Считается, что большинство конфиденциальной информации, просочившейся за пределы компании, было слито самими сотрудниками. Утечки могут быть совершенно случайными, непреднамеренными, но могут нанести непоправимый ущерб деятельности компании. Чтобы избежать таких моментов, необходим строгий контроль над сотрудниками. Однако доступ к Интернету и средствам связи не может быть запрещен. В этом случае существует идеальное решение — внедрение специально разработанного DLP-сервиса.
Что такое DLP
Термин DLP — это аббревиатура от Data Loss Prevention, слово, означающее предотвращение потери данных, в прямом переводе с английского языка. DLP-система — это программное обеспечение, предназначенное для предотвращения утечки конфиденциальных данных из внутренней корпоративной сети. В его основе лежит принцип анализа потока информации за пределами корпорации. При срабатывании определенного детектора передача таких данных блокируется или отправляется уведомление уполномоченному сотруднику службы безопасности компании.
Предотвращение раскрытия корпоративной информации через информационные каналы можно разделить в зависимости от целей:
- для защиты компании от внешних угроз;
- для идентификации человека внутри компании.
Конфиденциальная информация, представляющая ценность для компании, может быть раскрыта сотрудниками в любое время, намеренно или ненамеренно. Сотрудники принимают данные на съемных носителях, отправляют их по почте, передают через систему мгновенного обмена сообщениями и даже через телефонные звонки.
Но это не весь список — помимо очевидных способов передачи данных, существуют и более тонкие способы. Например, внедрение в корпоративную сеть вредоносных программ — вирусов, которые могут отслеживать нажатия клавиш, копировать данные, хранящиеся в оперативной памяти, и отправлять их адресатам через Интернет.
С этими проблемами легко справляется DLP-движок. Он специально разработан для защиты организационных информационных полей и обеспечения безопасности содержащихся в них данных, а также особо ценных данных. В то же время, алгоритм DLP построен на разборе как исходящей, так и входящей информации. Не только сетевой трафик компании становится данными для анализа DLP-детектором, но даже информация, перенесенная сотрудниками на внешние носители, распечатанная на принтере, переданная по Wi-Fi, Bluetooth. Поэтому к компоненту программного обеспечения предъявляются следующие требования:
- Анализ документации, переданной на внешние носители или за пределы корпорации через Интернет.
- Контроль печати, сканирования на принтерах.
- Данные слежения, передаваемые через мобильную сеть или другие информационные каналы.
- Анализ корпоративных разговоров, выявление потенциально опасных сотрудников
DLP одинаково эффективна как в компании с менее чем 50 сотрудниками, так и в огромной корпорации с более чем тысячей сотрудников. Однако управлять им может только один обученный человек.
Профиль A2DP — что это такое и зачем он используется?
Где используется
Внешние угрозы очень важны. Особенно после таких вредоносных вирусов, как «Китайский пингвин», «Петя» и мощных фишинговых атак последних лет, A2DP также является распространенной причиной для внешнего усиления безопасности. Это правильный подход. Однако угрозы изнутри иногда оказываются даже более разрушительными, чем атаки извне. В конце концов, простая или злонамеренная утечка информации может исходить как от высокопоставленного чиновника, так и от человека, находящегося на вершине иерархии компании.
Цели системы DLP в организации обычно следующие
- Сокращение прямых финансовых потерь в результате утраты конфиденциальности;
- Смягчение или компенсация репутационного ущерба;
- Соответствие отраслевым стандартам безопасности (хорошо подходят западноевропейские корпорации).
Принцип работы
Суть основной DLP понятна. Вам не нужны утечки — анализируйте все, что происходит в вашей компании. Не вручную, конечно. Современные объемы данных просто не предназначены для простой обработки человеком. Даже небольшие компании активно начинают использовать сложные алгоритмы для проверки утечек.
