Вредный совет №2. Как нужно выбирать ДЛП* систему и как ни в коем случае нельзя выбирать DLP**-систему.
Smart Line, 10.01.18
Настоящая ДЛП система, в отличии от DLP, не должна уметь предотвращать утечки в реальном времени, а только предоставлять инструментарий для расследования инцидентов постфактум. Никаких блокировок!
Как метко выражаются представители некоторых ДЛП вендоров: «ДЛП это система, которая собирает данные». Их коллеги подтверждают, что для включения блокировки нужно обладать головой, из чего следует, что для внедрения ДЛП голова не обязательна вовсе. Не могу с этим поспорить.
Для ДЛП продуктов остановить утечку технически невозможно. Это значит нужно вмешиваться в закрытые протоколы общения приложений (например, Skype), уметь задерживать передачу файлов на внешние носители (например, USB-флешки) и т.д. И не просто вмешиваться и задерживать, а извлекать из потока пользовательские данные, анализировать их на лету и мгновенно принимать решение о разрешении или запрете их передачи.
Мониторинг случившегося, поиск (часто с элементами магических технологий, позволяющими искать что-то похожее на нечто) по базе данных сохраненных сообщений и файлов, запись экрана и клавиатуры пользователя, карточки и профили пользователей, красивые отчеты и графы – вот ключевые функции настоящей ДЛП.
Ключевые слова для подбора ДЛП решения: «почтовый архив», «проведение расследования», «UEBA», «снимки экранов».
*ДЛП – можно расшифровать как «Для Любителей Подслушивать» и в данном контексте означает некую сущность мимикрирующую под DLP (см. ниже), но таковой не являющейся.
**DLP – «Data Leak Prevention» или «Data Loss Prevention» - предотвращение утечек информации, где ключевым словом является «предотвращение» (Prevention).
Автор: Ашот Оганесян