Редакция журнала "Информационная безопасность", 02/02/23
Импортозамещение коснулось многих классов решений в сфере информационной безопасности. Но производители DLP-систем чувствуют себя в новой реальности более чем уверенно. Почему это так, как будет развиваться ситуация в перспективе 2–3 лет, что нового ждать в функциональности систем? На вопросы заказчиков, собранные редакцией журнала “Информационная безопасность”, ответили представители вендоров DLP-решений.
Участники:
Дмитрий Горлянский, руководитель отдела технического сопровождения продаж “Гарда Технологии”
Алексей Дрозд, начальник отдела информационной безопасности “СёрчИнформ”
Александр Клевцов, руководитeль направления Traffic Monitor InfoWatch
Алексей Кубарев, эксперт Центра продуктов Dozor “РТК-Солар”
Эликс Смирнов, аналитик InfoWatch
Владимир Ульянов, руководитель аналитического центра Zecurion
Как скажется уход иностранных вендоров на функциональности и стоимости российских DLP-систем?
Дмитрий Горлянский, Гарда Технологии: Функциональные возможности российских DLP уже давно соответствуют уровню западных вендоров, а в некоторых случаях даже превосходят. Как минимум уже наработана достаточно большая база контентных фильтров, кейсов, компетенций, специфичных для отечественных реалий ИБ. Более того, большинство российских компаний уже пользуются отечественными DLP-системами, так что каких-либо потрясений на рынке DLP ждать не стоит.
Александр Клевцов, InfoWatch: Действительно, уход западных вендоров DLP сказывается не так болезненно для заказчиков, как в других классах ИБ-решений. Все-таки в России рынок DLP был традиционно развит и конкурентноспособен. Например, наше решение во многом опережает иностранных вендоров по многим аспектам, например в технологиях графического анализа, лингвистике и технологиях машинного зрения. К тому же немаловажный фактор – это учет специфики российского рынка, поддержка различных языков, сертификация и т.д.
Алексей Дрозд, СёрчИнформ: Отечественные ИБ-решения всегда были сильнее западных с точки зрения функциональности. Сейчас отечественные вендоры будут переориентироваться и развивать функционал, связанный с импортозамещением. Но стоимость решений вырастет, так как ушли не только ИБ-компании, но и производители железа. Закупки элементов ИТ-инфраструктуры стали обходиться дороже, в том числе и для разработчиков, – подорожал сам производственный процесс. Что касается функциональности, то она не зависит от ухода иностранных вендоров.
Алексей Кубарев, РТК-Солар: Стоимость решений продолжит регулироваться внутренним рынком: конкуренция достаточно высока, поэтому никаких резких изменений цен, связанных с трансформацией рыночного ландшафта, мы не ожидаем. Российские DLP-системы функционально были более приспособленными к российским реалиям, чем зарубежные решения, даже до их ухода. Поэтому исчезновение зарубежных игроков с отечественного рынка никак не скажется на возможностях российских решений: наши DLP всегда развивались независимо от иностранных.
Владимир Ульянов, Zecurion: Импортозамещение в сфере DLP по большому счету завершилось еще несколько лет назад, когда доли иностранных вендоров сократились до считанных процентов. А вот российские игроки ведут активную экспансию на зарубежные рынки. К примеру, Zecurion DLP входит в число ведущих мировых игроков, по оценкам аналитиков Gartner, IDC, Forrester. Наши продукты развиваются в конкурентной среде и востребованы как внутри страны, так и за рубежом, поэтому уход иностранных игроков принципиально ситуацию не поменяет.
По каким векторам развиваются DLP-решения? Какие технологические тренды можно выделить? С чем может быть связан технологический прорыв в DLP-решениях в перспективе 2–3 лет?
Владимир Ульянов, Zecurion: DLP в части контроля каналов приблизились к совершенству. Последними серьезными вызовами были контроль мессенджеров и защита от фотографирования экрана (впервые реализована Zecurion). Сейчас DLP идут по пути интеграции и наращивания функциональности из смежных сегментов корпоративной безопасности, например контроля действий персонала (класс Staff Control) или контроля данных внутри периметра (класс DCAP). В ближайшей повестке также стоит задача контроля активно развивающихся в корпоративной среде облачных сервисов.
Дмитрий Горлянский, Гарда Технологии: Можно отметить, что сохраняется тренд, заданный в 2020 г., – контроль рабочего дня сотрудников, выявление нетипичного поведения. Но если раньше больше внимания уделялось контролю эффективности, то сейчас эти функции используются преимущественно для решения вопросов кадровой безопасности и противодействия утечкам кадров. Можно также наблюдать, что, помимо коммерческой тайны, в поле зрения DLP все чаще попадает техническая информация – об ИТ-инфраструктуре, доступах к сервисам, аутентификационные данные и др. Это связано со значительно возросшим количеством атак на сетевую инфраструктуру.
