциональных" слов, часто используемых человеком, в том числе в разговорной речи. В свою очередь, список структурируется по определенным типам эмоций: радость, доверие, ожидание, грусть, недовольство, страх, удивление, злость. Анализ динамики эмоционального состояния позволяет выделять тех сотрудников, кто может попасть в группу риска. Таких можно также взять на особый контроль.

Архитектура решения

Споры о том, что лучше – агентская DLP-система или шлюзовая, ведутся давно. Каждый из вариантов имеет не только преимущества, но и недостатки. Компенсировать их позволяет смешанная архитектура (см. рис.) с компонентами контроля информационных потоков на почтовом и сетевом шлюзах, рабочих станциях, модулем для выявления мест хранения конфиденциальной информации (Discovery) и общими сервисами, такими как архив.

Снимок экрана 2020-07-22 в 13.37.05
Рис. Архитектура DLP Next Generation

Поскольку внутренние сети многих компаний устроены по-разному, а бизнес- процессы существенно различаются, для современной DLP важно быть гибкой в плане установки и интеграции. Этому способствуют модульность и наличие компонентов для контроля на разных участках сети.

Криптопериметр

Иными словами, это контентно-зависимое шифрование. DLP может принудительно шифровать файлы при копировании их на съемные устройства в зависимости от настроенных политик безопасности. Такой функционал позволяет избегать популярного сценария утечки, когда сотрудники теряют флешки с конфиденциальными данными, а также в случае кражи или использования устройства третьими лицами. Криптопериметр – уникальная функция для DLP-систем и является принципиальным отличием Zecurion DLP от существующих на рынке решений.

Расширенные возможности мониторинга действий

Сбор большого объема информации о пользователях, анализ действий сотрудников и предоставление специалистам службы безопасности максимального количества данных о пользователях – ключевые направления развития DLP в ближайшие годы. Поэтому расширенные возможности мониторинга действий сотрудников – еще один показатель современной DLP-системы. Сюда входят достаточно простые методы контроля за действиями, но при необходимости они могут сильно помочь в расследовании серьезного инцидента. К таким методам относятся отслеживание нажатий клавиатуры (кейлогер), запись звуков через микрофон контролируемого компьютера, создание снимков с фронтальной веб-камеры.

Camera Detector

Это уникальная в своем роде технология с функцией защиты от фотографирования экрана компьютера, разработанная компанией Zecurion. Встроенная технология определяет устройство, сообщает об этом офицеру безопасности и сохраняет инцидент в архиве с информацией о том, на каком компьютере и в какое время это было сделано. Такой инструмент востребован в первую очередь среди финансовых организаций и компаний, работающих с большими объемами персональных данных, которые могут быть украдены третьими лицами.

Создание единой платформы защиты

Базовые технологии DLP давно доведены до совершенства, и сейчас вендоры сосредоточились на повышении удобства использования системы и возможности полноценного расследования инцидентов. При этом развитие систем диктуется не только требованиями заказчиков, но и появлением новых инсайдерских угроз, в числе которых специфическое фотографирование монитора на смартфон, а также мошеннические схемы вплоть до экономических преступлений.

Можно с уверенностью говорить, что сегодня основным вектором развития DLP является возможность эффективного предотвращения мошенничества. Достигается это путем развития единой платформы для аналитической работы, полноценного расследования инцидентов и защиты не только конфиденциальных данных, но и денежных средств компании. 

Аутсорсинг Zecurion DLP

Отрасль: информационная безопасность
Регион: Россия, СНГ

Описание

Аутсорсинг DLP:

  • Анализ и оптимизация защиты данных от утечек
  • Подготовка отчетов для руководства
  • Ведение подробного досье по сотрудникам
  • Проведение профилактических расследований и расследований по инцидентам
  • Быстрое выявление мошеннических схем в компании
  • Настройка DLP для соблюдения антимонопольного законодательства
  • Настройка DLP для соблюдения требований, в том числе GDPR

Настройка и оптимизация работы DLP-системы:

  • Техническая адаптация Zecurion DLP под инфраструктуру заказчика
  • Тонкая техническая настройка контроля и мониторинга каналов передачи данных
  • Предупреждение системных сбоев и отказов
  • Поддержание настроек Zecurion DLP в актуальном состоянии
  • Настройка под бизнес-требования заказчика

Фирма, предоставившая информацию: Zecurion
129164, Москва, Ракетный бульвар, 16
Тел.: +7 (495) 221-2160  
E-mail: info@zecurion.com  
www.zecurion.ru  

Темы:DLPЖурнал "Информационная безопасность" №3, 2020

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
Стать автором
Комментарии

More...