Вибір операційної системи

DLP системи. Що таке DLP системи та особливості їх використання на підприємстві? Комплекс захисту комерційної інформації від витоків

Стрімкий розвиток інформаційних технологій сприяє глобальній інформатизації сучасних компаній та підприємств. З кожним днем ​​обсяги інформації, що передаються через корпоративні мережі великих корпорацій та маленьких компаній, стрімко зростають. Безперечно, що зі зростанням інформаційних потоків зростають і загрози, які можуть призвести до втрати важливої ​​інформації, її спотворення чи крадіжки. Виявляється, втратити інформацію набагато простіше, ніж будь-яку матеріальну річ. Для цього не обов'язково, щоб хтось робив спеціальні дії для оволодіння даними – часом буває досить неакуратної поведінки під час роботи з інформаційними системами чи недосвідченості користувачів.

Виникає природне питання, як захистити себе, щоб виключити фактори втрати і витоку важливої ​​для себе інформації. Виявляється, вирішити це цілком реально і зробити це можна на високому професійному рівні. З цією метою використовуються спеціальні DLP системи.

Визначення DLP систем

DLP – це система запобігання витоку даних в інформаційному середовищі. Вона є спеціальним інструментом, за допомогою якого системні адміністратори корпоративних мереж можуть відслідковувати та блокувати спроби несанкціонованої передачі інформації. Крім того, що така система може запобігати фактам незаконного заволодіння інформацією, вона також дозволяє відстежувати дії всіх користувачів мережі, які пов'язані з використанням соціальних мереж, спілкуванням у чатах, пересиланням e-mail повідомлень та ін. Основна мета, на яку націлені системи запобігання витокам конфіденційної інформації DLP, є підтримка та виконання всіх вимог політики конфіденційності та безпеки інформації, які існують у тій чи іншій організації, компанії, підприємстві.

Галузь застосування

Практичне застосування DLP систем є найбільш актуальним для тих організацій, де витік конфіденційних даних може спричинити величезні фінансові втрати, суттєвий удар по репутації, а також втрату клієнтської бази та особистої інформації. Наявність таких систем є обов'язковою для тих компаній та організацій, які встановлюють високі вимоги до «інформаційної гігієни» своїх співробітників.

Найкращим інструментом для захисту таких даних, як номери банківських карток клієнтів, їхні банківські рахунки, відомості про умови тендерів, замовлення на виконання робіт та послуг стануть DLP системи – економічна ефективність такого рішення безпеки цілком очевидна.

Види DLP-систем

Засоби, які застосовуються для запобігання витоку інформації, можна розділити на кілька ключових категорій:

  1. стандартні інструменти безпеки;
  2. інтелектуальні заходи захисту;
  3. шифрування даних та контроль доступу;
  4. спеціалізовані DLP системи безпеки.

До стандартного набору безпеки, який має використовуватися кожною компанією, відносяться антивірусні програми, вбудовані міжмережеві екрани, системи виявлення несанкціонованих вторгнень.

Інтелектуальні засоби захисту передбачають використання спеціальних сервісів та сучасних алгоритмів, які дозволять обчислити неправомірний доступ до даних, некоректне використання електронного листування тощо. Крім цього, такі сучасні інструменти безпеки дозволяють аналізувати запити до інформаційної системи, що надходять ззовні від різних програм та сервісів, які можуть грати роль свого роду шпигунів. Інтелектуальні засоби захисту дозволяють здійснювати більш глибоку та детальну перевірку інформаційної системи щодо можливого витоку інформації різними способами.

Шифрування важливої ​​інформації та використання обмеження доступу до певних даних – це ще один ефективний крок, щоб мінімізувати ймовірність втрати конфіденційної інформації.

Спеціалізована система запобігання витоку інформації DLP є складним багатофункціональним інструментом, який здатний виявити і попередити факти несанкціонованого копіювання та передачі важливої ​​інформації за межі корпоративного середовища. Ці рішення дозволять виявити факти доступу до інформації без наявності на це дозволу або з використанням повноважень тих осіб, які мають такий дозвіл.

Спеціалізовані системи використовують для своєї роботи такі інструменти, як:

  • механізми визначення точної відповідності даних;
  • різні статистичні методи аналізу;
  • використання методик кодових фраз та слів;
  • структурована дактилоскопія та ін;

Порівняння цих систем за функціональністю

Розглянемо порівняння DLP систем Network DLP та Endpoint DLP.

Network DLP – це спеціальне рішення на апаратному чи програмному рівні, яке застосовується у тих точках мережної структури, які розташовані поблизу «периметру інформаційного середовища». За допомогою цього набору інструментів відбувається ретельний аналіз конфіденційної інформації, яку намагаються надіслати за межі корпоративного інформаційного середовища з порушенням встановлених правил інформаційної безпеки.

Endpoint DLP є особливими системами, які застосовуються на робочій станції кінцевого користувача, а також на серверних системах невеликих організацій. Кінцева інформаційна точка цих систем може застосовуватися контролю як із внутрішньої, і із зовнішнього боку «периметра інформаційного середовища». Система дозволяє аналізувати інформаційний трафік, з якого відбувається обмін даними як між окремими користувачами, і групами користувачів. Захист DLP систем такого типу орієнтований на комплексну перевірку процесу обміну даними, включаючи електронні повідомлення, спілкування у соціальних мережах та іншу інформаційну активність.