Алексей Дрозд, СёрчИнформ: Сейчас у вендоров в приоритете переезд на отечественные или свободные БД и ОС. Что касается трендов, мы, например, сделали ставку на методы машинного обучения и теперь детектируем попытки сфотографировать экран ПК и распознаем пользователей по лицам. Для оптимизации работы ИБ-специалиста включили в состав КИБ аналог Jira – таск-менеджер для ведения сложных расследований с удобным функционалом. Технологический приоритет я вижу в комплексности решений, то есть в бесшовной интеграции всех инструментов для внутренней безопасности.
Александр Клевцов, InfoWatch: Во-первых, DLP-система должна стать частью инфраструктуры компаний, и те вендоры, кто сможет дать реальные возможности интеграции с бизнес-системами, войдут в шорт-лист у заказчиков. Второй тренд – развитие технологий искусственного интеллекта, особенно в части автоматизации работы служб ИБ. И третье направление развития – управление рисками при помощи предиктивной аналитики.
Алексей Кубарев, РТК-Солар: Ключевым вектором сегодня является движение DLP и других ИБ-решений к экосистемности, взаимной интеграции в единую систему безопасности компании. В идеале заказчик должен иметь возможность без проблем выстроить свою систему безопасности из любого набора решений разных вендоров. Наиболее перспективными представляются направления интеграции DLP с SIEM, SOAR или DCAP, а также развитие технологий поведенческого анализа (UBA, UEBA). В частности, мы активно развиваем свою DLP-систему в этих направлениях.
Как скажется дефицит микроэлектроники на рынке DLP-решений?
Алексей Кубарев, РТК-Солар: Системы класса DLP ничем не отличаются от любых других софтверных продуктов: для их функционирования необходимо оборудование. Но мы ожидаем бурного развития параллельного импорта и предполагаем, что существенного дефицита оборудования на рынке не случится.
Эликс Смирнов, InfoWatch: Действительно, современные системы не требуют для нормальной работы фантастических ресурсов и в ближайший год-другой, вероятней всего, требовать не будут. Поэтому вопрос не стоит слишком остро.
Дмитрий Горлянский, Гарда Технологии: Безусловно, усложнится поставка решений в формате ПАК, но запас оборудования есть, равно как и есть обходные пути решения этих проблем. В нашем холдинге есть компания – производитель аппаратных платформ, поэтому мы, возможно, испытываем меньшие трудности с аппаратной частью в сравнении с другими вендорами.
Алексей Дрозд, СёрчИнформ: В ситуации дефицита железа в выигрыше останутся те компании, которые всегда писали софт с оглядкой на его оптимизацию. Мы закладывали эти принципы в фундамент нашей системы. Например, в КИБ есть механизмы дедупликации данных, чтобы сохраненная информация занимала меньше места, система эффективно использует мощности, на которых развернута. Кроме того, мы видим запрос на миграцию в облака, заказчики хотят защищать бизнес без лишних затрат на железо. Поэтому мы активно развиваем взаимодействие с облачными провайдерами, и все наши решения можно развернуть в облаке.
Владимир Ульянов, Zecurion: Заказчики большее внимание станут уделять системным требованиям, это заметно уже сейчас. К примеру, Zecurion может быть развернут на единственном сервере. И сразу бьет тех конкурентов, которым нужно минимум два-три сервера для установки всех компонентов. Это важно не только для небольших компаний, но для крупных территориально распределенных организаций. На больших объемах в десятки тысяч рабочих мест преимущество Zecurion в производительности становится еще более заметным.
Какова роль психологии в разработке, внедрении и эксплуатации DLP-решений в современных условиях?
Дмитрий Горлянский, Гарда Технологии: Роль психологии пока еще небольшая, скорее как экспериментальное направление. Все-таки DLP – это в первую очередь инструмент для выявления фактов нарушения политики безопасности, а все, что следует далее, включая непосредственную работу с нарушителем, находится вне задач DLP и вообще каких-либо автоматизированных систем. Тем не менее исследования в области психологии могут быть весьма интересны, например, для кластеризации пользователей и выявления типовых моделей поведения, что впоследствии может быть использовано для предиктивной аналитики.
