Ксения Головко

Next Article

Ньюсмейкеры

DLP-системы нового поколения

Ксения Головко,

специалист по внешним коммуникациям Zecurion

В

известной аббревиатуре DLP (Data Loss Prevention) обозначена непосредственная задача, которую решает данная система, а именно – защищает от утечек конфиденциальной информации. Сегодня же в какой-то мере система DLP является “заложницей" своей аббревиатуры, ведь современная система нового поколения – DLP Next Generation – уже не только решает задачу по предотвращению умышленных и случайных утечек, но и помогает бизнесу справляться сразу с несколькими глобальными проблемами. Что же из себя представляет система DLP Next Generation и какие решает задачи?

Сегодня на рынке присутствуют разные по своей функциональности DLPсистемы: l полноценные DLP с большими возможностями контроля и блокировки передачи информации и анализа данных; l системы с частичным функционалом DLP, которые могут отследить перемещение данных, но не могут предотвратить утечку; l системы другого класса со встроенным модулем DLP.

Разные системы решают различный спектр задач. Для того чтобы разобраться в этом, важно понимать, как они эволюционировали.

Эволюция DLP

Изначально DLP-рынок возник из проблемы Compliance (выполнение требований законодательства), в частности с того момента, когда регуляторы обратили внимание на утечки информации в компаниях и разработали ряд законов и отраслевых стандартов относительно защиты информации от внутренних угроз, которых нужно было каким-то образом придерживаться. Для решения задачи информационной безопасности вендоры предоставили бизнесу специальный инструмент – DLP-систему.

Второй этап разработки – DLP для защиты коммерческой тайны. Если раньше системой пользовались организации, в основном оперирующие персональными и финансовыми данными клиентов, то в дальнейшем у этих же организаций возник спрос на защиту собственной коммерческой информации. Это дало толчок для пересмотра концепции DLP и ее переформатирования в более сложную систему для максимального контроля каналов передачи данных.

Следующим шагом стала DLP для внутренней безопасности, то есть система уже не только предотвращала утечку информации, но и позволяла детально анализировать информацию и выявлять инциденты. Возможности такой DLP отчасти пополнились функционалом других классов ИБ-систем, таких как платформы для расследования инцидентов и даже SOC. Данный класс DLP начал формироваться относительно недавно. Это означает, что пока на рынке не так много разработчиков, готовых предложить клиентам возможность полноценно анализировать данные и события.

DLP как класс ИБ-решений в силу своей специфики и задач окупается не сразу, и у бизнеса возникают вопросы по поводу обоснования использования и эффективности системы. В итоге вендоры стали наращивать свои компетенции, чтобы предоставить заказчику не просто инструмент для предотвращения утечки информации, а конкретное решение бизнес-задач, которое будет приносить видимые результаты уже на ранних стадиях использования, например выявлять корпоративные преступления как в режиме реального времени, так и ретроспективно.

Новое поколение DLP – борьба с корпоративными мошенниками

После того как полноценные DLP созрели в своих аналитических возможностях по выявлению инцидентов, вендоры обратили внимание на применение системы для борьбы с мошенничеством в компаниях, в том числе с экономическими преступлениями. Архив большого количества информации о пользователях, собранной DLP-решением, анализ действий сотрудников и предоставление специалистам службы информационной безопасности максимального количества инструментов – одни из основных векторов развития DLP Next Generation. Какими характеристиками должна обладать DLP-система нового поколения?

Полный архив файлов, событий, инцидентов

Во-первых, такие системы ведут полный архив передаваемых и найденных файлов, событий и инцидентов, в отличие от предыдущих поколений DLP, которые фиксировали только случаи несоблюдения политик безопасности. Благодаря возможности системы фиксировать и сохранять такую детальную информацию департамент безопасности может видеть как общую картину состояния защищенности предприятия, так и детально расследовать инциденты внутренней безопасности вплоть до составления досье на сотрудника и его круг общения.

Управление и расследование

Удобство управления и широкие возможности по расследованию инцидентов – одни из важнейших показателей современной DLP-системы. Речь идет о наличии единого для всех компонентов DLP веб-интерфейса с возможностью построения различных отчетов, начиная от досье сотрудников со списком их взаимодействий с другими пользователями и заканчивая специальным отчетом для топ-менеджеров компании.

То же самое относится и к администрированию. Несмотря на стремительное развитие системы, до сих пор головной болью администраторов остается управление несколькими консолями с разными настройками для каждого модуля DLP у некоторых вендоров.

Аналогичная ситуация с установкой. Если раньше на нее требовалось много времени, то сегодня есть возможность максимально упростить внедрение в почти любую инфраструктуру. Например, у Zecurion есть собственный сервер установки, который позволяет заказчику самостоятельно управлять внедрением, обновлением и обслуживанием системы без привлечения ИТ-департамента, использования групповых политик домена или других решений.

