Контакты
Подписка 2025
Статьи по информационной безопасности

DLP: один в поле не воин?

Александр Коновалов, 11/01/22

На ранних этапах развития компьютерных и сетевых технологий задачи информационной безопасности в основном строились вокруг предотвращения проникновения злоумышленника внутрь защищаемого периметра ИТ-инфраструктуры. Однако достаточно быстро пришло понимание, что не менее важным является и обеспечение защиты информации от утечек, инициированных непосредственно внутри периметра организации. Причем эти утечки могут носить как злонамеренный характер, так и случайный – вызванный небрежностью сотрудников.

Автор: Александр Коновалов, технический директор Varonis Systems в России

Основным средством борьбы с этим типом угроз стали DLP-системы (Data Leak Prevention), главная задача которых – фильтрация всего исходящего из защищаемой ИТ-инфраструктуры трафика и выявление в нем признаков утечки конфиденциальных данных. Еще одна важная задача DLP – соответствие требованиям отраслевых стандартов и законодательства, в том числе 152-ФЗ, 98-ФЗ, GDPR, PCI DSS, HIPPA.

Подобные системы нейтрализации внутренних угроз развиваются уже более 20 лет и достигли определенного совершенства. При этом методы, основанные на анализе контекста трафика даже лучшими в отрасли DLP-системами, часто приводят к ложным срабатываниям. Это выливается в постоянную гонку за контролем все большего числа каналов передачи информации и необходимость бесконечно совершенствовать правила фильтрации, что в конечном итоге приводит к дополнительной нагрузке для ИТ-бюджета компании. Кроме того, подход, основанный на по-файловом анализе, который используют большинство DLP-систем, сдается под натиском петабайтов неструктурированной информации: такая система начинает генерировать сотни оповещений, которые чрезвычайно сложно приоритизировать.

Несмотря на все усилия, количество утечек данных растет. Только в США стало известно о более чем 1 тыс. подобных случаев за 2020 г., что вдвое выше показателя 2010 г. И это всего лишь часть проблемы, которую смогли разглядеть СМИ.

Результаты исследований Varonis говорят, что в среднем каждый сотрудник крупной организации имеет доступ к 17 млн документов, а в 41% компаний более 1 тыс. конфиденциальных файлов находятся в распоряжении любого работника. Все это указывает на необходимость внедрения дополнительных средств защиты, которые помогли бы кардинально повысить эффективность DLP-систем, а то и вовсе заменить их.

Найти данные

Для организации эффективной защиты от утечек конфиденциальных данных прежде всего необходимо четко представлять, где они находятся. Для этого можно применить специальные системы классификации, которые проанализируют весь информационный массив организации как в локальных хранилищах, так и в облаке (DCAP. – Прим. ред.). Подобные решения выполняют определение важности документа на основе правил и моделей, позволяющих, например, отыскать все файлы, для которых должны быть выполнены требования GDPR или аналогичные.

Кроме того, правильная классификация подразумевает использование набора регулярных выражений, минус-слов, механизма сопоставления с учетом "близости". Однажды проведенный полный анализ в дальнейшем должен обновляться на основе данных, полученных из журнала регистрации активностей в файловой системе.

Понять данные

Качественно проведенный анализ информационного массива организации сам по себе не приведет к повышению уровня его защищенности. Результаты этого этапа работы необходимо визуализировать и представить в удобном для мониторинга и контроля виде. Мы рекомендуем использовать дашборды для отслеживания ключевых индикаторов риска данных.

Помимо этого, инструмент должен обеспечивать видимость прав доступа к данным (с учетом наследования), наличия учетных записей с широкими правами и нестойкими паролями, а также подозрительных соединений по VPN. Предпочтительно, чтобы визуализация всех этих данных могла быть упорядочена как по цепочке "данные – пользователь", так и в обратном порядке.

Автоматизировать защиту

Цифровая трансформация настолько увеличила объемы хранимой и обрабатываемой информации, что методы защиты, требующие ручного труда, просто пасуют. Здесь на помощь могут прийти средства автоматизации, которые способны снижать риски в короткий срок благодаря массовой корректировке прав доступа к конфиденциальным данным. Для удобства предварительного моделирования вносимых изменений средства автоматизации должны иметь режим песочницы, помогающий заранее понять, как отзыв ненужных прав скажется на работе организации.

Второй важной задачей, требующей автоматизации, является перенос, архивирование или удаление конфиденциальных данных для соответствия текущим политикам их безопасности. Надлежащие средства помогут быстро навести порядок в инфраструктуре и в короткие сроки внедрить принцип наименьших привилегий. Важно обеспечить пользователей в случае необходимости удобной формой запроса на выдачу прав к папкам, группам.