Эликс Смирнов, InfoWatch: Ролевой модели нет ни в разработке, ни во внедрении, ни в эксплуатации. Ее значимость также сложно оценить: непонятно, по каким критериям это следует делать. А в случае утечек необходимо брать во внимание психологию, ведь подавляющее большинство увольняемых будут пытаться украсть информацию, до которой только смогут дотянуться, и продавать ее в последние пару дней работы. Исключения из этого правила есть, и для их понимания тоже потребуется психология. Соответственно, функционал DLP-системы должен учитывать сценарий поведения этих категорий сотрудников.
Владимир Ульянов, Zecurion: Инсайдерские угрозы во многом связаны с пресловутым человеческим фактором, поэтому психологии здесь достаточно. Самого факта наличия DLP-системы в организации часто достаточно, чтобы количество нарушений политик безопасности существенно снизилось. Поведение сотрудников становится более ответственным, как следствие, сокращается число случайных утечек и намеренные действия становятся более осторожными. В отличие от компаний, где информация распространяется бесконтрольно, в сети, на домашние компьютеры, на внешние адреса.
Алексей Дрозд, СёрчИнформ: Роль психологии в последние годы возрастает. Это заметно по запросам заказчиков, которые хотят, чтобы сотрудник был включен в процесс защиты данных. Клиенты стали активнее просить доработки для взаимодействия между пользователем и службой безопасности. Поэтому, например, у нас в агенте появился пользовательский интерфейс, который уведомляет сотрудника о разрешениях или запретах доступа и позволяет запросить доступ к использованию устройств.
Алексей Кубарев, РТК-Солар: Российский бизнес уже давно двигается в сторону максимальной прозрачности процессов. Практика показывает: осознание наличия контролирующей системы в инфраструктуре предприятия положительно сказывается на психологии и мотивации сотрудников. Как сказал на Форуме DLP+ представитель Сбера, еще никто не отказывался работать в банке только потому, что там есть DLP-система. Конечно, есть некоторый процент людей, которые будут нарушать установленные правила и искать лазейки для неправомерных поступков, и вот против них и должна работать психология.
Насколько распространен аутсорсинг защиты от внутренних злоумышленников? Какие основные барьеры можно выделить и как их преодолеть?
Александр Клевцов, InfoWatch: Аутсорсинг ИБ в России развит не слишком сильно, и основным барьером в его развитии служит то, что заказчики не хотят делиться данными с третьими лицами, беспокоясь об их сохранности.
Алексей Дрозд, СёрчИнформ: Активнее всего аутсорсингом интересуются малые и средние компании, которым проблематично самостоятельно выстраивать ИБ-отдел и выделять бюджет на закупку железа. Но заказчики опасаются за безопасность данных. Поэтому для одних важна сертифицированная среда, для других – разрешение на работы по технической защите информации у исполнителя. У нас в экосистеме предусмотрен доступ по RDP, также КИБ поддерживает ролевую модель доступа к данным, а вся работа аутсорсера происходит на сервере, и никакая информация не переносится за его пределы. Важно не забывать и про подписание NDA и SLA.
Алексей Кубарев, РТК-Солар: Аутсорсинг в деле защиты от утечек еще не сильно распространен, поскольку пока заказчики боятся давать доступ посторонним к чувствительной информации компании. Однако я считаю, что этот барьер преодолим, надо заниматься воспитанием рынка, объяснять, что это нормально. И одновременно ужесточать ответственность всех сторон, не только заказчиков, но и аутсорсинговых компаний, и вендоров за утечки данных. Чтобы заказчик верил в надежность сервиса и поставляемых решений.
Владимир Ульянов, Zecurion: Аутсорсинг DLP распространен слабо. По моим ощущениям, эта идея более применима для небольших организаций. Они стремятся сэкономить, восполнить отсутствие кадров и компетенций через аутсорсинг, но для крупного бизнеса такой подход нецелесообразен. Выгоднее иметь своего сотрудника или даже отдел, а внешнего подрядчика можно привлечь лишь однажды для обучения и настройки. Еще одна проблема лежит в области психологии: не всякий заказчик готов с кем-либо делиться своими корпоративными историями и инцидентами.
Как можно снизить затраты на внедрение DLP в уже развернутой мультиспецифической ИТи ИБ-инфраструктуре?
Алексей Кубарев, РТК-Солар: Во-первых, можно снизить затраты путем правильного выбора DLP-системы, контролирующей нужные данной компании каналы, а также путем правильной проектировки внедрения. Кроме того, при ограниченности бюджета можно приобретать DLP в рассрочку – покупать подписку на год с дальнейшей пролонгацией. В моменте это обойдется существенно дешевле, чем сразу купить бессрочную лицензию.
