Контакты
Подписка 2025
Статьи по информационной безопасности

Портрет современной DLP-системы

Галина Рябова, 28/01/22

На рубеже 20-х гг. нашего века DLP-системы накрыла волна стремительной цифровизации, подстегнутая массовым переводом сотрудников на удаленную работу: все коммуникации перешли в онлайн и периметр организации фактически исчез. Мы наблюдаем очередной виток нелинейного роста объемов информации, который параллельно с укрупнением и монополизацией бизнеса выдвигает самые серьезные требования к производительности и отказоустойчивости DLP-систем.

Автор: Галина Рябова, директор Центра продуктов Dozor компании “Ростелеком-Солар”

Ответом отрасли на эти вызовы стало бурное развитие технологий анализа данных. Накопленный разработчиками опыт и технологическая база еще пять лет назад позволяли для защиты от утечек делать подходы к использованию технологий искусственного интеллекта, нейронных сетей и т.п. Но только на рубеже 2020-х эти наработки стали применяться в передовых DLP-системах для решения конкретных задач.

Ехать на надежном Hyundai?..

Стандартный набор технологий в среднестатистической DLP-системе – то, что называется must have, – зависит от целевой аудитории. Потребности небольших компаний и крупных организаций существенно различаются, поэтому можно выделить два вида "средних" DLP-систем для этих сегментов.

Требования компаний нижнего B2B-сегмента к качеству перехвата и анализа данных в целом не отличаются от крупного бизнеса, а вот их реализация имеет ряд особенностей. Как правило, небольшие компании используют DLP-систему в режиме мониторинга, а не блокировки, поэтому они не столь требовательны к быстродействию фильтрации и автоматизации процесса работы с заблокированными сообщениями. С учетом недостаточно развитой ИТ-инфраструктуры или построения ее части в сервисной модели (например, почты) для перехвата информации может быть достаточно только агентов. Но требования к их возможностям довольно широки: запись микрофона и видео рабочего стола, функции управления съемными носителями и контроль рабочего времени. То есть компании стараются повысить отдачу от инвестиций, минимизируя количество средств защиты и решая смежные задачи бизнеса. При этом они стремятся контролировать каждого сотрудника.

В must have-набор также входит функциональность управления жизненным циклом инцидента, аналитические инструменты для проведения расследований в разрезе сотрудников и групп и аналитическая отчетность для принятия управленческих решений.

В условиях экономического кризиса цена риска для крупного бизнеса становится неприемлемо высокой и внимание смещается на предотвращение инцидентов. Использование DLP "в разрыв" начинает быть нормой, повышаются требования к скорости анализа и реагирования на инциденты.

На фоне тенденций монополизации и укрупнения бизнеса численность сотрудников enterprise-компаний стала определяться не десятками, а сотнями тысяч. За последний год к росту количества участников корпоративных коммуникаций добавился и нелинейный рост объемов трафика, вызванный стремительной цифровизацией.

Поэтому, вопреки ожиданиям, базовые требования крупный бизнес выдвигает не к функционалу DLP-систем, а к их быстродействию, надежности и отказоустойчивости, обеспечение которых – непростая задача для производителя. Кратное увеличение анализируемого трафика приводит к тому, что качественные и хорошо зарекомендовавшие себя в прошлом классические технологии контентного анализа не обеспечивают одновременно требуемой для работы "в разрыв" скорости и сохранения высокой точности анализа. Например, мы заменили классические инструменты распознавания графических объектов, таких как паспорта, печати, платежные карты и т.п., на технологию глубокого обучения на основе нейронных сетей Faster RCNN (Region-Based Convolutional Neural Networks). Скорость работы этой технологии практически не зависит от размера изображения, объекты распознаются с учетом различных деформаций – растяжения, поворота, наложения на другие объекты, а также при полном отсутствии текстовой составляющей.

Для обеспечения отказоустойчивости архитектура системы должна позволять продублировать любой узел системы и легко заменить любой вышедший из строя узел резервным. При этом консистентность данных должна сохраняться не только при переходе на резервный узел, но и при последующем возвращении на основной.

Когда речь идет о коммуникациях десятков и сотен тысяч сотрудников, о персональном мониторинге каждого сотрудника речи быть не может. Поэтому аналитические инструменты, дающие представление об общей оперативной обстановке, фокусирующие внимание на зонах риска, подсвечивающие негативные тенденции, входят в "минимальную потребительскую корзину". Однако с учетом объемов информации, с которыми сталкивается на практике служба ИБ, классической аналитики недостаточно. И мы видим, как использование технологий поведенческого анализа (User Behavior Analytics, UBA) становится привычной рутиной. Технологии UBA позволяют выявлять в поведении сотрудников аномалии, которые могут свидетельствовать о ранних признаках корпоративного мошенничества, зарождении коррупционных схем, о предпосылках к возникновению утечек информации, о скором увольнении сотрудников и т.п. Это дает возможность службам безопасности прогнозировать риски, заниматься профилактикой нарушений, повышать выявляемость. Анализ поведения помогает фокусироваться на тех областях, где риск возникновения угроз максимально высок.

Компании enterprise-сегмента, как правило, имеют территориально распределенную структуру. Здесь требуются решения, компоненты которых физически размещаются по всей стране, а из единого центра можно ими управлять, проводить сквозные расследования, видеть общую аналитику. Такая система должна обеспечивать надежную работу вне зависимости от степени децентрализации ИТ-инфраструктуры и пропускной способности каналов предприятия.

