Рынок DLP-систем, каким его помнят старожилы, выглядел совсем не так, как сегодня. Программы были громоздкими и имели скромные возможности. Внедрение занимало около полугода, для настройки требовалось привлекать лингвистов. А за тестирование еще надо было платить. То есть DLP на старте – это такой “космический корабль” (долго, дорого, с непонятным эффектом), который был доступен только крупному бизнесу. Системы изменились, их применение стало более массовой практикой. Но порог вхождения в “клуб” пользователей DLP продолжает снижаться и сегодня, благодаря новым форматам работы с программой.
Период, когда вендоры могли диктовать заказчикам, какой должна быть DLP-система, был непродолжительным и канул в Лету. С тех пор ситуацией владеют клиенты, а разработчики развивают продукты под их пристальным вниманием.
Это пошло рынку на пользу. Современные DLP-системы не сравнить с ранними версиями. Теперь программы умеют выполнять даже смежные функции: eDiscovery, Time Tracking, Risk Management, криптозащиты информации, аудита ИТ-инфраструктуры, контроля привилегированных пользователей и др.
Подробнее читайте в статье: "DLP уже не та". Как меняется функционал и формат работы с системой
В известной аббревиатуре DLP (Data Loss Prevention) обозначена непосредственная задача, которую решает данная система, а именно – защищает от утечек конфиденциальной информации. Сегодня же в какой-то мере система DLP является “заложницей" своей аббревиатуры, ведь современная система нового поколения – DLP Next Generation – уже не только решает задачу по предотвращению умышленных и случайных утечек, но и помогает бизнесу справляться сразу с несколькими глобальными проблемами. Что же из себя представляет система DLP Next Generation и какие решает задачи?
Сегодня на рынке присутствуют разные по своей функциональности DLP-системы:
Разные системы решают различный спектр задач. Для того чтобы разобраться в этом, важно понимать, как они эволюционировали.
Изначально DLP-рынок возник из проблемы Compliance (выполнение требований законодательства), в частности с того момента, когда регуляторы обратили внимание на утечки информации в компаниях и разработали ряд законов и отраслевых стандартов относительно защиты информации от внутренних угроз, которых нужно было каким-то образом придерживаться. Для решения задачи информационной безопасности вендоры предоставили бизнесу специальный инструмент – DLP-систему.
Второй этап разработки – DLP для защиты коммерческой тайны. Если раньше системой пользовались организации, в основном оперирующие персональными и финансовыми данными клиентов, то в дальнейшем у этих же организаций возник спрос на защиту собственной коммерческой информации. Это дало толчок для пересмотра концепции DLP и ее переформатирования в более сложную систему для максимального контроля каналов передачи данных.
Следующим шагом стала DLP для внутренней безопасности, то есть система уже не только предотвращала утечку информации, но и позволяла детально анализировать информацию и выявлять инциденты. Возможности такой DLP отчасти пополнились функционалом других классов ИБ-систем, таких как платформы для расследования инцидентов и даже SOC. Данный класс DLP начал формироваться относительно недавно. Это означает, что пока на рынке не так много разработчиков, готовых предложить клиентам возможность полноценно анализировать данные и события.
DLP как класс ИБ-решений в силу своей специфики и задач окупается не сразу, и у бизнеса возникают вопросы по поводу обоснования использования и эффективности системы. В итоге вендоры стали наращивать свои компетенции, чтобы предоставить заказчику не просто инструмент для предотвращения утечки информации, а конкретное решение бизнес-задач, которое будет приносить видимые результаты уже на ранних стадиях использования, например выявлять корпоративные преступления как в режиме реального времени, так и ретроспективно.
После того как полноценные DLP созрели в своих аналитических возможностях по выявлению инцидентов, вендоры обратили внимание на применение системы для борьбы с мошенничеством в компаниях, в том числе с экономическими преступлениями. Архив большого количества информации о пользователях, собранной DLP-решением, анализ действий сотрудников и предоставление специалистам службы информационной безопасности максимального количества инструментов – одни из основных векторов развития DLP Next Generation. Какими характеристиками должна обладать DLP-система нового поколения?
Подробнее читайте в статье: DLP-системы нового поколения
Драйвить развитие DLP-решений продолжают всем известная цифровая трансформация и требования регуляторов. Рынок зрелый, продолжает стабильно развиваться, и мы вместе с международными аналитиками Gartner наблюдаем следующее: ужесточаются требования законодательства, бизнес-процессы работают в облаках, часто с доступом через личные устройства, компании присутствуют в соцсетях, а сотрудники решают рабочие вопросы в мессенджерах, куда уже "вползли" тяжелые форматы типа аудио и видео, растут объемы корпоративных данных и увеличивается динамика их изменений, данные устаревают, обновляются, появляются новые. Это задает DLP-технологиям вполне конкретный вектор развития: рынок наелся хайпом от модных слов ИИ, Machine Learning и пр. и теперь ждет, кто из вендоров яснее сможет показать реальную пользу от технологий на утилитарных задачах. А как клиенту это понять? Задавать вендору самые неприятные вопросы: про возможности интеграций с конкретными бизнес-системами, которые стоят в организации, про соцсети с личных устройств, про измерение ЛПС на пилотах – все, чтобы убедиться, что прикладные задачи действительно решаются.
Есть три ключевых аспекта, вокруг которых идет добавление новых возможностей в DLP.
Первый – это использование DLP-систем для решения не только ИБ-задач. Нашими пользователями все чаще становятся департаменты экономической и кадровой безопасности. Это и понятно: DLP анализирует потоки данных, в которых содержатся сигналы экономических преступлений, мошеннических схем, конкретных действий сотрудников, влияющих на благополучие организации. Для удобства анализа этих данных мы разработали инструменты визуальной и предиктивной аналитики и продолжаем наращивать технологии контентного анализа.