Поведенческий анализ (UBA)

Новый уровень DLP-систем представляет собой совокупность основных возможностей перехвата и блокировки передачи данных и функционала других классов ИБ-решений, например поведенче

ского анализа пользователей, или UBA (User Behavior Analytics). DLP-вендоры обратили внимание на данный класс решений, позволяющих выявлять стандартное поведение работников, а в случае отклонения от этих норм – принимать меры, к примеру уделять больше внимания подозрительным сотрудникам. Разработчики DLP пришли к выводу, что такой функционал будет отличным дополнением к системе, которая находится в стадии трансформации в ИБрешение тотального контроля пользователей. Однако данный функционал все еще развивается, и пока полноценный поведенческий анализ реализован лишь в выборочных DLP, в числе которых продукты Zecurion.

Контроль эмоционального состояния

Помимо анализа поведения сотрудников, можно оценивать уровень их эмоционального состояния. Система анализирует и оценивает всю лексику исходящих сообщений пользователя в мессенджерах, электронной почте и соцсетях. Анализ проводится на основе специального встроенного словаря тональной лексики, который состоит из "эмоциональных" слов, часто используемых человеком, в том числе в разговорной речи. В свою очередь, список структурируется по определенным типам эмоций: радость, доверие, ожидание, грусть, недовольство, страх, удивление, злость. Анализ динамики эмоционального состояния позволяет выделять тех сотрудников, кто может попасть в группу риска. Таких можно также взять на особый контроль.

Архитектура решения

Споры о том, что лучше – агентская DLP-система или шлюзовая, ведутся давно. Каждый из вариантов имеет не только преимущества, но и недостатки. Компенсировать их позволяет смешанная архитектура (см. рис.) с компонентами контроля информационных потоков на почтовом и сетевом шлюзах, рабочих станциях, модулем для выявления мест хранения конфиденциальной информации (Discovery) и общими сервисами, такими как архив.

Поскольку внутренние сети многих компаний устроены по-разному, а бизнес-процессы существенно различаются, для современной DLP важно быть гибкой в плане установки и интеграции. Этому способствуют модульность и наличие компонентов для контроля на разных участках сети.

Криптопериметр

Иными словами, это контентно-зависимое шифрование. DLP может принудительно шифровать файлы при копировании их на съемные устройства в зависимости от настроенных политик безопасности. Такой функционал позволяет избегать популярного сценария утечки, когда сотрудники теряют флешки гия с функцией защиты от фотографирования экрана компьютера, Рис. Архитектура DLP Next Generation

с конфиденциальными данными, а также сти и сохраняет инцидент в архиве в случае кражи или использования с информацией о том, на каком компьюустройства третьими лицами. Криптопетере и в какое время это было сделано. риметр – уникальная функция для DLPТакой инструмент востребован в первую систем и является принципиальным отлиочередь среди финансовых организаций чием Zecurion DLP от существующих на и компаний, работающих с большими рынке решений. объемами персональных данных, которые могут быть украдены третьими лицами. Расширенные возможности мониторинга действий Создание единой платформы

Сбор большого объема информации защиты о пользователях, анализ действий Базовые технологии DLP давно довесотрудников и предоставление специадены до совершенства, и сейчас вендоры листам службы безопасности максисосредоточились на повышении удобства мального количества данных о пользоиспользования системы и возможности вателях – ключевые направления разполноценного расследования инциденвития DLP в ближайшие годы. Поэтому тов. При этом развитие систем диктуется расширенные возможности мониторинга не только требованиями заказчиков, но действий сотрудников – еще один покаи появлением новых инсайдерских угроз, затель современной DLP-системы. Сюда в числе которых специфическое фотовходят достаточно простые методы контграфирование монитора на смартфон, роля за действиями, но при необходиа также мошеннические схемы вплоть мости они могут сильно помочь в расдо экономических преступлений. следовании серьезного инцидента. Можно с уверенностью говорить, что К таким методам относятся отслеживасегодня основным вектором развития DLP ние нажатий клавиатуры (кейлогер), является возможность эффективного запись звуков через микрофон контропредотвращения мошенничества. Достилируемого компьютера, создание снимгается это путем развития единой платков с фронтальной веб-камеры. формы для аналитической работы, полCamera Detector защиты не только конфиденциальных дан

Это уникальная в своем роде технолоных, но и денежных средств компании. l ноценного расследования инцидентов и разработанная компанией NM Реклама Zecurion. Встроенная тех нология определяет устройство, сообщает об этом офицеру безопасноАДРЕСА И ТЕЛЕФОНЫ компании ZECURION см. стр. 56