Еще один аспект – требования к безопасности самой DLP-системы. Наверное, "средние" требования зависят от решаемых задач и величины потенциального ущерба. Основная задача СЗИ – не только обеспечить функциональность, но и защитить пользовательскую информацию от потери целостности, конфиденциальности и доступности. Для этого в ПО закладываются функции безопасности, которые различаются для систем разных категорий. И там, где одной компании будет достаточно соответствия требованиям к средствам контроля подключения съемных машинных носителей от 2014 г., минимальным требованием другой будет соответствие уровню доверия для систем I класса защищенности.

Это то, что сегодня де-факто уже является стандартом отрасли. А теперь о том, что отличает наиболее передовые системы.

...Или на роскошном Rolls-Royce?

Обычно, когда говорят про продвинутую DLP-систему, подразумевают наличие широкой функциональности. И этот аспект важен. Однако, на мой взгляд, класс системы определяется удобством использования, продуманностью деталей и высоким качеством реализации каждой функции.

То, что в небольшой компании является досадным неудобством, в масштабе крупной корпорации выливается в колоссальные потери времени. Так, например, в одной из версий мы изменили дизайн карточки сообщения, сделав ее больше и лучше структурировав, однако допустили usability-ошибку: контрастность важных для анализа параметров в новом дизайне оказалось недостаточной. Это привело к заметному снижению скорости работы группы реагирования на инциденты одного крупного заказчика. Поэтому высокая степень автоматизации рутинных процессов и операций ИБ-службы, столь значимая для крупных компаний, пока относится к "люксовым" возможностям DLP.

Сегодня DLP-система является инструментом корпоративной безопасности в целом, применяемым для решения таких задач, как профилирование и выявление групп риска, мониторинг групп особого контроля, выявление признаков мошенничества и коррупции, расследование гипотез, управление конфликтом интересов и т.п. Это значит, что у DLP появилось большое количество функциональных пользователей, которым необходимо обеспечить конфиденциальность работы. Это совершенно иной уровень требований к разделению прав пользователей.

Достигшая определенной зрелости компания приходит к осознанию необходимости интеграции DLP в экосистему безопасности. Здесь от DLP-системы требуется наличие развитых средств интеграции со смежными системами. Если раньше в стандарт интеграции входили AD, прокси и SIEM и лишь отдельные заказчики выгружали данные DLP в BI, то сейчас появился спрос на интеграцию с IGA, IRM, IRP.

А нужен ли вообще автомобиль?

Необходимость системы безопасности определяется величиной и приемлемостью потенциального ущерба.

Приемлема ли утечка конструкторской документации предприятия оборонного комплекса к вероятному противнику? Как это скажется на обороноспособности страны? А утечка логинов и паролей от сотрудника металлургического предприятия, приведшая к кибератаке и экологической катастрофе?

Каков ущерб от утечки к конкуренту базы благонадежных заемщиков небольшого банка? Как это повлияет на доходность и устойчивость бизнеса?

Или, скажем, срыв выполнения госконтракта и попадание в реестр недобросовестных подрядных организаций как результат накопившейся критичной массы нарушений в процессе взаимодействия в течение длительного времени с большим количеством субподрядчиков. Такой ситуации можно было избежать, поставив на мониторинг коммуникации по ключевой сделке.

Так нужен ли вам автомобиль?
Темы:DLPЖурнал "Информационная безопасность" №3, 2021

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Слово не воробей, но DLP его поймает
    Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
    Информация – ценный актив и важнейшее достояние компании, требующее надежной защиты. Подходы к защите информации могут значительно различаться, но требования регуляторов обязывают компании обеспечивать безопасность данных, включая защиту ПДн. А ответственность за необходимость охраны коммерческой тайны ложится на плечи подразделений информационной безопасности. Помимо прочего, существует “чувствительная информация”, утечка которой способна привести к крайне негативным последствиям.
  • DCAP и DLP: гармония взаимодействия
    Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
    Защита данных как “в движении", так и “в покое" – одна из задач подразделения информационной безопасности современного предприятия. Основное внимание уделяется охране персональных данных и коммерческой тайны, объединяемых под понятием “чувствительная информация". Информация “в движении" защищается системами DLP, а защиту данных “в покое" обеспечивают системы DCAP.
  • Инновации в DLP и DCAP и новые классы решений
    Эксперты в области систем для защиты от утечек поделились своим мнением о том, как развиваются решения классов DLP и DCAP и какие инновации появились в этом сегменте за последний год.
  • "Открытый контроль" как профилактика утечек информации. Что предлагают DLP?
    Алексей Дрозд, Директор учебного центра "СёрчИнформ"
    Исследование “СёрчИнформ” показало, что только 18% компаний в России оценивают уровень киберграмотности своих сотрудников как хороший.
  • Из DLP в DLP. Обзор развития российского рынка DCAP
    Владимир Ульянов, руководитель аналитического центра Zecurion
    DCAP долгое время находился в поисках своего места в сложной иерархии средств информационной безопасности. Он родился под названием DAG, конкурировал с такими альтернативами, как DSG и UDM, а как только обрел общепринятое название в рамках концепции DCAP, начал испытывать притязания со стороны старого союзника – DLP, вместе с которым защищал корпоративные данные еще до выделения в отдельный класс. Разберемся в истории развития DCAP и его перспективах.
  • ГК InfoWatch: как в 3 раза ускорить расследование инцидентов ИБ без дополнительной нагрузки на офицера безопасности
    Сергей Кузьмин, руководитель направления Центр расследований ГК InfoWatch
    С учетом того, как стремительно масштабируются DLP-системы и какой огромный массив данных генерирует каждый инструмент безопасности, защита информации требует к себе принципиально нового подхода. Рассмотрим, как снизить нагрузку на офицера безопасности, улучшить качество его работы и при этом в несколько раз увеличить скорость проведения расследований.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"