Чи потрібно впроваджувати ці системи на підприємствах?

Впровадження DLP систем є обов'язковим для всіх компаній, які дорожать своєю інформацією та намагаються зробити все можливе, щоб запобігти випадкам її витоку та втрат. Наявність таких інноваційних інструментів безпеки дозволить компаніям унеможливити поширення важливих даних за межі корпоративного інформаційного середовища по всіх доступних каналах обміну даними. Встановивши у себе DLP-систему, компанія матиме можливість контролювати:

  • надсилання повідомлень з використанням корпоративної Web-пошти;
  • використання FTP-з'єднань;
  • локальні з'єднання з використанням технологій бездротового зв'язку, як WiFi, Bluetooth, GPRS;
  • обмін миттєвими повідомленнями за допомогою таких клієнтів як MSN, ICQ, AOL тощо;
  • застосування зовнішніх накопичувачів – USB, SSD, CD/DVD та ін.
  • документацію, яка надсилається на друк із застосуванням корпоративних пристроїв друку.

На відміну від стандартних рішень безпеки, компанія, яка має DLP систему Securetower або їй подібна, зможе:

  • контролювати усі види каналів обміну важливою інформацією;
  • виявляти передачу конфіденційної інформації незалежно від того, яким способом та в якому форматі вона передається за межі корпоративної мережі;
  • блокувати витік інформації у будь-який момент часу;
  • автоматизувати процес обробки даних відповідно до прийнятої на підприємстві політики безпеки.

Використання DLP-систем гарантуватиме підприємствам ефективний розвиток та збереження своїх виробничих секретів від конкурентів та недоброзичливців.

Як відбувається впровадження?

Щоб встановити у себе на підприємстві в 2017 році, DLP систему слід пройти кілька етапів, після реалізації яких підприємство отримає ефективний захист свого інформаційного середовища від зовнішніх і внутрішніх загроз.

На першому етапі впровадження здійснюється обстеження інформаційного середовища підприємства, що включає наступні дії:

  • вивчення організаційно-розпорядчої документації, що регламентує інформаційну політику для підприємства;
  • вивчення інформаційних ресурсів, що використовуються підприємством та його співробітниками;
  • узгодження переліку інформації, яка може належати до категорії даних з обмеженим доступом;
  • обстеження існуючих способів та каналів передачі та прийому даних.

За підсумками обстеження складається технічне завдання, яке описуватиме політики безпеки, які потрібно буде реалізувати, використовуючи DLP-систему.

На наступному етапі слід регламентувати юридичну сторону використання DLP систем на підприємстві. Важливо виключити всі тонкі моменти, щоб потім не було судових позовів з боку співробітників щодо того, що компанія за ними стежить.

Залагодивши всі юридичні формальності, можна приступати до вибору продукту інформаційної безпеки – це може бути, наприклад, DLP система Infowatch або будь-яка інша з функціональними можливостями.

Після вибору відповідної системи можна приступати до її встановлення та налаштування для продуктивної роботи. Налаштовувати систему слід таким чином, щоб забезпечити виконання всіх завдань безпеки, зумовлених технічним завданням.

Висновок

Впровадження DLP-систем досить складне і кропітке заняття, яке потребує чимало часу та ресурсів. Але не варто зупинятися на півдорозі – важливо пройти всі етапи повною мірою та отримати високоефективну та багатофункціональну систему захисту своєї конфіденційної інформації. Адже втрата даних може обернутися величезними збитками для підприємства чи компанії як у фінансовому плані, так і в плані її іміджу та репутації у споживчому середовищі.

Сьогодні ринок DLP-систем є одним з найбільш швидко зростаючих серед усіх засобів забезпечення інформаційної безпеки. Втім, вітчизняна ІБ-сфера поки що не зовсім встигає за світовими тенденціями, у зв'язку з чим ринок DLP-систем у нашій країні має свої особливості.

Що таке DLP та як вони працюють?

Перш ніж говорити про ринок DLP-систем, необхідно визначитися з тим, що, власне, мається на увазі, коли йдеться про подібні рішення. Під DLP-системами прийнято розуміти програмні продукти, які захищають організації від витоків конфіденційної інформації. Сама абревіатура DLP розшифровується як Data Leak Prevention, тобто запобігання витоку даних.

Подібного роду системи створюють захищений цифровий «периметр» навколо організації, аналізуючи всю вихідну, а часом і вхідну інформацію. Контрольована інформація повинна мати не лише інтернет-трафік, а й низку інших інформаційних потоків: документи, які виносяться за межі захисту контуру безпеки на зовнішніх носіях, роздруковуються на принтері, надсилаються на мобільні носії через Bluetooth і т.д.

Оскільки DLP-система повинна перешкоджати витокам конфіденційної інформації, вона обов'язково має вбудовані механізми визначення ступеня конфіденційності документа, виявленого в перехопленому трафіку. Як правило, найбільш поширені два способи: шляхом аналізу спеціальних маркерів документа та шляхом аналізу вмісту документа. В даний час більш поширений другий варіант, оскільки він стійкий перед модифікаціями, що вносяться до документа перед його відправкою, а також дозволяє легко розширювати кількість конфіденційних документів, з якими може працювати система.