Второй – это изменения цифровой среды, в которой функционирует бизнес. Мы уже упоминали облачные сервисы и системы аудио-и видеоконференций, которые резко стали массово востребованными с переходом на удаленку и медленным выходом из нее. Все, что связано с современными концепциями совместной работы. Некоторые компании всерьез думают об отказе от почты в пользу мессенджеров и платформ коллабораций, практикуют динамические рабочие группы, а значит мы должны уметь обеспечивать безопасность данных в рамках коммуникаций, идущих в режиме реального времени и необходимо эффективно и безопасно делиться информацией для ускорения рабочих процессов.
И, наконец, третий: автоматизация определенных функций DLP-системы. О чем это? Цифровизация и множество новых каналов коммуникаций прямо влияют на рост объема данных, которые обрабатывает система. Количество событий огромно. Красное событие в системе по факту реализации риска – это здорово, но зачастую ему предшествует целая цепь, идентифицировать которую в потоке из сотен тысяч событий в день – за пределами человеческих возможностей.
Подробнее читайте в статье: Драйв инноваций в DLP наступает тогда, когда решаются прикладные задачи клиентов
Из основных требований GDPR вытекает необходимость использования инструментов информационной безопасности и их глубокой интеграции в инфраструктуру компании, как на уровне потоков данных, так и на уровне корпоративных бизнес-процессов. Преимущество DLP-систем по сравнению с другими ИБ-решениями заключается в большем количестве функциональных возможностей, позволяющих соблюсти значительное число требований по работе с данными и их защите. Кроме того, DLP-системе не нужны дополнительные интеграционные решения для полного соответствия требованиям GDPR.
Согласно GDPR необходимо категорировать информацию и выявлять персональные данные, в частности персональные данные граждан Евросоюза. До сих пор многие организации не выделяют персональные данные клиентов среди другой информации и не всегда знают все места их хранения. Для решения этой проблемы DLP-система автоматически распознает конфиденциальную формацию благодаря глубокому анализу содержания пересылаемых и хранимых файлов, это может быть и документ, отправленный по электронной почте, и вложение к сообщению в мессенджере, и сохраненный в облаке файл.
Преимущество DLP-систем по сравнению с другими ИБ-решениями заключается в большем количестве функциональных возможностей, позволяющих соблюсти значительное число требований GDPR.
Отдельное внимание стоит уделить информации в графическом виде, особенно чувствительной к утечкам. По данным Zecurion Analytics, около 30% от общего числа утечек приходятся на персональные данные в графическом формате, это сканы паспортов, СНИЛС, ИНН и прочих официальных документов. В отличие от других систем безопасности, DLP распознает текст на изображениях и позволяет идентифицировать их как личные данные. Все это система умеет благодаря набору технологий детектирования. Чем большее количество таких технологий используется, тем точнее получается результат идентификации.
По правилам GDPR быстрое реагирование на инциденты и уведомление об утечках становится обязательным, причем оператору необходимо оценить возможные риски, связанные с "нарушением прав и свобод граждан". Сообщить об утечке необходимо и субъектам персональных данных, и надзорным органам.
В случае возникновения инцидента DLP-система заблокирует неправомерные действия и уведомит о них офицера безопасности, останавливая таким образом потенциальную утечку на самом раннем этапе.
Подробнее читайте в статье: Как системы класса DLP помогают выполнить требования GDPR
С переходом на "удаленку" в запросах заказчиков стали лидировать две потребности:
Важный вклад в решение обоих вопросов внесла аналитика поведения сотрудников на самоизоляции на основе профиля UBA.
Профиль поведения в UBA – это общность контактов и особенностей трафика. Контакты разделены на группы. Для анализа важно понимать, пересылает ли человек что-то внутреннему адресату или внешнему и имеет ли их общение постоянный или разовый характер. Большую роль также играет "уникальность контакта". Уникальными контактами мы называем тех сотрудников, с которыми больше никто в компании не контактирует. Чтобы выявить такие контакты, нужно проанализировать все коммуникации всех сотрудников. Это объемная работа, но она дает очень много полезных зацепок для мониторинга безопасности.
Благодаря составлению профилей и категоризации контактов во вкладке "досье" модуля UBA можно увидеть рабочую эго-сеть и приватную эго-сеть для каждого сотрудника. Эго-сеть – это устойчивые коммуникации, которые отражают личные взаимоотношения людей (переписка "один-на-один", без других людей в копии).
Помимо профилей, при внедрении модуля UBA были также обнаружены паттерны (модели) поведения, охватывающие сразу несколько пользователей. Сотрудники могут быть из разных отделов, но по каким-то причинам они ведут себя одинаково. Например, используя паттерны, через UBA можно найти всех сотрудников, которые временно отсутствуют около двух недель (что похоже на отпуск). И их профили будут сильно отличаться от профилей так называемых мертвых душ – уже не работающих в компании людей. Паттерны позволяют реализовать дополнительный механизм кластеризации и поиска сотрудников по определенным параметрам.
Через месяц после того, как все перешли на удаленную работу, DLP обнаружили ряд важных тенденций. Очевидные вещи, измеренные в реальных числах и показателях, демонстрируют новые угрозы и заставляют задуматься о дополнительных мерах поддержки сотрудников.
Как показывает практика 2019 и 2020 гг., все больше организаций реализуют меры защиты технологических процессов. Причины могут быть разными, например в результате категорирования в структуре компании были определены значимые ОКИИ и требуется реализация мер, определенных приказом ФСТЭК № 239.
Важную роль при реализации мер защиты играет сегментация сети передачи данных, причем практически везде осуществляется разделение на корпоративную (КСПД) и технологическую (ТСПД) сети передачи данных, или корпоративный и критичный сегменты. Однако современные и эффективные бизнес-и ИТ-процессы зачастую требуют информационного взаимодействия между КСПД и ТСПД. Для его безопасной реализации применяются различные способы: перенос данных через съемные носители, фильтрация трафика на МЭ, а также шлюзы однонаправленной передачи или, как их еще называют, диоды.