DLP-системы предлагают два варианта обнаружения потери конфиденциальных данных:
- Формальный анализ атрибутов (через маркер, хэш или другие предписанные извне атрибуты);
- Анализ содержания.
Для этого DLP-программы имеют два многоуровневых компонента — хост (на стороне, где хранятся конфиденциальные материалы) и сеть. Они действуют вполне ожидаемым образом. Сетевые компоненты непосредственно отвечают за трафик, который пересекает границу инфосистемы отчетности. Компоненты хоста, с другой стороны, размещаются на рабочих клеммах. К ним относятся системы отслеживания записи для лазерных дисков, мини-дисков, съемных внешних жестких дисков и любых других накопителей сторонних производителей. Компоненты хоста также контролируют изменение конфигурации сетевых опций, туннелирование и т.д. Это делается для того, чтобы предотвратить любое несанкционированное проникновение в систему. Полноценная DLP-оболочка имеет оба компонента, а также функциональность для централизованного управления. Именно из этого модуля происходит централизованная настройка приложений, администрирование системы и постоянный мониторинг ситуации.
Виды систем
DLP-обертки делятся на категории с точки зрения обнаружения утечек:
- в использовании (Data-in-Use) — в пользовательском терминале;
- в передаче (Data-in-Motion) — в корпоративной подсети и локальной сети;
- в хранилище (Data-at-Rest) — все серверные хранилища данных, вычислительные кластеры.
Сами системы действуют как:
- формальный детектор — надежный, но медленный, все атрибуты в системе нужно переписывать;
- детектор содержимого — больше предупреждает о ложных запусках, но контролирует всю документацию.
Сравнение систем
Давайте сравним некоторые из наиболее популярных DLP-систем:
| Название DLP-системы | Место назначения | Сервис | Время развертывания | Местонахождение |
|---|---|---|---|---|
| Dozor-Jet | Крупный бизнес, государственный сектор | Техническая поддержка, обучение клиентов и партнеров, консалтинг и аутсорсинг | Рабочая неделя | русский, английский |
| Falcongaze | Малый и крупный бизнес | Стандартная поддержка, внедрение, обучение, поддержка на начальном этапе внедрения | Несколько часов, возможно, несколько дней для архитектуры | Русский, английский, французский, испанский, итальянский, корейский, турецкий. |
| GTB | Все виды бизнеса | Техническая поддержка на месте, обучение персонала в центре компании | В зависимости от сложности сети, обычно несколько дней | Английский, польский, русский, китайский, немецкий, португальский |
| Infowatch | VSP, CAAS для компании | Консультации по информационной безопасности | До одной рабочей недели, в зависимости от конфигурации сети | Украинский, английский, русский, белорусский |
| «MFI Software | Средние, крупные предприятия | Удаленное обучение, техническая поддержка. | По форме заявки, одна рабочая неделя на разработку ТЗ + два дня на реализацию | Только русский язык |
| Searchinform | Корпорации, малые и средние предприятия | Внедрение, техническая поддержка, учебный центр, аутсорсинг | От одного дня в зависимости от количества станций и предварительной подготовки | Русский, английский, латинский, польский, литовский |
| Symantec | Для огромных монополий и корпораций, | Обучение персонала, внедрение | В рабочее время | Английский, русский, японский, китайский, французский |
| Zecurion | Государственный сектор, все формы бизнеса | Аудит, консалтинг, техническая поддержка, обучение | С одного дня | английский, русский |
Яндекс против Google — что лучше и в чем разница
Как выбрать систему
Существует несколько способов выбрать программное обеспечение, защищенное от утечек:
- Сравнительный анализ возможностей DLP-систем.
- Вам необходимо будет создать проект существенных условий договора, собрать информацию о фактической надежности разработчика программного обеспечения по сравнению с заявленными параметрами системы.
- Вам нужно будет как можно чаще тестировать все функции программного обеспечения. Не стоит зацикливаться на услугах, для которых ваша компания приобретает DLP-систему.