«Побічні» завдання DLP

Крім своєї основної задачі, пов'язаної із запобіганням витоків інформації, DLP-системи також добре підходять для вирішення низки інших завдань, пов'язаних із контролем дій персоналу.

Найчастіше DLP-системи застосовуються на вирішення наступних неосновних собі задач:

  • контроль використання робочого часу та робочих ресурсів співробітниками;
  • моніторинг спілкування співробітників з метою виявлення «підкилимної» боротьби, яка може зашкодити організації;
  • контроль правомірності дій співробітників (запобігання друку підроблених документів та ін.);
  • виявлення співробітників, що розсилають резюме, для оперативного пошуку фахівців на звільнену посаду.

За рахунок того, що багато організацій вважають ряд цих завдань (особливо контроль використання робочого часу) більш пріоритетними, ніж захист від витоків інформації, виникла ціла низка програм, призначених саме для цього, проте здатних у ряді випадків працювати і як засіб захисту організації від витоків. . Від повноцінних DLP-систем такі програми відрізняє відсутність розвинених засобів аналізу перехоплених даних, який повинен проводитися фахівцем з інформаційної безпеки вручну, що зручно лише для невеликих організацій (до десяти контрольованих співробітників).

Ефективність бізнесу у багатьох випадках залежить від збереження конфіденційності, цілісності та доступності інформації. В даний час однією з найбільш актуальних загроз інформаційній безпеці (ІБ) є захист конфіденційних даних від несанкціонованих дій користувачів.
Це зумовлено тим, що більшість традиційних засобів захисту, таких як антивіруси, міжмережні екрани (Firewall) та системи запобігання вторгненням (IPS) не здатні забезпечити ефективний захист від внутрішніх порушників (інсайдерів), метою яких може бути передача інформації за межі компанії для подальшого використання - Продажі, передачі третім особам, опублікування у відкритому доступі і т.д. Вирішити проблему випадкових та умисних витоків конфіденційних даних, покликані системи запобігання витоку даних (DLP — Data Loss Prevention).
Подібного роду системи створюють захищений «цифровий периметр» навколо організації, аналізуючи всю вихідну, а часом і вхідну інформацію. Контрольованою інформацією виступає не тільки інтернет-трафік, але й низка інших інформаційних потоків: документи, які виносяться за межі контуру безпеки, що захищається на зовнішніх носіях, роздруковуються на принтері, що відправляються на мобільні носії через Bluetooth, WiFi і т.д.
DLP-системи здійснюють аналіз потоків даних, що перетинають периметр інформаційної системи, що захищається. При виявленні у цьому потоці конфіденційної інформації спрацьовує активна компонента системи та передача повідомлення (пакета, потоку, сесії) блокується. Виявлення конфіденційної інформації в потоках даних здійснюється шляхом аналізу змісту та виявлення спеціальних ознак: грифу документа, спеціально введених міток, значень хеш-функції з певної множини тощо.
Сучасні DLP-системи мають величезну кількість параметрів і характеристик, які обов'язково необхідно враховувати під час виборів рішення організації захисту конфіденційної інформації від витоків. Мабуть, найважливішим з них є мережна архітектура. Відповідно до цього параметра продукти класу, що розглядається, поділяються на дві великі групи: шлюзові (рис. 1) і хостові (рис. 2).
У першій групі використовується єдиний сервер, який направляється весь вихідний мережевий трафік корпоративної інформаційної системи. Цей шлюз займається його обробкою з метою виявлення можливих витоків конфіденційних даних.

Мал. 1. Функціональна схема шлюзового DLP-рішення

Другий варіант заснований на використанні спеціальних програм – агентів, які встановлюються на кінцевих вузлах мережі – робочих станціях, серверах додатків та ін.

Мал. 2. Функціональна схема хостового DLP рішення

Останнім часом спостерігається стійка тенденція універсалізації DLP-систем. На ринку вже не залишилося або майже не залишилося рішень, які можна було б назвати суто хостовими чи шлюзовими. Навіть ті розробники, які тривалий час розвивали виключно якийсь один напрямок, додають до своїх рішень модулі другого типу.
Причин переходу до універсалізації DLP-рішень дві. Перша з них – різні сфери застосування у систем різних типів. Як було сказано вище, хостові DLP-рішення дозволяють контролювати всілякі локальні, а мережеві - інтернет-канали витоку конфіденційної інформації. Грунтуючись на тому, що в переважній більшості випадків організація потребує повного захисту, їй потрібно і те, і інше. Другою причиною універсалізації є деякі технологічні особливості та обмеження, які не дозволяють суто шлюзовим DLP-системам повністю контролювати всі необхідні інтернет-канали.
Оскільки повністю заборонити використання потенційно небезпечних каналів передачі даних неможливо, можна поставити їх під контроль. Суть контролю полягає в моніторингу всієї інформації, що передається, виявленні серед неї конфіденційної та виконання тих чи інших операцій, заданих політикою безпеки організації. Очевидно, що основним, найважливішим і трудомістким завданням є аналіз даних. Саме його якості залежить ефективність роботи всієї DLP-системы.