Следует отметить, что оснащенность средствами контроля и защиты КСПД и ТСПД в большинстве организаций заметно различается. Как показывает практика, в КСПД она значительно лучше. В КСПД, помимо ставших общепринятыми МЭ и средств антивирусной защиты, применяются и более продвинутые решения, например SIEM, WAF, DLP.
О DLP хочется поговорить более подробно, особенно с учетом правоприменительной практики, в том числе уголовного преследования по ст. 274.1 УК РФ. Внимание на себя обращает тот факт, что вполне допустимой является трактовка судами фактов утечки информации ограниченного доступа за границы периметра КИИ как неправомерного воздействия на КИИ РФ1. Поэтому тема применения DLP на границах периметра и внутри КИИ требует обсуждения.
В большинстве случаев DLP применяется для контроля таких каналов утечки информации, как вывод на печать или копирование на съемные носители, электронная почта, веб-доступ к интернет-ресурсам. Даже общие папки на файловых серверах не остаются без внимания данных систем. Но при этом контроль утечек конфиденциальной информации фокусируется на внешнем периметре сети и АРМ КСПД, тогда как каналы связи и ПК, размещенные в ТСПД, далеко не всегда так же тщательно контролируются. Это происходит по следующим причинам, которые можно разделить на группы:
Таким образом, независимо от причин появляется вполне реально осуществимый и одновременно слабо контролируемый канал утечки – из информационных систем КСПД в критичный сегмент, внутри которого DLP зачастую не применяется. А если сетевое оборудование сегментов ТСПД и общих сегментов находится под единым управлением, то такой канал на практике не обнаруживается.
Подробнее читайте в статье: Безопасная передача конфиденциальной информации в критичных и корпоративных сетях
Работа служб безопасности корпораций учит исключить из сознания такие варианты, как "отправил по ошибке", "скопировал (распечатал) для себя", "не собирался воспользоваться этими данными" и т.д.
Нужно понимать и всегда помнить, что сотрудник не будет ничего "выносить" или "сливать", если сейчас или в будущем не допускает использования украденных данных. А значит, в каждом случае мы имеем дело с осознанными нарушителями, которые не исключают для себя возможности причинения ущерба своему нынешнему работодателю тем или иным образом.
Это знание позволяет смотреть шире и дальше самого факта утечки. Необходимо научиться исследовать и анализировать причины инцидента, его последствия и влияние на других сотрудников компании. Так, неизбежно появляются группы риска или группы особого контроля. Как известно, сотрудники попадают в них по разным причинам: конфликты с коллегами или руководством, недовольство работой и поиск новой, участие в каком-то инциденте, происшествии. Значение имеют даже несущественные, на первый взгляд, детали и факты.
Само собой, без психологии не обойтись. Но вряд ли дипломированные психологи когда-нибудь захотят работать за компьютером, да еще и с непрерывным потоком информации. Таким образом, в сфере информационной безопасности приходится становиться не только аналитиками, но и психологами. Конечно, это делает специалистов ИБ довольно редкими и узконаправленными, а значит более ценными для рынка.
Подробнее читайте в статье: Защита от утечек информации как непрерывный процесс
Одна из важнейших возможностей, которые предоставляет DLP, – это возможность расследовать инциденты информационной безопасности, возникающие на предприятии, и предоставлять неоспоримые факты, уличающие виновника инцидента. Мы рассмотрим некоторые наиболее яркие инциденты, собранные специалистами компании “Атом Безопасность” на пилотных и тестовых проектах внедрения, а также предоставленные клиентами в процессе использования StaffCop Enterprise.
Подробнее читайте в статье: Инциденты, расследования, результаты. Практические примеры использования StaffCop Enterprise
В процессе эксплуатации DLP приходит понимание, что результативность работы системы сильно зависит от грамотной настройки автоматизации поисковых алгоритмов. Как следствие, установив систему "из коробки", что-то обнаружить можно только при очень большом трудолюбии или совсем явном нарушении со стороны сотрудников. У безопасников сразу возникает масса дополнительной ручной работы по анализу данных. А значит, неминуемо встает вопрос доукомплектации штата для работы с DLP-системой – нужны грамотные аналитики..
Мало кто в компании обладает видением всего бизнес-ландшафта, каждый занимается лишь своим участком работ, поэтому потребуется сформировать общий перечень категорий информации. И это, как правило, становится самостоятельным проектом по защите данных, который не вызовет энтузиазма ни у кого в компании, кроме, может быть, вас. Это проявится в полной мере, когда потребуется прийти с неудобными вопросами в бизнес-подразделения, отнимая их внимание и время на зарабатывание денег для организации.
Алексей Дрозд (СёрчИнформ): DLP, которая дает 100%-ный результат "из коробки" – утопия. Даже с огромным набором предустановленных правил контроля (у нас, например, таких больше 300) система требует донастройки под конкретную компанию. Чтобы упростить эту задачу для клиента, у нас работает отдел внедрения.
Анна Попова (Infosecurity a Softline company): Кастомизация работы DLP-системы, тюнинг ее политик и настроек – это, пожалуй, базовая вещь, без выделения ресурса на которую нет смысла в приобретении ПО.
Александр Клевцов (InfoWatch): Для крупных организаций DLP-системы по определению не могут быть коробочными, мы давно это говорим. Для упрощения жизни клиента у нас есть консалтинг, делающий внедрение безболезненным. Одновременно делаем упор на развитие технологий анализа: чем умнее технологии, тем меньше ручной работы.
Максим Ксенофонтов (АМТ-ГРУП): В целом это базовая задача для любого департамента ИБ: знать защищаемые информационные активы, их свойства (категории, содержание и пр.), места хранения, владельцев и модель доступа к ним. И если ранее такая "инвентаризация" не была сделана, то действительно приходится сначала проводить базовое обследование для определения защищаемых активов.
