Контакты
Подписка 2026

DLP умерла. Да здравствует DLP!

InfoWatch, 03/09/21

Несмотря на то что в 2021 г. вендоры DLP продолжают анонсировать новую функциональность, далеко не всегда понятно, какой эффект для бизнеса стоит за этими изменениями и дадут ли они качественный скачок с точки зрения скорости и эффективности решения прикладных задач ИБ, количество которых не уменьшается. В гонке за вниманием производители DLP добавляют новые возможности, иногда выходя за границы задач защиты информации от утечек и усложняя продукты. А что могло бы на самом деле изменить жизнь специалистов ИБ, сделать актуальной их роль в современном бизнесе на современных скоростях?

DLP должна ощутимо снижать трудоемкость обработки инцидентов

Качество технологий анализа определяет трудоемкость обработки инцидентов. Если нельзя настроить систему так, чтобы она давала минимум ложных срабатываний без ущерба для надежности защиты, то неминуемо стоит ожидать большого количества ложноположительных срабатываний. Все их придется либо просматривать вручную, либо игнорировать.

Как SIEM называют кладбищем логов в безопасности, так и DLP скоро будут называть кладбищем нарушенных политик.

Отсюда первая очевидная задача – не пропустить важное. Удивительно, но она до сих пор не решена во многих DLP. Ведь ловить надо разные форматы документов: текстовые, несколько видов графических и т.д. Мы много лет занимаемся разработкой своих методов защиты, и, по нашим наблюдениям, защищать графику мало кто умеет. Под каждый тип графики есть свои технологии распознавания, которыми может похвастаться далеко не каждая современная DLP-система. Например, есть конфиденциальные фотографии (фото, связанные с исследованиями, технологическими разработками, медицинского характера), карты застройки территории, схемы помещений, карты георазведки, чертежи, схемотехника и пр. Максимум, что может большинство DLP-систем, – детектировать формат файлов и сообщать безопаснику: "Это документ AutoCAD". А нужно уметь "залезть" в файл и понять, что содержит изображение. Только так в ответственный момент DLP-система сможет определить, была ли отправлена через мессенджер фотография с корпоратива или фотография важного чертежа.

Претендовать на защиту конфиденциальных данных и обходить стороной качественное распознавание графической информации никак не получится. Разница в эффективности технологий защиты графики на реальных кейсах заказчиков очевидна. Возьмем, например, компанию-застройщика, которая часть своих чертежей размещает публично в Интернете вместе с официальной конкурсной документацией. А другая часть чертежей остается конфиденциальной, к примеру планы застройки территории. Конфиденциальные и неконфиденциальные чертежи визуально похожи. Поэтому защита, основанная на детектировании только формата файла, никогда не обезопасит компанию от утечки конфиденциального чертежа. Тут нужен графический копирайтный анализ.

Вторая понятная задача – не перегрузить ИБ-специалиста ненужными действиями. Например, в случае с персональными данными отлично видно, как использование системы без развитых технологий контентного анализа "аукается" отделу ИБ. Представьте себе, что у вас в мессенджере два сообщения с персональными данными, но в одном из них – ФИО, телефон и адрес клиента компании из вашей бизнес-системы, а в другом – такие же данные, но другая ситуация: кто-то по дружбе рекомендовал специалиста и поделился контактами. Если пытаться ловить утечку таких данных с использованием регулярных выражений, то оба сообщения будут нарушением. Более того, каждое письмо с подписью в почте будет считаться инцидентом. И другое дело, когда ваша DLP интегрирована с бизнес-системами и вы защищаете конкретные данные, которые имеют реальную ценность.

Итак, мы кратно снизили количество инцидентов, на которые надо реагировать. Но ведь есть события или череда событий, где совершенно неочевидно, что это надвигающийся инцидент.

Здесь приходит на помощь возможность прогнозировать риски безопасности с использованием технологий машинного обучения. В DLP-системе InfoWatch Traffic Monitor, например, за это отвечает модуль предиктивной аналитики InfoWatch Prediction, способный "увидеть" в разрозненных событиях цепочку и предупредить службу безопасности до того, как наступит реальная угроза.

И снова, чтобы не перегрузить безопасника и помочь с приоритизацией событий, важно, чтобы DLP-система сама уведомляла специалиста ИБ, на что ему стоит обратить внимание. Например, с помощью того же модуля предиктивной аналитики InfoWatch Prediction можно автоматизировать оповещения об аномальном поведении и даже цепочке событий. Офицеру безопасности остается только настроить, что он хочет видеть и как часто хочет получать оповещения.

Анализ данных должен быть удобным

Обнаружить инцидент, задействовав минимум ресурсов, – только первый этап, на котором DLP-система должна уметь показать свою эффективность. Основные трудозатраты наступают с переходом на этап расследования: требуется перекопать горы данных, нащупать направление и по крупицам восстановить картину произошедшего. Увеличить скорость реакции специалисту ИБ помогают инструменты визуальной аналитики.

Может ли офицер безопасности сам быстро составить маршрут движения конфиденциального документа и провести расследование утечки за пять минут? Скорее всего, нет. Но если он обратится к инструменту визуальной аналитики данных DLP и построит граф перемещения информации, то тут же увидит, в каком направлении вести расследование дальше: кто создал документ, куда его отправлял и какими способами, когда документ покидал периметр компании и т.д. Даже с учетом различных нюансов, возникающих во время "жизненного пути" документа. Например, "договор" и "договор_правки" – это может быть один и тот же документ, название которого в процессе его "путешествия" дополняется комментариями и пометками. Факторы такого рода не должны стать помехой для поиска.