Методи аналізу потоків даних для DLP

Завдання аналізу потоку даних з метою виявлення конфіденційної інформації можна назвати нетривіальною. Оскільки пошук потрібних даних ускладнений безліччю чинників, які потребують обліку. Тому на сьогоднішній день розроблено кілька технологій для детектування спроб передачі конфіденційних даних. Кожна їх відрізняється від інших своїм принципом роботи.
Умовно всі способи виявлення витоків можна поділити на дві групи. До першої відносяться ті технології, які ґрунтуються на аналізі безпосередньо самих текстів переданих повідомлень або документів (морфологічний та статистичний аналізи, шаблони). За аналогією з антивірусним захистом їх можна назвати проактивними. Другу групу складають реактивні способи (цифрові відбитки та мітки). Вони визначають витоку за властивостями документів чи наявності у яких спеціальних міток.

Морфологічний аналіз

Морфологічний аналіз є одним із найпоширеніших контентних способів виявлення витоків конфіденційної інформації. Суть цього методу полягає в пошуку в тексті, що передається, певних слів та/або словосполучень.
Головною перевагою методу, що розглядається, є його універсальність. З одного боку, морфологічний аналіз може використовуватися для контролю будь-яких каналів зв'язку, починаючи з файлів, що копіюються на знімні накопичувачі, і закінчуючи повідомленнями в ICQ, Skype, соціальних мережах, а з іншого – з його допомогою можуть аналізувати будь-які тексти та відстежувати будь-яку інформацію. При цьому конфіденційні документи не потребують будь-якої попередньої обробки. А захист починає діяти відразу після включення правил обробки та поширюється на всі задані канали зв'язку.
Основним недоліком морфологічного аналізу є відносно низька ефективність визначення конфіденційної інформації. Причому залежить вона як від використовуваних у системі захисту алгоритмів, так і від якості семантичного ядра, що застосовується для опису даних, що захищаються.

Статистичний аналіз

Принцип роботи статистичних методів полягає у ймовірнісному аналізі тексту, який дозволяє припустити його конфіденційність чи відкритість. Для їхньої роботи зазвичай потрібне попереднє навчання алгоритму. Під час нього обчислюється ймовірність знаходження тих чи інших слів, і навіть словосполучень у конфіденційних документах.
Перевагою статистичного аналізу є його універсальність. При цьому варто зазначити, що ця технологія працює у штатному режимі лише в рамках підтримки постійного навчання алгоритму. Так, наприклад, якщо в процесі навчання системі було запропоновано недостатню кількість договорів, вона не зможе визначати факт їх передачі. Тобто якість роботи статистичного аналізу залежить від коректності його настроювання. При цьому необхідно враховувати імовірнісний характер цієї технології.

Регулярні вирази (шаблони)

Суть методу така: адміністратор безпеки визначає рядковий шаблон конфіденційних даних: кількість символів та їх тип (літера чи цифра). Після цього система починає шукати в аналізованих текстах поєднання, що задовольняють йому, і застосовувати до знайдених файлів або повідомлень, вказаних у правилах дії.
Головною перевагою шаблонів є висока ефективність виявлення передачі конфіденційної інформації. Стосовно інцидентів випадкових витоків вона прагне 100%. Випадки з навмисними пересилками складніші. Знаючи про можливості DLP-системи, зловмисник може протидіяти їй, зокрема, розділяючи символи різними символами. Тому методи захисту конфіденційної інформації, що використовуються, повинні триматися в секреті.
До недоліків шаблонів належить, насамперед, обмежена сфера їх застосування. Вони можуть бути використані лише для стандартизованої інформації, наприклад, для захисту персональних даних. Ще одним мінусом методу, що розглядається, є відносно висока частота помилкових спрацьовувань. Наприклад, номер паспорта складається із шести цифр. Але, якщо задати такий шаблон, то він спрацьовуватиме щоразу, коли зустрінеться 6 цифр поспіль. А це може бути номер договору, який надсилається клієнту, сума тощо.

Цифрові відбитки

Під цифровим відбитком у разі розуміється цілий набір характерних елементів документа, яким можна з високої достовірністю визначити у майбутньому. Сучасні DLP-рішення здатні детектувати як цілі файли, а й їх фрагменти. При цьому навіть можна розрахувати ступінь відповідності. Такі рішення дозволяють створювати диференційовані правила, де описані різні дії для різних відсотків збігу.
Важливою особливістю цифрових відбитків є те, що вони можуть бути використані не тільки для текстових, але і для табличних документів, а також для зображень. Це відкриває широке поле застосування розглянутої технології.

Цифрові мітки

Принцип даного методу наступний: на вибрані документи накладаються спеціальні мітки, які видно лише клієнтським модулям DLP-рішення, що використовується. Залежно від наявності система дозволяє чи забороняє ті чи інші дії з файлами. Це дозволяє не тільки запобігти витоку конфіденційних документів, але й обмежити роботу з ними користувачів, що є безперечною перевагою даної технології.
До недоліків цієї технології належить, насамперед, обмеженість сфери її застосування. Захистити з її допомогою можна лише текстові документи, причому вже існуючі. На новостворені документи це не поширюється. Частково цей недолік нівелюється засобами автоматичного створення міток, наприклад, на основі набору ключових слів. Однак цей аспект зводить технологію цифрових міток до технології морфологічного аналізу, тобто, по суті, дублювання технологій.
Іншим недоліком технології цифрових міток є легкість її обходу. Достатньо вручну набрати текст документа в листі (не скопіювати через буфер обміну, а саме набрати), і цей спосіб буде безсилим. Тому він гарний лише у поєднанні з іншими методами захисту.