Дмитрий Кандыбович (StaffCop - ООО “Атом Безопасность”): Использование системы ложится на офицеров ИБ, без этого никак, любая система может только предупреждать и ограничивать в простейших операциях. Проводить расследование – обязанность человека.
Галина Рябова (Ростелеком-Солар): Одной из задач, которые мы ставили при разработке DLP, была автоматизация рутинных сценариев работы офицера безопасности. В этой части DLP-системы не должны требовать заметной кастомизации. Гораздо важнее наличие методик решения стандартных задач. Что действительно требует настроек – это политика фильтрации, потому что в каждой компании свои информационные активы, которые нужно защищать, и форматы их представления, а ложноположительные срабатывания, подобно спаму, съедают время безопасников.
Дарья Орешкина (Web Control): Ключевой вопрос при внедрении DLP – заинтересован ли бизнес в контроле коммуникаций. Если да, то необходимый импульс можно будет сформировать и передать по иерархической цепочке управлений и департаментов. Любого сотрудника, даже самого ответственного и дружелюбного, нужно мотивировать на выполнение той или иной задачи.
Владимир Ульянов (Zecurion): По нашему многолетнему опыту, даже сами сотрудники бизнес-подразделений не всегда знают точно, где какая информация хранится. Поэтому большую помощь окажут инструменты класса Discovery, которые входят в состав Enterprise DLP. Эти программы в автоматизированном режиме сканируют корпоративные ресурсы, классифицируют данные и находят все места хранения конфиденциальной информации.
Подробнее читайте в статье: ИИ как предсказатель утечек данных
Любая организация, установив DLP- систему, начинает всматриваться в свои ряды в поисках злодеев. Негодяи, как правило, находятся. Чтобы с ними "расправиться", требуется тщательная подготовка правовой стороны применения DLP-систем в организации. Необходимо публично определить границы личного и производственного, зафиксировать это в документах и ознакомить сотрудников.
А для этого задача предотвращения утечек информации должна быть зафиксирована вашей организацией по результатам оценки рисков. Должно быть также принято решение о проведении деятельности по предотвращению утечек информации конфиденциального характера (о требованиях и рекомендациях по предотвращению утечек информации в кредитных организациях можно узнать из нормативных документов: ГОСТ Р 57580.1–2017; РС БР ИББС-2.9–2016).
Дмитрий Кандыбович (StaffCop - ООО “Атом Безопасность”):: В любой компании, которая озабочена своей ИБ не для галочки, а для реальной защиты бизнес-процессов, а по факту – денег, все это должно быть проработано. Где деньги, там обязательно поблизости крутятся злоумышленники, а для борьбы с ними юридическая основа обязательно должна быть готова. Нельзя стрелять из пушки, не купив порох.
Максим Ксенофонтов (АМТ-ГРУП): Кроме того, некоторые DLP позволяют не читать всю переписку пользователя, а обращать внимание только на предположительные нарушения, расследование которых является вполне законным мероприятием. А сам же анализ переписки происходит машинным способом, что не нарушает тайну переписки.
Анна Попова (Infosecurity a Softline company): Юридические аспекты нужно обсуждать и решать еще до внедрения или при внедрении системы, а не на этапе ввода ее в боевой режим. В противном случае ваша работа, и особенно результаты ваших внутренних расследований с использованием данных, полученных благодаря DLP-системе, могут пойти прахом.
Галина Рябова (Ростелеком-Солар): Для своих заказчиков мы разработали набор рекомендаций, как легализовать DLP в компании. Однако на практике в России больше половины компаний устанавливают системы защиты от утечек, не уведомляя об этом сотрудников. Соответственно, и большинство инцидентов, связанных с утечкой конфиденциальной информации, решаются вне правового поля.
Алексей Дрозд (СёрчИнформ): DLP можно и нужно пользоваться легально, для этого никаких препятствий нет. "Легализация" DLP необходима как минимум для выполнения требований закона (от ФЗ-152 до норм Конституции).
Мария Воронова (InfoWatch): Систему нужно настроить и обеспечить ее правомерность, чтобы все фиксируемое DLP априори являлось доказательной базой. Для этого нужно закрепить принципы легитимной обработки конфиденциальной информации, установить правовые основы для мониторинга и контроля инфопотоков, обеспечить возможности для расследования инцидентов, сбора доказательств и принятия решений о взыскании, увольнении, обращения в правоохранительные органы и т.д.
Дарья Орешкина (Web Control): Зачастую нарушения происходят неумышленно. Тогда DLP помогает предотвратить случайные инциденты. Также замечено, что сотрудники обычно не хотят ввязываться в активности, о которых система проинформирует как о нежелательных. В этом случае DLP с функциями real-time оповещения пользователей выступает в роли обучающей системы по корпоративным нормам информационной безопасности.
Владимир Ульянов (Zecurion): Очевидно, что права сотрудника не должны нарушаться, но никаких нарушений в контроле организацией своей коммерческой тайны нет. Сложнее бывает соблюсти баланс интересов работника и работодателя, сделать так, чтобы сотруднику было комфортно в офисе, не чувствовать себя зверьком, действия которого рассматриваются под лупой.
Подробнее читайте в статье: ИИ как предсказатель утечек данных
Борясь с пандемией, неразумно покупать аппараты ИВЛ впрок, не зная пред- положительно, сколько у вас будет легочных больных, и тем более ставить их всем подряд без разбора, чтобы просто оправдать их приобретение. Но именно так приходится поступать при покупке DLP-лицензий, приобретая их впрок, без какой-либо статистики аналогичных случаев (инцидентов).
Даже если:
Покупая DLP-систему, вы должны достаточно точно представлять:
Алексей Дрозд (СёрчИнформ): Мы как раз за то, чтобы "закупать ИВЛ впрок": если не контролировать максимум каналов для всех сотрудников, в защите будут дыры. Тем не менее КИБ позволяет распределить лицензии гибко. Каждый канал контролируется независимо, настройку лицензий по одному модулю необязательно "синхронизировать" с другим.
