Считается, что большая часть конфиденциальной информации, которая была разглашена за пределы корпорации, утекает по вине самих служащих. При этом, утечка может быть совершенно случайной, непреднамеренной, но она может нанести непоправимый вред работе предприятия. Чтобы избежать этих моментов, необходим жесткий контроль за сотрудниками. Однако запретить доступ к Интернету и средствам связи невозможно. Для такого случая есть идеальное решение — внедрение специально разработанной службы DLP.
Что такое DLP
Термин DLP расшифровывают как Data Loss Prevention, то есть предупреждение утери данных, если прямо переводить с английского. DLP-система представляет собой программный продукт, созданный с целью предупреждения утечки конфиденциальных данных из внутренней сети предприятия. Базируется данный сервис на принципе анализа информационного потока, выходящего за пределы корпорации. При срабатывании определенного детектора блокируется такая передача данных, или посылается оповещение уполномоченному сотруднику службы безопасности предприятия.
Предупреждение разглашения корпоративной информации по информационным каналам можно поделить согласно целям:
- обезопасить компанию от угрозы извне;
- вычислить внутреннего нарушителя-инсайдера.
Конфиденциальные сведения, представляющие ценность для фирмы, в любой момент могут быть обнародованы сотрудниками как специально, так и вовсе неумышленно. Работники уносят данные на съемных носителях, передают по почте, отправляют через мессенджеры, и даже посредством телефонной связи.
Но это не весь список — кроме явных путей передачи данных, существуют более хитрые способы. Например, внедрение в корпоративную сеть вредоносного программного обеспечения — вирусов, которые могут отслеживать набираемый текст с клавиатуры, копировать хранящиеся в ОЗУ данные, передавать их адресату через Интернет.
С этими проблемами легко справляется оболочка DLP. Она создана специально для защиты информационного поля организации, обеспечения сохранности содержащихся данных, особо ценных сведений. При этом, алгоритм работы ДЛП построен на разборе как исходящей, так и входящей информации. Подконтрольными данными, проходящими детектор DLP, становится не только сетевой трафик предприятия, но даже сведения, выносимые сотрудниками на внешних накопительных устройствах, печатаемые на принтере, передаваемые через Wi-Fi, Bluetooth. Поэтому, к программному компоненту предъявляют следующие требования:
- Анализ документации, переносимой на внешние диски или за пределы корпорации по Интернету.
- Контроль распечатки, сканирования на принтерах.
- Отслеживание данных, отправляемых посредством мобильной сети или других информационных каналов.
- Анализ бесед внутри корпорации, определение потенциально опасных сотрудников.
DLP одинаково эффективна как на предприятии со штатом в 50 служащих, так и в огромной корпорации, насчитывающей свыше тысячи работников. При этом, управление программой может обеспечить всего один обученный человек.
Где используется
Внешние угрозы важны. Особенно после одиозных вирусов типа «китайских пингвинов», «Пети», мощных фишинговых атак последних лет, ДдоС также бывает частой причиной усиления безопасности по внешнему направлению. Это правильный подход. Однако угрозы изнутри периодически наносят еще больше вреда, чем внешние атаки. Ведь утечка информации просто так, либо по злому умыслу может произойти, как от рядового клерка, так от человека, занимающего высшие посты иерархии фирмы.
Цели DLP-системы в организации обычно таково:
- понижение прямых финансовых потерь от потери конфиденциальности;
- смягчение или нивелирование репутационного ущерба;
- соответствие отраслевым стандартам безопасности (хороший тон для западноевропейских корпораций).
Принцип работы
Суть DLP ядра очевидна. Не хочешь утечек — анализируй все происходящее в компании. Естественно, не вручную. Современные объемы информации попросту никак не рассчитаны на простую обработку человеческими силами. Даже малый бизнес активно начинает использовать современные алгоритмы в целях проверки утечек.
DLP-системы обладают двумя вариантами проверки потери конфиденциальных данных:
- анализом формальных признаков (по грифу, хэшу, иным внешне прописанным атрибутам);
- анализом содержимого.
Для этого DLP-программы имеют двухуровневые компоненты — хостовые (на стороне, обладающей конфиденциальными материалами) и сетевые. Они работают вполне ожидаемо. Сетевые компоненты прямо отвечают за трафик, который пересекает границу подотчетной инфосистемы. Хостовые же компоненты ставятся на рабочие терминалы. Это системы отслеживания записи на лазерные диски, флэшки, подключаемые внешние винчестеры и любые сторонние накопители. Также хостовые компоненты отслеживают перенастройку сетевых опций, туннелирования и т. п. Это сделано, чтобы пресечь любые варианты несанкционированного вторжения в систему. Полноценная DLP-оболочка имеет оба компонента, плюс функционал для управления из центра. Именно из этого модуля происходит централизованная настройка приложений, администрирование системы и непрерывный мониторинг ситуации.
Виды систем
DLP‑оболочки классифицируются на предмет детектирования утечек:
- при использовании (Data-in‑Use) — на пользовательском терминале;
- в передаче (Data-in‑Motion) — в фирменной подсети и локальной сети;
- при хранении (Data-at‑Rest) — все серверные хранилища данных, вычислительные кластеры.
Сами системы работают как:
- формальный детектор — надёжно, но медленно, нужно прописывать в системе все атрибуты;
- детектор контента — больше фальшстартов оповещений безопасности, зато мониторит полностью всю документацию.