Основні функції DLP-систем:

Основні функції DLP-систем візуалізовані на малюнку нижче (рис. 3)

  • контроль передачі інформації через Інтернет із використанням E-Mail, HTTP, HTTPS, FTP, Skype, ICQ та інших додатків та протоколів;
  • контроль збереження інформації на зовнішні носії - CD, DVD, flash, мобільні телефони тощо;
  • захист інформації від витоку шляхом контролю виведення даних на друк;
  • блокування спроб пересилання/збереження конфіденційних даних, інформування адміністраторів ІБ про інциденти, створення тіньових копій, використання карантинної папки;
  • пошук конфіденційної інформації на робочих станціях та файлових серверах за ключовими словами, мітками документів, атрибутами файлів та цифровими відбитками;
  • запобігання витоку інформації шляхом контролю життєвого циклу та руху конфіденційних відомостей.

Мал. 3. Основні функції DLP систем

Захист конфіденційної інформації у DLP-системі здійснюється на трьох рівнях:

1 рівень - Data-in-Motion– дані, що передаються мережевими каналами:

  • web (HTTP/HTTPS протоколи);
  • служби миттєвого обміну повідомленнями (ICQ, QIP, Skype, MSN тощо);
  • корпоративна та особиста пошта (POP, SMTP, IMAP тощо);
  • бездротові системи (WiFi, Bluetooth, 3G тощо);
  • ftp – з'єднання.

2 рівень - Data-at-Rest– дані, що статично зберігаються на:

  • серверах;
  • робочих станціях;
  • ноутбуки;
  • системах зберігання даних (СГД).

3 рівень - Data-in-Use- Дані, що використовуються на робочих станціях.

Система класу DLP включає такі компоненти:

  • центр управління та моніторингу;
  • агенти на робочих станціях користувачів;
  • мережевий шлюз DLP, що встановлюється на Інтернет-периметр.

У DLP-системах конфіденційна інформація може визначатися за низкою різних ознак, а також у різний спосіб, основними з них є:

  • морфологічний аналіз інформації;
  • статистичний аналіз інформації;
  • регулярні вирази (шаблони);
  • метод цифрових відбитків;
  • метод цифрових міток.

Використання DLP-систем давно стало вже не просто модою, а необхідністю, адже витік конфіденційних даних може призвести до величезних збитків для компанії, а головне зробити не одномоментний, а тривалий вплив на бізнес компанії. У цьому шкода може мати як прямий, а й опосередкований характер. Тому що, крім основної шкоди, особливо у разі розголошення відомостей про інцидент, Ваша компанія «втрачає обличчя». Збитки від втрати репутації оцінити в грошах дуже складно! Адже кінцевою метою створення системи забезпечення безпеки інформаційних технологій є запобігання або мінімізація шкоди (прямої чи непрямої, матеріальної, моральної чи іншої), що завдається суб'єктам інформаційних відносин за допомогою небажаного впливу на інформацію, її носії та процеси обробки.

28.01.2014 Сергій Корабльов

Вибір будь-якого продукту корпоративного рівня є для технічних фахівців та співробітників, які приймають рішення, нетривіальним завданням. Вибір системи запобігання витоку даних Data Leak Protection (DLP) – ще складніше. Відсутність єдиної понятійної системи, регулярних незалежних порівняльних досліджень та складність самих продуктів змушують споживачів замовляти у виробників пілотні проекти та самостійно проводити численні тестування, визначаючи коло власних потреб та співвідносячи їх з можливостями систем, що перевіряються.

Подібний похід, безперечно, правильний. Виважене, а в деяких випадках навіть вистраждане рішення полегшує подальше використання і дозволяє уникнути розчарування при експлуатації конкретного продукту. Проте процес прийняття рішень у разі може затягуватися якщо не так на роки, то багато місяців. Крім того, постійне розширення ринку, поява нових рішень та виробників ще більше ускладнюють завдання не лише вибору продукту для впровадження, а й створення попереднього шорт-листу відповідних DLP-систем. У таких умовах актуальні огляди DLP-систем мають безперечну практичну цінність для технічних фахівців. Чи варто включати конкретне рішення до списку для тестування, чи воно буде надто складним для впровадження в невеликій організації? Чи може рішення масштабуватися на компанію з 10 тис. співробітників? Чи зможе DLP-система контролювати важливі для бізнесу файли CAD? Відкрите порівняння не замінить ретельного тестування, але допоможе відповісти на базові питання, що виникають на початковому етапі робіт на вибір DLP.

Учасники

Як учасники були обрані найбільш популярні (за версією аналітичного центру Anti-Malware.ru на середину 2013 року) на російському ринку інформаційної безпеки DLP-системи компаній InfoWatch, McAfee, Symantec, Websense, Zecurion та «Інфосистем Джет».

Для аналізу використовувалися комерційно доступні на момент підготовки огляду версії DLP-систем, а також документація та відкриті огляди продуктів.

Критерії порівняння DLP-систем вибиралися, виходячи з потреб компаній різного розміру та різних галузей. Під основним завданням DLP-систем мається на увазі запобігання витоку конфіденційної інформації різними каналами.