DLP должна быть актуальной

Любая компания – это живой организм, и процессы в ней постоянно меняются. Бизнес обычно не согласовывает свои действия с ИБ, не уведомляет об изменениях и редко приносит в отдел ИБ шаблоны новых документов, которые нужно защищать. Как успевать за скоростью изменений?

На графе связей визуально выделятся то, что зачастую остается вне зоны внимания безопасника, например, коммуникации с одним адресатом по двум параллельным каналам – личному и корпоративному, общение с уволившимися сотрудниками, отправка данных самому себе на личный адрес и другие действия, несущие потенциальную опасность для сохранности конфиденциальной информации. В частности, и такое можно увидеть, используя инструмент визуализации InfoWatch Vision.

Второй пример – когда нужно оперативно настроить политику защиты новых типов документов, появляющихся в компании. Ведь было бы идеально делать это автоматически. В InfoWatch такую технологию на основе ИИ сделали. Это "Автолингвист". Он позволяет автоматически настроить политику защиты документов такого же типа.

Следующий логичный шаг – вовремя узнать о появлении новых типов документов в компании. Это означает, что нужно научить DLP автоматически категоризировать данные. Кто сделает это первым, тот сможет доказать рынку и клиентам, что он действительно понимает боль безопасников, работающих с DLP-системами, и способен думать на несколько шагов вперед с позиций заказчика. 

Благодарим экспертов ГК InfoWatch Александра Клевцова и Марину Маркелову за помощь в подготовке материала.

InfoWatch Traffic Monitor – ИБ-решение года в России

Объявлены лучшие ИТ-решения по выбору TAdviser 2021. В рамках ежегодного TAdviser SummIT, прошедшего 26 мая 2021 года в Москве, состоялось награждение участников пятой церемонии награждения TAdviser IT PRIZE. ГК InfoWatch стала лауреатом премии в "ИБ-решение года России – 2021". Выбором TAdviser 2021 года среди ИБ-продуктов стала DLP-система Traffic Monitor за уникальные технологии анализа, расширяющие возможности DLP.

DLP-система InfoWatch Traffic Monitor – это высокотехнологичное решение на основе искусственного интеллекта для защиты от утечек данных и прогнозирования рисков информационной безопасности компаний и организаций. С момента создания в 2003 году InfoWatch задает тон на рынке DLP и на протяжении многих лет остается лидером в этом сегменте.

Темы:DLPЖурнал "Информационная безопасность" №3, 2021
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Контроль информации в состоянии покоя и предотвращение утечек
    Максим Чеплиев, менеджер продукта Staffcop, эксперт Контур.Эгиды
    Системы предотвращения утечек следят только за передачей файлов. Если файл никто не трогает, DLP его не видит. Даже если в этом файле, годами лежащем на рабочем столе, пароли от всей корпоративной инфраструктуры или персональные данные клиентов. Штрафы регуляторам, финансовые убытки – вероятный финал такой небрежности. Разберемся, как обнаружить критичные файлы в покое и взять их под контроль до того, как они уплывут наружу.
  • Сотрудники, дружба, ИБ: открытый контроль снижает риски утечек
    Вы наверняка сталкивались с парадоксом: чем строже становятся правила безопасности, тем чаще сотрудники ищут обходные пути. Исследование “СёрчИнформ” показывает тревожную статистику: 66% утечек конфиденциальной информации происходят без злого умысла. Основные причины – персонал не всегда понимает правила информационной безопасности, не может оценить важность данных и не осознает последствия нарушений. При этом лишь 18% российских компаний могут похвастаться по-настоящему высокой киберграмотностью сотрудников.
  • DLP и DCAP для доказательства защиты ПДн
    На проверках регуляторов формального "у нас все защищено" давно недостаточно – требуется подтвержденная практикой система контроля. DLP и DCAP кажутся подходящими для этого инструментами, позволяющими не просто предотвратить утечку, но и показать, что организация действительно соблюдает требования 152-ФЗ. Посмотрим, что именно в этих решениях работает на успешный аудит?
  • DLP против ChatGPT
    Появление генеративного ИИ создало для специалистов по информационной безопасности новый тип утечек – через пользовательские запросы. Теперь данные могут покинуть периметр не по каналам коммуникаций, а в диалоге с умным алгоритмом. Насколько DLP-системы готовы к такому сценарию и где проходят границы их эффективности?
  • Доступные правила: как распределить права пользователей, чтобы это работало?
    Подходов к настройке и распределению доступа много: дискретный, мандатный, ролевой, атрибутивный. В любом из них ИБ-специалисты сталкиваются с проблемой: “на бумаге" правила доступа выглядят хорошо, а на деле выявляются риски. Как защититься от случайных нарушений и злоупотребления правами со стороны пользователей? Поможет связка DLP+DCAP.
  • Внутренняя утечка, о которой может знать только DCAP
    Олег Митичкин, руководитель направления DCAP ГК InfoWatch
    Утечка все чаще начинается не с внешнего инцидента, а с внутренних изменений: доступов, которые никто не пересматривал, и файлов, оказавшихся не там, где нужно. В этом контексте DCAP – уже не просто инструмент для проверки хранилищ, а механизм, который помогает держать данные под контролем до того, как случится проблема. Это переход от точечной реакции к постоянному пониманию, где находятся риски и как с ними работать на уровне всей инфраструктуры.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...