Максим Ксенофонтов (АМТ-ГРУП): Как показала текущая история с пандемией, страны, которые имели запас аппаратов ИВЛ, оказались в лучшем положении, чем страны без запаса. Нельзя просто взять и поставить еще 200 аппаратов ИВЛ, когда все текущие будут заняты. Хорошая практика – оценить будущие потребности в лицензиях и заранее их заложить при закупке. Ведь будет неприятно остаться без лицензий, напри- мер, при организации и найме нового отдела. Если же подобной возможности нет, то по сложившейся практике закладывается 10% дополнительных лицензий на случай роста.
Галина Рябова (Ростелеком-Солар): Обычно лицензии на защиту каналов коммуникаций закупаются на всех сотрудников компании. Исключение составляют endpoint-агенты. В ряде случаев компании закупают агенты только для контроля групп риска. Сейчас на рынке DLP приняты цивилизованные лицензионные ограничения: при превышении лимита заказчику напоминают о необходимости докупить лицензии, а не отказывают в обслуживании.
Анна Попова (Infosecurity a Softline company): Вопросы бюджетирования и вынужденных ограничений всегда важны. Но практический опыт говорит, что ценность DLP-системы в том, что в ней накапливается бесценная информация, польза от которой не только оперативном выявлении инцидентов здесь и сейчас, но и в возможности проведения ретроспективного анализа при внутреннем расследовании.
Андрей Арефьев (InfoWatch): Важно понимать, что DLP-система – один из кирпичиков в стратегии ИБ. То, насколько корректно составлена стратегия, помогает определить нужный в будущем объем ресурсов: серверов, СХД, количество лицензий. Важна и консультационная поддержка вендора, все это взятое вместе позволяет правильно прогнозировать ресурсы.
Владимир Ульянов (Zecurion): Действительно, DLP редко бывает единственным продуктом для корпоративной без- опасности. Наоборот, когда дело доходит до внедрения DLP, уже имеются другие решения. Инсайдерские угрозы, безусловно, важнейшие с точки зрения защиты информации от утечки, но нельзя забывать о проблеме привилегированных пользователей (решения класса PAM) и внешних угрозах (SWG-решения). DLP – неотъемлемый элемент системы корпоративной безопасности, и здорово, когда он тесно интегрируется с другими важными классами, что позволяет сделать надежную бесшовную защиту от разных типов угроз.
Дарья Орешкина (Web Control): DLP значительно гибче многих других классов систем позволяют организовать покрытие контроля. Часто компании начинают контролировать сначала почту и веб- трафик, затем расширяют контроль endpoint и хранилищ.
Дмитрий Кандыбович (StaffCop - ООО “Атом Безопасность”): Наша задача – понять, какие задачи пытается решить клиент, здесь важен плотный контакт с теми, кто внедряет продукт, так как именно они в первую очередь владеют знанием о том, что у них есть сейчас. И конечно же, наш продукт можно настраивать очень гибко, поэтому, по сути, нам не столь важно – карт- бланш, не карт-бланш, мы поможем с настройкой так, как нужно клиенту.
Подробнее читайте в статье: ИИ как предсказатель утечек данных
Зачастую корпоративная жизнь – это сонное царство, бесцветное и зарегулированное. Если бы это было не так, то загруженные на вход искусственного интеллекта корпоративные данные на выходе выдавали бы попутную рекомендацию: уволить каждого второго.
Сейчас фокус определенно смещается в сторону мониторинга соцсетей: без преувеличения можно утверждать, что все проводят там время. Уже проводились эксперименты, когда ИИ после обучения на высказываниях в Твиттере признавался в ненависти к человечеству.
Для мониторинга социальных сетей корпоративная DLP-система бесполезна, ведь доступ к соцсетям внутри компаний, как правило, запрещен. Для этих целей существует достаточно много онлайн-сервисов, в том числе и бесплатных.
А кто знал, что в 2020 г. будет проведено глобальное тестирование компаний на соблюдение "требований по организации безопасного удаленного доступа" из планов непрерывности деятельности! Корпоративная активность с началом пандемии переместилась на домашние компьютеры. Практика и суровая реальность взяли верх над, казалось бы, незыблемыми устоями информационной безопасности компании. Реагируя на это, корпоративные DLP-системы должны перестроиться под новую задачу – удаленная работа как допустимый формат на постоянной основе.
Максим Ксенофонтов (АМТ-ГРУП): Социальные сети сейчас – это большое поле возможностей для многих систем ИБ, и DLP-системы здесь не отстают. Обычные утечки в виде post-запросов на страницы (комментарии, сообщения и пр.) DLP-системы уже давно умеют мониторить. Но с развитием соцсетей появился и новый набор функций: многие DLP-системы имеют в агентах специализированные модули, рассчитанные на мониторинг популярных социальных сетей, включая работу со специфическими протоколами.
Дмитрий Кандыбович (StaffCop - ООО “Атом Безопасность”): Staffcop Enterprise позволяет логгировать и перехватывать переписку в соцсетях, осуществлять теневое копирование отправляемых файлов, отслеживать контрольные слова и даже записывать голосовое общение через мессенджеры. Как говорится, кто, что, где, с кем и зачем. И все это делает очень просто, удобно просматривается и хранится в безопасном месте – на сервере. Контроль сотрудников – это важная часть ИБ, одна из важнейших, поэтому наше решение позволяет осуществлять тотальный контроль.
Анна Попова (Infosecurity a Softline company): Мы предлагаем разделять цели и использовать для мониторинга активности в социальных сетях специально созданные для этого модульные решения. Что касается режима удаленки из-за пандемий и прочего, то здесь можно только посочувствовать производителям DLP-систем, которые не были готовы к тому, что понадобится полностью контролировать MS Teams или Zoom.