Приклади товарів цих підприємств представлені на малюнках 1–6.
Рисунок 3. Продукт компанії Symantec

Малюнок 4. Продукт компанії InfoWatch

Рисунок 5. Продукт компанії Websense

Рисунок 6. Продукт компанії McAfee

Режими роботи

Два основні режими роботи DLP-систем – активний та пасивний. Активний – зазвичай основний режим роботи, при якому відбувається блокування дій, що порушують політики безпеки, наприклад, відправлення конфіденційної інформації на зовнішню поштову скриньку. Пасивний режим найчастіше використовується на етапі налаштування системи для перевірки та коригування налаштувань, коли висока частка помилкових спрацьовувань. І тут порушення політик фіксуються, але обмеження переміщення інформації не накладаються (таблиця 1).

У цьому аспекті всі аналізовані системи виявилися рівнозначними. Кожна з DLP вміє працювати як в активному, так і пасивному режимах, що дає замовнику певну свободу. Не всі компанії готові почати експлуатацію DLP відразу в режимі блокування – це може призвести до порушення бізнес-процесів, невдоволення з боку співробітників контрольованих відділів і претензій (у тому числі обґрунтованих) з боку керівництва.

Технології

Технології детектування дозволяють класифікувати інформацію, яка передається електронними каналами і виявляти конфіденційні відомості. На сьогодні існує кілька базових технологій та їх різновидів, подібних по суті, але різних за реалізацією. Кожна з технологій має як переваги, і недоліки. Крім того, різні типи технологій підходять для аналізу інформації різних класів. Тому виробники DLP-рішень намагаються інтегрувати у свої продукти максимальну кількість технологій (див. таблицю 2).

Загалом продукти надають велику кількість технологій, що дозволяють при належному налаштуванні забезпечити високий відсоток розпізнавання конфіденційної інформації. DLP McAfee, Symantec та Websense досить слабо адаптовані для російського ринку і не можуть запропонувати користувачам підтримку «мовних» технологій – морфології, аналізу трансліту та замаскованого тексту.

Контрольовані канали

Кожен канал передачі – це потенційний канал витоків. Навіть один відкритий канал може звести нанівець усі зусилля служби інформаційної безпеки, що контролює інформаційні потоки. Саме тому так важливо блокувати канали, які не використовуються співробітниками для роботи, а ті, що залишилися, контролювати за допомогою систем запобігання витокам.

Незважаючи на те, що найкращі сучасні DLP-системи здатні контролювати велику кількість мережевих каналів (див. таблицю 3), непотрібні канали доцільно блокувати. Наприклад, якщо співробітник працює на комп'ютері тільки з внутрішньою базою даних, можна взагалі відключити йому доступ в Інтернет.

Аналогічні висновки справедливі й у локальних каналів витоку. Щоправда, у разі буває складніше заблокувати окремі канали, оскільки порти часто використовують і підключення периферії, пристроїв вводу-вывода тощо.

Особливу роль для запобігання витоку через локальні порти, мобільні накопичувачі та пристрої відіграє шифрування. Кошти шифрування досить прості в експлуатації, їх використання може бути прозорим для користувача. Але водночас шифрування дозволяє виключити цілий клас витоків, пов'язаних із несанкціонованим доступом до інформації та втратою мобільних накопичувачів.

Ситуація з контролем локальних агентів загалом гірша, ніж із мережевими каналами (див. таблицю 4). Успішно контролюються всіма продуктами лише USB-пристрої та локальні принтери. Також, незважаючи на зазначену вище важливість шифрування, така можливість є лише в окремих продуктах, а функція примусового шифрування на основі контентного аналізу присутня тільки в Zecurion DLP.

Для запобігання витокам важливим є не тільки розпізнавання конфіденційних даних у процесі передачі, але й обмеження поширення інформації в корпоративному середовищі. Для цього до складу DLP-систем виробники включають інструменти, здатні виявляти та класифікувати інформацію, що зберігається на серверах та робочих станціях у мережі (див. таблицю 5). Дані, які порушують політики інформаційної безпеки, мають бути видалені чи переміщені до безпечного сховища.

Для виявлення конфіденційної інформації на вузлах корпоративної мережі використовуються ті ж технології, що і для контролю витоків електронними каналами. Головна відмінність – архітектурна. Якщо для запобігання витоку аналізується мережевий трафік або файлові операції, то для виявлення несанкціонованих копій конфіденційних даних досліджується інформація, що зберігається - вміст робочих станцій і серверів мережі.

З DLP-систем, що розглядаються, тільки InfoWatch і «Дозор-Джет» ігнорують використання засобів виявлення місць зберігання інформації. Це не є критичною функцією для запобігання витоку електронними каналами, але суттєво обмежує можливості DLP-систем щодо проактивного запобігання витоку. Наприклад, коли конфіденційний документ перебуває у межах корпоративної мережі, це витік інформації. Однак, якщо місце зберігання цього документа не регламентовано, якщо про місцезнаходження цього документа не знають власники інформації та офіцери безпеки, це може призвести до витоку. Можливий несанкціонований доступ до інформації або документа не буде застосовано відповідних правил безпеки.

Зручність управління

Такі характеристики, як зручність використання та управління, можуть бути не менш важливими, ніж технічні можливості рішень. Адже справді складний продукт буде важко запровадити, проект забере більше часу, сил та, відповідно, фінансів. Вже впроваджена DLP-система вимагає уваги з боку технічних фахівців. Без належного обслуговування, регулярного аудиту та коригування налаштувань якість розпізнавання конфіденційної інформації згодом сильно падатиме.