Владимир Ульянов, Zecurion: С точки зрения потребителя есть только один правильный вариант – найти подходящую DLP, чтобы не перекраивать всю инфраструктуру. Zecurion предлагает пятнадцать вариантов внедрения, и часто нас спрашивают: зачем? Действительно, в одной компании достаточно одноготрех способов. Но эта вариативность дает возможность подстроиться под сеть любого заказчика с объемами свыше 100 тыс. рабочих мест и тысячами филиалов и предложить именно тот сценарий, который лучше всего подходит.
Дмитрий Горлянский, Гарда Технологии: Снизить затраты можно в первую очередь организационными мерами: должны быть определены базовые объекты защиты, места их хранения, способы передачи данных, права доступа, периметры их передачи и т.д. Это значительно сократит наиболее болезненный и продолжительный этап жизненного цикла любой DLP – внедрение и первоначальную настройку. Следует обратить внимание также на оптимизацию контролируемых каналов и функциональных возможностей. Один из часто встречающихся примеров – необходимость шифрования файлов на внешних устройствах при запрещенном использовании этих самых внешних накопителей. Еще один пример оптимизации – использование контроля каналов, а не рабочих мест, например, для HTTP(s)-трафика.
Александр Клевцов, InfoWatch: Чтобы снизить затраты, нужно, чтобы DLP-система корректно работала в любых импортозамещенных средах, то есть чтобы она изначально их поддерживала.
Алексей Дрозд, СёрчИнформ: Затраты на внедрение можно снизить в любой инфраструктуре, купив DLP, которая в условиях дефицита железа эффективно использует мощности. Принципиальными критериями являются качество исходного кода и способность разработчиков оптимизировать продукт. По моему мнению, DLP-система, собранная из различных опенсорсных компонентов, по функциям и производительности не может сравниться с проприетарным решением, разрабатывавшимся много лет. Еще одна возможность – развернуть DLP в облаке, если бизнес не готов тратиться на железо.
Как оценить количество и специализацию сотрудников, необходимых для эффективной работы DLP-системы в организации?
Александр Клевцов, InfoWatch: Нужно, чтобы эксплуатация DLP-системы требовала от сотрудников минимум специфических знаний. Сложные во внедрении DLP-системы, на полноценную работу с которыми требуется целый штат ИБ, должны уйти в прошлое. Кадров в ИБ и так не хватает, чтобы использовать их для разбора рутины. Зрелая DLP позволяет сделать это средствами автоматизации: например, находить новые категории документов и создавать новые лингвистические модели для их защиты, помогать с актуализацией политик безопасности и т.д.
Алексей Кубарев, РТК-Солар: По сути, для эксплуатации DLP-системы в организации нужны две роли: это ИТ-специалист, который сможет инженерно поддерживать систему и будет понимать, как она работает, и аналитик со специализацией в безопасности, который будет работать с системой и проводить расследования. Решение инженерных задач в принципе можно переложить на плечи вендора или интегратора, приобретя расширенную техническую поддержку. А вот аналитика лучше иметь своего. Однако чем больше в компании сотрудников, тем больший штат аналитиков потребуется: ориентировочно один специалист на пятьсот пользователей.
Алексей Дрозд, СёрчИнформ: На каждые полторы тысячи пользователей необходим один аналитик, который должен понимать, как пользоваться системой, какие виды поиска есть и как настраивать политики. Если у аналитика возникают сложности в работе с системой, то у нас есть специалисты отдела внедрения, которые помогут настроить ПО, а сотрудники учебного центра расскажут о тонкостях работы с "СёрчИнформ КИБ".
Дмитрий Горлянский, Гарда Технологии: Думаю, что оценить потребность в сотрудниках можно только опытным путем, то есть обратиться к опыту коллег. Если брать в качестве примера наших клиентов, то при правильно настроенных политиках выявления инцидентов один сотрудник ИБ вполне может контролировать до одной тысячи сотрудников. Но эти цифры все равно могут сильно разниться в зависимости от того, какие инциденты будут считаться критичными, какие менее критичными. Если в компании гайки закручены максимально плотно, то и объем обрабатываемых инцидентов вырастет во много раз, что, естественно, потребует больших затрат человеческих ресурсов.
Владимир Ульянов, Zecurion: Самая точная оценка – практическая. Даже с опытом работы у нескольких вендоров и сотен заказчиков я не могу заранее предсказать потребности на следующем проекте. В общем случае количество людей на DLP зависит от самой системы (на рынке есть очень ресурсоемкие конкуренты), используемых модулей и задач, которые организация ставит перед DLP. Для Zecurion в порядке вещей, когда единственный офицер безопасности успешно контролирует свыше десяти тысяч рабочих мест и чувствует себя вполне комфортно. Но если требуется скрупулезный разбор всех событий и ежедневная отчетность для первых лиц, а процессы в самой компании не отлажены, людей придется добавлять.