Защитить облака

Такие облачные сервисы, как Microsoft 365, SalesForce, Zoom, GitHub, Google Workspace, нуждаются в контроле доступа к их содержимому и определении пользователей со слишком широкими правами. Чтобы решить эту задачу, применяются средства, оповещающие о передаче конфиденциальных файлов через ссылки с общим доступом, об открытии доступа к ним гостевым пользователям, о распознавании неактивных ссылок с внешним доступом.

Эти инструменты, опираясь на полученный в ходе анализа контекст, приоритизируют собираемую информацию, визуализируют ее и оповещают администратора о подозрительной активности.

Остановить злоумышленника

Возвращаясь к слабым сторонам большинства DLP-систем, следует признать, что их функциональность не может обеспечить защиту от продвинутых угроз, например от детально проработанных кибератак, выполняемых квалифицированными хакерами. Сильно уменьшить "простор для творчества" злоумышленников помогают инструменты контроля конфиденциальных данных.

Распознать комбинированные кибератаки, подозрительный доступ к данным, попытки несанкционированного входа в систему и кражу DNS можно с помощью средств анализа событий на конечных точках, определения геолокации и проверки репутации URL. Алгоритмы искусственного интеллекта, прошедшие обучение на данных анализа повседневной активности пользователей, позволят выявить подозрительные отклонения от поведенческих паттернов и вовремя изолировать скомпрометированный узел от защищаемых данных. Необходимо, чтобы эта задача решалась и за пределами локальной ИТ-инфраструктуры, распространяясь на облачные сервисы, так как их штатные меры защиты нельзя признать достаточными.

Следовать правилам

Непрерывный мониторинг корпоративных хранилищ с последующей проверкой контекста конфиденциальных данных позволяет обеспечить тот самый "нулевой" этап защиты данных, которого так не хватает DLP-системам.

Консалтинговая компания Forrester в своем недавнем отчете сообщила, что внедрение инструментов защиты позволяет снизить риск утечки чувствительной для компании информации на 75% по сравнению с результатами, демонстрируемыми DLP без дополнительных средств поддержки. Игнорировать этот факт – значит оставить компанию беззащитной перед реальной угрозой, пополнить список корпоративных утечек, который и без того выглядит весьма печально.
Темы:DLPЖурнал "Информационная безопасность" №5, 2021

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Слово не воробей, но DLP его поймает
    Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
    Информация – ценный актив и важнейшее достояние компании, требующее надежной защиты. Подходы к защите информации могут значительно различаться, но требования регуляторов обязывают компании обеспечивать безопасность данных, включая защиту ПДн. А ответственность за необходимость охраны коммерческой тайны ложится на плечи подразделений информационной безопасности. Помимо прочего, существует “чувствительная информация”, утечка которой способна привести к крайне негативным последствиям.
  • DCAP и DLP: гармония взаимодействия
    Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
    Защита данных как “в движении", так и “в покое" – одна из задач подразделения информационной безопасности современного предприятия. Основное внимание уделяется охране персональных данных и коммерческой тайны, объединяемых под понятием “чувствительная информация". Информация “в движении" защищается системами DLP, а защиту данных “в покое" обеспечивают системы DCAP.
  • Инновации в DLP и DCAP и новые классы решений
    Эксперты в области систем для защиты от утечек поделились своим мнением о том, как развиваются решения классов DLP и DCAP и какие инновации появились в этом сегменте за последний год.
  • "Открытый контроль" как профилактика утечек информации. Что предлагают DLP?
    Алексей Дрозд, Директор учебного центра "СёрчИнформ"
    Исследование “СёрчИнформ” показало, что только 18% компаний в России оценивают уровень киберграмотности своих сотрудников как хороший.
  • Из DLP в DLP. Обзор развития российского рынка DCAP
    Владимир Ульянов, руководитель аналитического центра Zecurion
    DCAP долгое время находился в поисках своего места в сложной иерархии средств информационной безопасности. Он родился под названием DAG, конкурировал с такими альтернативами, как DSG и UDM, а как только обрел общепринятое название в рамках концепции DCAP, начал испытывать притязания со стороны старого союзника – DLP, вместе с которым защищал корпоративные данные еще до выделения в отдельный класс. Разберемся в истории развития DCAP и его перспективах.
  • ГК InfoWatch: как в 3 раза ускорить расследование инцидентов ИБ без дополнительной нагрузки на офицера безопасности
    Сергей Кузьмин, руководитель направления Центр расследований ГК InfoWatch
    С учетом того, как стремительно масштабируются DLP-системы и какой огромный массив данных генерирует каждый инструмент безопасности, защита информации требует к себе принципиально нового подхода. Рассмотрим, как снизить нагрузку на офицера безопасности, улучшить качество его работы и при этом в несколько раз увеличить скорость проведения расследований.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"