Інтерфейс керування рідною для співробітника служби безпеки мовою – перший крок для спрощення роботи з DLP-системою. Він дозволить не лише полегшити розуміння, за що відповідає те чи інше налаштування, а й значно прискорить процес конфігурування великої кількості параметрів, які необхідно налаштувати для коректної роботи системи. Англійська мова може бути корисною навіть для російськомовних адміністраторів для однозначного трактування специфічних технічних понять (див. таблицю 6).

Більшість рішень передбачають зручне керування з єдиної (для всіх компонентів) консолі з веб-інтерфейсом (див. таблицю 7). Виняток становлять російські InfoWatch (відсутня єдина консоль) та Zecurion (немає веб-інтерфейсу). При цьому обидва виробники вже анонсували появу веб-консолі у своїх майбутніх продуктах. Відсутність єдиної консолі у InfoWatch обумовлена ​​різною технологічною основою продуктів. Розробка власного агентського рішення була на кілька років припинена, а нинішній EndPoint Security є наступником продукту EgoSecure (раніше відомого як cynapspro) стороннього розробника, придбаного компанією у 2012 році.

Ще один момент, який можна віднести до недоліків рішення InfoWatch, полягає в тому, що для налаштування та керування флагманським DLP-продуктом InfoWatch TrafficMonitor необхідне знання спеціальної скриптової мови LUA, що ускладнює експлуатацію системи. Тим не менш, для більшості технічних фахівців перспектива підвищення власного професійного рівня та вивчення додаткового, нехай і не надто ходової мови, повинна бути сприйнята позитивно.

Поділ ролей адміністратора системи необхідний для мінімізації ризиків запобігання появі суперкористувача з необмеженими правами та інших махінацій з використанням DLP.

Журналування та звіти

Архів DLP – це база даних, в якій акумулюються та зберігаються події та об'єкти (файли, листи, http-запити тощо), що фіксуються датчиками системи в процесі її роботи. Зібрана в базі інформація може застосовуватися для різних цілей, у тому числі для аналізу дій користувачів, для збереження копій критично важливих документів як основи для розслідування інцидентів ІБ. Крім того, база всіх подій є надзвичайно корисною на етапі впровадження DLP-системи, оскільки допомагає проаналізувати поведінку компонентів DLP-системи (наприклад, з'ясувати, чому блокуються ті чи інші операції) та здійснити коригування налаштувань безпеки (див. таблицю 8).

У разі ми бачимо важливе архітектурне різницю між російськими і західними DLP. Останні взагалі ведуть архів. В цьому випадку сама DLP стає більш простою для обслуговування (відсутня необхідність вести, зберігати, резервувати та вивчати величезний масив даних), але ніяк не для експлуатації. Адже архів подій допомагає налаштовувати систему. Архів допомагає зрозуміти, чому відбулося блокування передачі інформації, перевірити, чи спрацювало правило коректно, внести в налаштування системи необхідні виправлення. Також слід зауважити, що DLP-системи потребують не тільки первинного настроювання при впровадженні, але й регулярного «тюнінгу» в процесі експлуатації. Система, яка не підтримується належним чином, не доводиться технічними фахівцями, багато втрачатиме як розпізнавання інформації. В результаті зросте і кількість інцидентів, і кількість хибних спрацьовувань.

Звітність – важлива частина будь-якої діяльності. Інформаційна безпека – не виняток. Звіти в DLP-системах виконують кілька функцій. По-перше, короткі та зрозумілі звіти дозволяють керівникам служб ІБ оперативно контролювати стан захищеності інформації, не вдаючись до деталей. По-друге, докладні звіти допомагають офіцерам безпеки коригувати політики безпеки та налаштування систем. По-третє, наочні звіти завжди можна показати топ-менеджерам компанії для демонстрації результатів роботи DLP-системи та самих фахівців ІБ (див. таблицю 9).

Майже всі конкуруючі рішення, розглянуті в огляді, пропонують і графічні, зручні топ-менеджерам та керівникам служб ІБ, та табличні, більш відповідні технічним фахівцям звіти. Графічні звіти відсутні лише у DLP InfoWatch, за що їм і було знижено оцінку.

Сертифікація

Питання про необхідність сертифікації засобів забезпечення інформаційної безпеки та DLP зокрема є відкритим, і в рамках професійних спільнот експерти часто сперечаються на цю тему. Узагальнюючи думки сторін, слід визнати, що сама собою сертифікація не дає серйозних конкурентних переваг. У той же час існує певна кількість замовників, насамперед, держорганізацій, для яких наявність того чи іншого сертифікату є обов'язковою.

Крім того, порядок сертифікації погано співвідноситься з циклом розробки програмних продуктів. В результаті споживачі опиняються перед вибором: купити вже застарілу, але сертифіковану версію продукту або актуальну сертифікацію, що не пройшла. Стандартний вихід у цій ситуації – придбання сертифікованого продукту «на полицю» та використання нового продукту у реальному середовищі (див. таблицю 10).

Результати порівняння

Узагальнемо враження від розглянутих DLP-рішень. Загалом, всі учасники справили сприятливе враження та можуть використовуватися для запобігання витоку інформації. Відмінності продуктів дозволяють конкретизувати сферу їх застосування.