Галина Рябова (Ростелеком-Солар): Я бы разделяла частную жизнь сотрудников в соцсетях и перенос корпоративной активности на домашние компьютеры. Нам надо все время помнить: безопасность – это всегда комплекс мер. Существует много способов обеспечить безопасную работу удаленных сотрудников, начиная от самых простых – использования только корпоративных доменных ноутбуков с установленными средствами защиты и заканчивая организацией доступа в сеть с домашних компьютеров через защищенный слой VDI-брокера.
Алексей Дрозд (СёрчИнформ): Механизмов контроля много, вся соль – в установке стабильного контакта агента с сервером, когда контролируемый ПК находится вне корпоративной сети. Например, в КИБ можно задать правила, чтобы агент самостоятельно парсил перехват и не нагружал канал связи. Плюс задать альтернативные адреса подключения к серверу. Если же связи нет, то информация "складируется" в скрытом хранилище. В итоге DLP работает в полном функционале, перехват не теряется, а бизнес-процессы не тормозятся.
Александр Клевцов (InfoWatch): В конце 2019 г. InfoWatch представил клиентам возможность контролировать соцсети прямо из DLP-системы на предмет утечки конфиденциальной информации в публичных постах и комментариях, даже если они сделаны с личных устройств, вне периметра компании и в нерабочее время. Мы интегрировались с платформой "Крибрум", адаптировали технологии контентного анализа под язык и формат, специфичные для соцсетей, и предусмотрели, чтобы разбирать такие инциденты было удобно, в привычном интерфейсе Traffic Monitor. Даже если сотрудник работает с облачными сервисами и с личного мобильного устройства, Traffic Monitor все равно продолжает контролировать его действия.
Дарья Орешкина (Web Control): Концепция контроля корпоративной информации в условиях применения собственных пользовательских устройств из любой локации передовыми компаниями продумывалась уже давно, в разной степени практики безопасного доступа были реализованы и в коммерческих, и в государственных компаниях. Похоже, пришло время активнее использовать автоматизированные системы как для обработки, так и для контроля информации в условиях удаленной работы.
Владимир Ульянов (Zecurion): Переход на удаленный режим работы добавил забот специалистам по ИБ, риски утечки возросли кратно, слить информацию стало легче. Прибавьте к этому сомнения в завтрашнем дне, снижение лояльности, и станет понятно, почему сотрудники копируют корпоративные данные даже без злого умысла, но просто на всякий случай. И программы мониторинга рабочего времени, которые иногда выдают за разновидность DLP, конечно, не снизят риски утечки. Наоборот, тотальный контроль и требование высидеть положенные часы за компьютером лишь повысят беспокойство работника.
Подробнее читайте в статье: ИИ как предсказатель утечек данных
Название DLP-решения |
StaffCop Enterprise |
«СёрчИнформ КИБ» |
DeviceLock DLP |
Офисный контроль и DLP Safetica |
InfoWatch Traffic Monitor |
Solar Dozor 7.2 |
Zecurion DLP |
---|---|---|---|---|---|---|---|
Компания-разработчик |
ООО «Атом Безопасность» |
ООО «СёрчИнформ» |
АО «Смарт Лайн Инк» |
Safetica Technologies |
АО «ИнфоВотч» |
«Ростелеком-Солар» |
Zecurion |
Компания, предоставившая информацию |
ООО «Атом Безопасность» |
ООО «СёрчИнформ» |
АО «Смарт Лайн Инк» |
ESET |
ГК InfoWatch |
«Ростелеком-Солар» |
Zecurion |
Поддержка русского языка |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Поддержка других языков |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
|
Английский |
Английский, польский, украинский, испанский |
Английский, японский, немецкий, китайский |
Английский, чешский, испанский, турецкий, польский, португальский, китайский |
Поддержка 40 языков, 20 языков -- с поддержкой морфологии |
Английский язык |
|
Необходимость приобретения лицензий сторонних вендоров |
Нет |
Нет |
Нет |
Нет |
Нет |
Нет |
Нет |
Лицензии, сертификаты и патенты |
Реестр российского ПО; сертификат ФСТЭК |
Реестр российского ПО; сертификат ФСТЭК; лицензия ФСБ; лицензии ФСТЭК |
Реестр российского ПО; лицензия ФСТЭК на деятельность по разработке и производству СЗКИ; сертификат соответствия ФСТЭК |
Сертификат соответствия требованиям технического регламента ТР 2013/027/BY (Беларусь) |
Сертификаты ФСТЭК: НДВ-4, СВТ-5; сертификаты СНГ: Республика Беларусь, Таджикистан, Казахстан; 28 действующих патентов |
Единый реестр отечественного ПО, лицензия Министерства обороны, лицензии ФСТЭК, лицензии ФСБ |
Реестр российского ПО, лицензии ФСБ, лицензии ФСТЭК, сертификат ФСТЭК |
Позиционирование |
Контроль деятельности сотрудников, обеспечение информационной безопасности предприятий, удалённое администрирование |
Система контролирует максимум каналов передачи информации, в реальном времени анализирует все, что происходит в компании |
Полноценная система защиты данных от утечки (Data Leak Prevention) для организаций любого масштаба |
Корпоративное решение, предотвращающее утечки данных |
DLP-система для контроля и анализа информационных потоков и защиты от утечек данных |