- Не забывайте проверять эффективность DLP-защиты. Принимается несколько решений и проверяется на утечку информации. Важно активно поддерживать связь с технической поддержкой для решения любых особо сложных проблем и прояснения любых технических вопросов.
Внедрение DLP
Внедрение системы происходит в несколько этапов, а именно:
- Подготовительный этап. DLP-системы реализуются комплексно, простого внедрения продукта не всегда достаточно. Вам необходимо классифицировать документы и определить матрицу доступа для правильной работы системы безопасности.
- Выбор программного обеспечения. После завершения подготовки подрядчик и заказчик имеют приблизительное представление о том, как именно будет выглядеть конечная точка улавливания утечек. Подрядчик играет здесь большую роль, и его обязанность — помочь клиенту выбрать лучший вариант. Вопрос цены здесь важен, но не первичен: в информационную эпоху конфиденциальность данных стоит гораздо дороже, чем системы безопасности, и самые «умные» технические решения DLP не гарантируют панацею от всех шпионов. Перед установкой программного обеспечения следует учитывать специфику каждой организации.
- Инжиниринг. Это начинается с полного анализа инфраструктуры и планировки клиента собственными силами. Здесь не может быть слишком много изобретательности. Без полного понимания топологии локальной сети, характера и структуры информации трудно вообще предсказать эффективность будущей целостности данных.
- Установка системы также происходит при тесном сотрудничестве между заказчиком и подрядчиком. DLP-системы сильно привязаны к прокси-серверам, почтовикам, настройкам сетевых устройств, поэтому аутсорсинг необходим и неизбежен.
Что такое кодек HEVC и для чего он используется
Настройки системы
Для установки не требуются специальные навыки, даже начинающий системный администратор способен установить программу захвата. Однако тонкая настройка DLP требует специальных знаний.
В ходе реализации создается фундамент стабильности, который включает в себя.
- систематизация информации, подлежащей защите;
- разработка политики конфиденциальности;
- согласование бизнес-процессов с кибербезопасностью.
И эти три элемента уже требуют специальных знаний в системе DLP.
Стоимость DLP
Как и в любом многокомпонентном программном обеспечении, существуют единовременные и текущие расходы. Вы платите за первое только тогда, когда внедряете DLP в своей организации. Вы должны оплачивать текущие расходы в течение всего периода эксплуатации. В среднем можно рассчитать следующие операционные формулы:
- единовременные затраты = экспертиза системы безопасности + разработка политики безопасности + стоимость лицензии + стоимость внедрения;
- периодические расходы = техническая поддержка + зарплата сотрудников ИБ.
Эти формулы универсальны и применимы к любой форме обработки информации.
DLP-системы не дешевы, поскольку используют десятки и сотни терминалов, вовлекают тысячи людей в киберпространство и требуют перестройки давно созданных сетевых структур. Но потери от шпионажа и непреднамеренных утечек информации огромны. Институт Понемона подсчитал, что одна утечка обходится в среднем в 2,7 миллиона долларов. Небольшие компании не копят такие суммы, но их оборот меньше, поэтому любая потеря является значительной. Более того, предсказать количество атак внутреннего шпионажа просто нереально.
Деловая практика наглядно демонстрирует эффективность большинства моделей развертывания DLP. Высокая стоимость фактически окупается в течение нескольких месяцев. Не менее важна и психологическая уверенность всех, от владельцев бизнеса до рядовых чиновников. Ведь это очевидный факт, что работать гораздо легче, когда знаешь, что подозрения в корпоративном шпионаже не мешают процессу. DLP решает множество трений в вопросах трудовой дисциплины. Это целесообразно для всех форм собственности. Для государственного сектора, с другой стороны, внедрение программного обеспечения для перехвата является абсолютно неизбежным фактором в связи с сохранением государственной тайны и любых данных, имеющих стратегическое значение. Здесь DLP-индустрия только помогает стране своими разнообразными коммерческими предложениями.