DLP-система InfoWatch може бути рекомендована організаціям, для яких важливою є наявність сертифіката ФСТЕК. Втім, остання сертифікована версія InfoWatch Traffic Monitor проходила випробування ще наприкінці 2010 року, а термін дії сертифіката закінчується наприкінці 2013 року. Агентські рішення на базі InfoWatch EndPoint Security (відомого також як EgoSecure) більше підходять підприємствам малого бізнесу та можуть використовуватися окремо від Traffic Monitor. Спільне використання Traffic Monitor та EndPoint Security може викликати проблеми з масштабуванням в умовах великих компаній.

Продукти західних виробників (McAfee, Symantec, Websense), за даними незалежних аналітичних агентств, значно менш популярні, ніж російські. Причина – у низькому рівні локалізації. Причому справа навіть не в складності інтерфейсу чи відсутності документації російською мовою. Особливості технологій розпізнавання конфіденційної інформації, налаштовані шаблони та правила «заточені» під використання DLP у західних країнах та націлені на виконання західних нормативних вимог. У результаті якість розпізнавання інформації виявляється помітно гірше, а виконання вимог іноземних стандартів часто неактуально. При цьому самі по собі продукти зовсім не погані, але специфіка застосування DLP-систем на російському ринку навряд чи дозволить їм у найближчому майбутньому стати більш популярними, ніж вітчизняні розробки.

Zecurion DLP відрізняється гарною масштабованістю (єдина російська DLP-система з підтвердженим впровадженням більш ніж на 10 тис. робочих місць) і високою технологічною зрілістю. Однак дивує відсутність веб-консолі, що допомогло б спростити управління корпоративним рішенням, орієнтованим на різні сегменти ринку. Серед сильних сторін Zecurion DLP – висока якість розпізнавання конфіденційної інформації та повна лінійка продуктів для запобігання витоку, включаючи захист на шлюзі, робочих станціях та серверах, виявлення місць зберігання інформації та інструменти для шифрування даних.

DLP-система "Дозор-Джет", один з піонерів вітчизняного ринку DLP, широко поширена серед російських компаній і продовжує нарощувати клієнтську базу за рахунок великих зв'язків системного інтегратора "Інфосистеми Джет", за сумісництвом та розробником DLP. Хоча технологічно DLP дещо відстає від потужніших побратимів, її використання може бути виправдане в багатьох компаніях. Крім того, на відміну від іноземних рішень, «Дозор Джет» дозволяє вести архів усіх подій та файлів.


Витік комерційно значимої інформації може призвести до суттєвих збитків компанії – і фінансових, і репутаційних. Налаштування компонентів DLP дозволяє відстежувати внутрішнє листування, поштові повідомлення, обмін даними, роботу з хмарними сховищами, запуск програм на робочому столі, підключення зовнішніх пристроїв, звіти, SMS-повідомлення, телефонні переговори. Усі підозрілі операції контролюються та створюється база звітності щодо відстежених прецедентів. Для цього DLP-системи мають вбудовані механізми визначення системи конфіденційної інформації, для чого аналізуються спеціальні маркери документів та саме їх зміст (за ключовими словами, фразами, пропозиціями). Можливий ряд додаткових налаштувань контролю персоналу (правомірності дій всередині компанії, використання робочих ресурсів, аж до роздруківок на принтерах).

Якщо в пріоритеті повноцінний контроль над передачею даних, то початкове налаштування DLP полягатиме у виявленні та визначенні можливих витоків інформації, контролю кінцевих пристроїв та допуску користувачів до ресурсів компанії. Якщо у пріоритеті статистика з переміщення важливої ​​корпоративної інформації всередині організації, то її відстеження обчислюються канали і засоби передачі. DLP-системи налаштовуються індивідуально під кожне підприємство, виходячи з передбачуваних моделей загроз, категорій порушень, визначення можливих каналів витоку інформації.

DLP займають велику нішу на ринку у сфері економічної безпеки. Виходячи з досліджень Аналітичного центру Anti-Malware.ru, помітне зростання потреб компаній в DLP-системах, збільшення продажів і розширення лінійки продуктів. Актуальне налаштування запобігання передачі небажаної інформації не лише зсередини назовні, а й зовні всередину інформаційної мережі підприємства. Більше того, враховуючи поширену віртуалізацію в корпоративних інформаційних системах та повсюдне використання мобільних пристроїв, через які ведеться бізнес-контроль мобільних співробітників — одне з найпріоритетніших завдань.

Важливо враховувати інтеграцію вибраних DLP-систем із корпоративною IT-мережею, тими програмами, які використовує компанія. Для успішного запобігання витоку даних та оперативних дій щодо припинення зловживання корпоративною інформацією необхідно налагодити стабільну роботу DLP, налаштувати функціонал відповідно до завдань, встановити роботу з внутрішньокорпоративними електронними скриньками, USB-накопичувачами, месенджерами, хмарними сховищами, мобільними пристроями, у великій корпорації – та інтеграцію із SIEM системою в рамках SOC.

Довірте використання системи DLP фахівцям. Системний інтегратор «Radius» здійснить встановлення та налаштування DLP відповідно до стандартів та норм інформаційної безпеки, а також особливостей компанії-клієнта.