DLP корпоративного класса с функциями анализа поведения пользователей, контроля рабочего времени и объединения филиалов |
Комплексная корпоративная DLP с контролем более 200 каналов передачи данных, анализом поведения и эмоций сотрудников |
|
|
|
|
|
|
|
|
1. Архитектура решения |
|
|
|
|
|
|
|
1.1. Архитектура и модули |
|
|
|
|
|
|
|
Контроль данных на шлюзе сети |
Нет |
Да |
Да |
Нет |
Да |
Да |
Да |
Контроль данных на уровне рабочих станций |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Шифрование данных при хранении на серверах и в хранилищах (data at rest) |
Да |
Да |
Да |
Нет |
Нет |
Нет |
Да |
Поиск конфиденциальной информации в корпоративной сети (data discovery) |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Перехват и контроль сессий привилегированных пользователей |
Да |
Да |
Да |
Нет |
Да |
Да |
Да |
Прокси-сервер |
Нет |
Не требуется |
Не требуется |
Нет |
Да |
Да |
Да |
Минимальный срок развертывания продукта, дней |
Да |
1 день |
Менее 1 дня |
Менее 1 дня |
1 день |
1 день |
От 2 дней |
Возможность развернуть все модули на одном физическом сервере |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Возможность развернуть все модули на одном виртуальном сервере |
Да |
Да |
Да |
Да |
Нет |
Да |
Да |
|
WMWare, VirtualBox, Hyper-V и Proxmox |
На любых средах виртуализации |
На любых средах виртуализации |
|
Но можно на двух |
На любых средах виртуализации, поддерживающих ОС RHEL/CentOS или Astra Linux |
|
|
|
|
|
|
|
|
|
1.2. Поддерживаемые платформы |
|
|
|
|
|
|
|
Платформа шлюзового решения (если есть) |
Нет |
По протоколу ICAP |
Windows + Linux |
Нет |
RHEL, CentOS, Astra Linux |
CentOS, RHEL, Astra Linux 1.6 |
Да |
Агент под Windows |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Агент под Linux |
Да |
Да |
В ближайших планах |
В ближайших планах |
Да |
Да |
Да |
Агент под MacOS |
Да |
Нет |
Да |
Да |
Да |
Нет |
Да |
Поддерживаемые СУБД для архива событий и файлов |
PostgreSQL, ClickHouse |
MS SQL |
MS SQL, PostgreSQL |
MS SQL, AzureSQL S1 или S2 |
PostgreSQL, Oracle Database |
PostgreSQL, Oracle Database |
MS SQL, PostgreSQL |
|
|
|
|
|
|
|
|
1.3. Сегментация, опыт внедрений |
|
|
|
|
|
|
|
Внедрения в СМБ (до 1000 рабочих мест) |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Внедрения в крупном бизнесе (свыше 1 тыс. рабочих мест) |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Внедрения в Large Enterprise (свыше 100 тыс. рабочих мест) |
Нет |
Да |
Да |
Нет |
Да |
Да |
Да |
|
|
|
|
|
|
|
|
2. Управление и расследование инцидентов |
|
|
|
|
|
|
|
Единая консоль управления всеми модулями и продуктами |
Да |
В ближайших планах |
Да |
Да |
Да |
Да |
Да |
Веб-интерфейс консоли управления |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Единые политики безопасности (для шлюзового и агентских модулей) |
Да |
Да |
Нет |
Да |
Да |
Да |
Да |
Работа с несколькими архивами данных и событий |
Да |
Да |
Да |
Да |
Нет |
Да |
Да |
Система совместного расследования инцидентов |
Да |
Да |
Да |
Нет |
Да |
Да |
Да |
Диаграмма связей пользователей |
Да |
Да |
Да |
Нет |
Да |
Да |
Да |
Статусы пользователей |
Да |
Да |
В ближайших планах |
Нет |
Да |
Да |
Да |
Шаблоны отчётов |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Кастомизируемые отчёты |
Да |
Да |
В ближайших планах |
Да |
Да |
Нет |
Да |
Граф связей пользователей |
Да |
Да |
Да |
Нет |
Да |
Да |
Да |
|
|
|
|
|
|
|
|
3. Возможности выявления утечек |
|
|
|
|
|
|
|
3.1. Функциональность |
|
|
|
|
|
|
|
Поведенческий анализ (UBA, UEBA) |
Да |
Да |
В ближайших планах |
Да |
Да |
Да |
Да |
Оценка морального состояния пользователей (выявление групп риска) |
Да |
Да |
В ближайших планах |
Нет |
Да |
Да |
Да |
Контроль фотографирования экрана |
Да |
Да |
В ближайших планах |
Да |
Да |
Нет |
Да |
Анализ клавиатурного почерка |
Да |
В ближайших планах |
В ближайших планах |
Нет |
Да |
Нет |
Да |
Поиск конфиденциальных данных на локальных рабочих станциях |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Контроль голосового трафика |
Да |
Да |
В ближайших планах |
Нет |
Да |
Да |
Да |
Запись сессий пользователей |
Да |
Да |
В ближайших планах |
Нет |
Да |
Да |
Да |
Контроль звука и возможность подключения к микрофонам компьютеров |
Да |
Да |
В ближайших планах |
Нет |
Да |
Нет |
Да |
Контроль видео и возможность подключения к камерам рабочих станций |
Да |
Да |
В ближайших планах |
Нет |
Да |
Нет |
Да |
Запись нажатий клавиатуры |
Да |
Да |
В ближайших планах |
Да |
Да |
Да |
Да |
Снимки экрана контролируемых рабочих станций |
Да |
Да |
В ближайших планах |
Да |
Да |
Да |
Да |
Теневое копирование данных |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Контроль запуска приложений |
Да |
Да |
Нет |
Да |
Да |
Да |
Да |
URL-фильтрация |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Контроль выхода данных за пределы ограниченной группы пользователей |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Карантин |
Да |
Да |
В ближайших планах |
Нет |
Да |
Да |
Да |
|
|
|
|
|
|
|
|
3.2. Технологии контентного анализа |
|
|
|
|
|
|
|