Сравнение систем
Сравним несколько самых популярных DLP-систем:
Имя DLP-системы | Предназначение | Сервис | Срок внедрения | Локализация |
---|---|---|---|---|
Дозор-Джет | Большой бизнес, госсектор | Техподдержка, обучение клиентам, партнерам, консалтинг и аутсорсинг | Рабочая неделя | Русская, английская |
Falcongaze | Большой и малый бизнес | Техподдержка стандартная, внедрение, обучение, первичная помощь с созданием информационной защиты в организации | Несколько часов, возможно несколько дней — по архитектуре | Русский, английский, французский, испанский, итальянский, корейский, турецкий |
GTB | Все типы бизнеса | Техподдержка, обучение работников на месте, в фирменном центре | От сложности сети, обычно несколько дней | Английский, польский, русский, китайский, немецкий, португальский |
Infowatch | ДЛП, СААС для фирмы | Консалтинг по инфобезопасности | До рабочей недели — зависит от того, как сконфигурирована сеть | Украинский, английский, русский, белорусский |
«МФИ» Софт | Средний, крупный бизнес | Удаленное обучение, техподдержка. | По анкете, рабочая неделя на разработку ТЗ + два дня на внедрение | Только русский |
Searchinform | Корпорации, малый и среднего бизнеса | внедрение, техподдержка, учебный центр, аутсорсинг | От одного дня — по числу станций и предподготовке | Русский, английский, латынь, польский, литовский |
Symantec | Для огромных монополий и корпораций, | Обучение персонала, внедрение | От рабочего дня | Английский, русский, японский, китайский, французский |
Zecurion | Госсектор, все формы бизнеса | Аудит, консалтинг, техподдержка, обучение | От суток | Английский, русский |
Как выбрать систему
Есть несколько вариантов, как подобрать защитный софт, предотвращающий утечки:
- Сравнительный анализ функций DLP-систем.
- Создание черновика ТЗ, сбор информации о реальной надежности разработчика софта в сравнении с заявляемыми параметрами системы.
- Потребуется протестировать все функции софта настолько, насколько это возможно. Не стоит зацикливаться на тех услугах, ради которых компания покупает DLP-систему.
- Обязательная проверка эффективности презентуемого типа защиты DLP. Берутся несколько решений и подвергаются стресс-тестам на утечки информации. Важно активно сотрудничать с техподдержкой на предмет решения особо сложных проблем и разъяснения технических нюансов.
Внедрение DLP
Внедрение системы происходит в несколько этапов, следующим образом:
- Подготовительный этап. DLP-системы внедряют комплексно, простого развертывание продукта не всегда достаточно. Для надлежащей работы системы безопасности следует провести классификацию документов и определение матрицы доступа.
- Выбор софта. Как только подготовка завершена, исполнитель и заказчик имеют примерную картину того, как именно будет выглядеть конечная точка перехвата утечек. Исполнитель тут играет основную роль и сам обязан помочь клиенту выбрать оптимальный вариант. Вопрос цены тут важен, но не первостепенен: в информационный век куда дороже конфиденциальность данных, чем защитные системы, а самая «навороченная» технически DLP вовсе не гарантирует панацею от всех шпионов. Нужно оценивать специфику каждой организации перед установкой софта.
- Проектирование. Начинается с полного анализа инфраструктуры заказчика и макетирования на собственной площадке. Тут не может быть лишней въедливости. Без полного понимания топологии местных сетей, характера и структуры информации трудно вообще прогнозировать эффективность дальнейшей целостности данных.
- Установка системы также проходит при близком сотрудничестве заказчика и исполнителя. Системы ДЛП сильно связаны с прокси, почтовиками, настройками сетевого оборудования, поэтому обращение к сторонним специалистам необходимо и неизбежно.
Настройки системы
Особых навыков для инсталляции не нужно, поставить программу-перехватчик способен даже начинающий сисадмин. Но тонкая настройка DLP требует специфической квалификации.
Основу стабильности закладывают еще при внедрении, которое включает в себя:
- систематизацию защищаемой информации;
- разработку политики конфиденциальности;
- адаптацию бизнес-процессов под кибербезопасность.
И вот эти три пункта уже однозначно требуют специализированного изучения DLP-системы.
Стоимость DLP
Подобно любому многокомпонентному софту, здесь определяют единовременные и постоянные затраты. Первые оплачиваются только при внедрении DLP в организации. Постоянные же необходимо оплачивать весь эксплуатационный период. В среднем можно вывести следующие эксплуатационные формулы:
- единовременные затраты = экспертиза системы ИБ + разработка политик безопасности + стоимость лицензий + стоимость внедрения;
- постоянные затраты = техническая поддержка + зарплата ИБ-персоналу.
Формулы универсальные и касаются любой формы обработки информации.
DLP-системы недешевы уже по причине использования десятков и сотен терминалов, привлечения в кибериндустрию тысяч людей, необходимости перестраивать давно отлаженные сетевые структуры. Однако потери от шпионажа и ненамеренных сливов информации чудовищны. Ponemone Institute подсчитал, что одна утечка в среднем обходится бизнесменам в 2,7 млн. долларов. Естественно, малый бизнес такими суммами не оперирует — но там и обороты меньше, а потому и любая потеря чувствительна. Вдобавок, прогнозировать количество внутренних шпионских атак просто нереально.
Бизнес-практика однозначно показывает эффективность работы большинства моделей внедрения ДЛП. Большая стоимость фактически окупается за считанные месяцы. Не менее важной является психологическая уверенность всех — от владельцев бизнеса до рядовых клерков. Ведь очевидным фактом является то, что работать сильно легче, когда знаешь, что в процесс не вмешиваются подозрения о корпоративном шпионаже. ДЛП решает много трений в вопросах трудовой дисциплины. Она показана для всех форм собственности. Для госсектора же внедрение программ-перехватчиков является абсолютно неизбежным фактором, связанным с хранением гостайны и любых стратегически важных данных. Тут ДЛП-индустрия только помогает стране своей вариативностью коммерческих предложений.