Морфологический анализ, стемминг |
Да |
Да |
Да |
Нет |
Да |
Да |
Да |
Анализ документов на иностранных языках |
Да |
Да |
Да |
Нет |
Да |
Да |
Да |
|
Английский |
Любые языки, более 30 — с поддержкой мофрфологии |
|
|
40 языков, 20 – с поддержкой морфологии |
Около 100 языков |
|
Детектирование документов, написанных на двух и более языках |
Да |
Да |
Да |
Нет |
Да |
Да |
Да |
Детектирование транслита и замаскированного текста |
В ближайших планах |
Да |
Да |
Нет |
Да |
В ближайших планах |
Да |
Бинарные цифровые отпечатки |
Да |
Да |
Да |
Нет |
Да |
Да |
Да |
Векторные графические отпечатки |
Да |
Да |
Да |
Нет |
Да |
Нет |
Да |
Растровые графические отпечатки |
Да |
Да |
Да |
Нет |
Да |
Да |
Да |
Отпечатки таблиц и баз данных |
Да |
Да |
Да |
Нет |
Да |
Да |
Да |
Распознавание текста (OCR) |
Да |
Да |
Да |
Нет |
Да |
Да |
Да |
Регулярные выражения |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Строки со спецсимволами |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Категоризация текста с использованием тематических и отраслевых словарей |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
|
5 |
|
|
10 |
Более 120 |
Около 100 |
Более 100 языков |
Возможность составления словарей под терминологию заказчика |
Да |
Да |
Да |
Нет |
Да |
Да |
Да |
Детектирование изображений кредитных карт |
В ближайших планах |
Да |
В ближайших планах |
Нет |
Да |
Да |
Да |
Детектирование печатей |
Да |
Да |
В ближайших планах |
Нет |
Да |
Да |
Да |
Детектирование заполненных бланков |
Да |
Да |
Да |
Нет |
Да |
Да |
Да |
Использование машинного обучения для классификации текста |
Да |
В ближайших планах |
В ближайших планах |
Нет |
Да |
Нет |
Да |
|
|
|
|
|
|
|
|
4. Каналы контроля и предотвращения утечек |
|
|
|
|
|
|
|
Возможность блокировки передачи на USB-устройства на основе контентного анализа |
Нет |
Да |
Да |
Да |
Да |
Да |
Да |
Возможность блокировки передачи на принтер на основе контентного анализа |
Нет |
В ближайших планах |
Да |
Да |
Да |
Да |
Да |
Возможность блокировки передачи на другие локальные устройства на основе контентного анализа |
Нет |
В ближайших планах |
Да |
Да |
Да |
Да |
Да |
Возможность блокировки данных на основе контентного анализа для электронной почты |
Нет |
Да |
Да |
Да |
Да |
Да |
Да |
Возможность блокировки данных на основе контентного анализа для web-почты |
Нет |
В ближайших планах |
Да |
Да |
Да |
Да |
Да |
Возможность блокировки данных на основе контентного анализа для HTTP |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Возможность блокировки данных на основе контентного анализа для FTP |
Нет |
В ближайших планах |
Да |
Да |
Да |
Да |
Да |
Возможность контентного анализа данных в облачных хранилищах (CASB) |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Возможность контентного анализа мессенджеров |
Да |
Да |
Да |
Нет |
Да |
Да |
Да |
Возможность контроля обращения с информацией ограниченного доступа на мобильных устройствах сотрудников |
Нет |
Нет |
Да |
Нет |
Да |
Да |
Да |
|
|
|
|
|
Win, Linux, macOS, Android, iOS, Sailfish/Аврора |
Интеграция с MDM-системами |
Android, macOS |
Возможность контроля соцсетей сотрудников на предмет утечки конфиденциальной информации в публичный доступ при использовании корпоративных устройств |
Да |
Да |
Да |
Нет |
Да |
Да |
Да |
Возможность контроля соцсетей сотрудников на предмет утечки конфиденциальной информации в публичный доступ при использовании личных устройств |
Да |
Нет |
Да |
Нет |
Да |
Да |
Да |
|
|
|
|
|
|
|
|
5. Интеграции |
|
|
|
|
|
|
|
Наличие открытого API |
Да |
Да |
Нет |
Нет |
Да |
Да |
Нет |
Импорт событий из внешних перехватчиков |
Нет |
Да |
Да |
Нет |
Да |
Да |
Да |
Экспорт событий в SIEM и SOC |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Возможность изменить решение по инциденту из SOC |
Нет |
Да |
Нет |
Нет |
Да |
Нет |
Нет |
Возможность обогащения специфичными атрибутами событий из внешних систем |
В ближайших планах |
Да |
Да |
Нет |
Да |
Да |
Да |
121069, Москва, Скатертный пер., 8/1, стр. 1, 2 этаж
Тел.: +7 (495) 721-8406, +7 (495) 721-8406, доб. 125 (техническая поддержка)
E-mail: info@searchinform.ru
searchinform.ru
129164, Москва, Ракетный бульвар, 16
Тел.: +7 (495) 221-2160
E-mail: info@zecurion.com
www.zecurion.ru
121357, Москва, ул.Верейская, 29, стр.134, этаж7
Тел.: +7 (495) 22-900-22, +7 (499) 37-251-74
E-mail: info@infowatch.ru
www.infowatch.ru
125009, Москва, Никитский пер., 7, стр. 1
Тел.: +7 (499) 755-0770 (офис), +7 (499) 755-0220 (техническая поддержка)
E-mail: info@rt-solar.ru
www.rt-solar.ru
115162, Москва, ул. Шаболовка, 31Б, под. 3
Тел.: +7 495 725-7660
E-mail: info@amt.ru
www.amt.ru
107023, Москва, ул. Малая Семеновская, 9, стр. 14Б
Тел.: +7 (495) 647-9937
E-mail: ru.sales@devicelock.com
www.devicelock.com
630090, Новосибирск, проспект Академика Коптюга, 4
Тел.: +7 (499) 653-7152, +7 (499) 638-2809
E-mail: sales@staffcop.ru
www.staffcop.ru
107140, Москва, ул. Русаковская, 13, этаж/офис 10/10-01
Тел.: +7 (499) 677-1000
E-mail: iss@in4security.com
www.in4security.com
Copyright © 2024, ООО "ГРОТЕК"