Что такое dlp системы и их сравнение: определение и применение?

Что такое dlp системы и их сравнение: определение и применение? – Сигнализация

Что такое dlp системы и их сравнение: определение и применение?

Основная задача любой DLP-системы — это обеспечение информационной безопасности организации.

Но современные системы давно представляют гораздо более развитый функционал, сфера применения которого не ограничена исключительно вопросами защиты от утечек информации.

Редакция SecureNews подготовила список неочевидных методов использования DLP-систем, которые могут помочь компаниям в организации бизнес-процессов.

DLP как инструмент анализа работы коллектива

Многие современные DLP-решения наделены функциями, предназначенными для учета рабочего времени сотрудников. Начальники отделов могут просматривать отчеты о занятости работников во время рабочего дня и на их основе оптимизировать рабочие процессы.

Повышение эффективности работы не обязательно должно быть связано с тотальным контролем и системой наказаний сотрудников — на основе данных, полученных при помощи DLP, можно выяснить, как справляются со своими обязанностями те или иные работники, и оптимально распределить функции между ними.

Анализ рабочих связей персонала позволит понять, с кем взаимодействует работник во время своей деятельности, и объективно оценивать вклад каждого сотрудника в работу над определенными проектами. С его помощью можно отслеживать делегирование задач и грамотно организовывать командную работу.

Существует возможность выгружать из системы статистику по работе каждого пользователя и на ее основе делать выводы об уровне вовлеченности сотрудника в рабочий процесс.

Редактор Вася отлично справляется с работой над контентом для нового сайта, но тратит много времени на работу в фотошопе, потому что хочет много красивой инфографики. Начальник отдела видит это в отчетах и назначает ему в помощь дизайнера Колю, чтобы работа двигалась быстрее. Начальник наладил бизнес-процесс – теперь каждый занят своим делом и все счастливы.

DLP как инструмент правовой поддержки

DLP-системы не только предотвращают утечки, но еще и предоставляют доказательную базу в случае судебного разбирательства.

Данные, полученные при использовании системы, могут применяться при разборе самых разнообразных дел, непосредственно связанных как с разглашением конфиденциальной информации, так и, например, с невыполнением работником своих рабочих обязанностей.

А в случае использования режима коммерческой тайны на предприятии DLP-система является обязательной мерой по обеспечению полноценного функционирования такого режима.

Бухгалтер Леночка была уволена по статье и привлечена к ответственности за разглашение коммерческой тайны. Леночка решила оспорить это решение в суде. Суд иск отклонил, так как во время процесса были предоставлены данные, полученные при помощи DLP, из которых было видно, что Леночка отправляла документы конкурентам. Ах, Леночка…

DLP как мотивационный инструмент

Установка DLP-системы приводит к улучшению рабочего климата в коллективе. Сотрудники перестают отлынивать и начинают ощущать ответственность за проделанную работу — ведь в конце недели руководитель просмотрит отчеты. Даже если штрафных санкций не предусмотрено, контроль при помощи DLP срабатывает как стимул для повышения эффективности.

Менеджер Коля очень любит видео с морскими свинками. Может смотреть их часами, но никому об этом не рассказывает. Узнав об установке DLP-системы, он очень огорчился, ему не хочется, чтобы о его слабости узнали коллеги. После внедрения системы он сократил количество видео до двух в день и завел себе настоящую морскую свинку.

DLP как бэкап

Еще одна из неочевидных функций DLP-системы — создание архива бизнес-коммуникации. Многие сотрудники в течение рабочего дня имеют дело с огромным количеством писем, сообщений и пересылаемых файлов.

Благодаря тому, что DLP-система сохраняет все пересылаемые файлы, всегда есть возможность найти в этом архиве нужный документ.

Возможность вспомнить что, когда и кому было написано, может пригодиться сотрудникам, чьи должностные обязанности предполагают большое количество переписки.

Глава отдела продаж Толик каждый день ведет переговоры с важными клиентами. Иногда он даже забывает, о чем и с кем разговаривал — о договоренности полугодичной давности бывает трудновато вспомнить.

Но Толик не переживает — для него, как руководителя, доступен архив, собранный DLP-системой.

А если кто-то из сотрудников Толика будет заподозрен в нечестном исполнении своих обязанностей — можно будет провести расследование, причем неважно, как давно проступок был совершен.

DLPкак инструмент ограничения доступа

Продвинутая DLP-система может взять на себя функции брандмауэра. В устанавливаемых правилах можно настроить запрет на посещение определенных сайтов в рабочее время. Также есть возможность блокировать нежелательные процессы, запускаемые работниками.

Посетители постоянно жалуются директору, что секретарь Валя играет в «косынку» на рабочем месте. Директор настроил блокировку запуска пасьянса, и посетители больше не раздражаются. А Валя научилась варить латте макиато.

Источник:

DLP-системы — что это такое? Выбор DLP-системы

В наши дни можно часто услышать о такой технологии, как DLP-системы.

Что это такое, и где это используется? Это программное обеспечение, предназначенное для предотвращения потери данных путем обнаружения возможных нарушений при их отправке и фильтрации.

Кроме того, такие сервисы осуществляют мониторинг, обнаружение и блокирование конфиденциальной информации при ее использовании, движении (сетевом трафике), а также хранении.

Как правило, утечка конфиденциальных данных происходит по причине работы с техникой неопытных пользователей либо является результатом злонамеренных действий.

Такая информация в виде частных или корпоративных сведений, объектов интеллектуальной собственности (ИС), финансовой или медицинской информации, сведений кредитных карт и тому подобное нуждается в усиленных мерах защиты, которые могут предложить современные информационные технологии.

Термины «потеря данных» и «утечка данных» связаны между собой и часто используются как синонимы, хотя они несколько отличаются. Случаи утери информации превращаются в ее утечку тогда, когда источник, содержащий конфиденциальные сведения, пропадает и впоследствии оказывается у несанкционированной стороны. Тем не менее утечка данных возможна без их потери.

Категории DLP

Технологические средства, используемые для борьбы с утечкой данных, можно разделить на следующие категории: стандартные меры безопасности, интеллектуальные (продвинутые) меры, контроль доступа и шифрование, а также специализированные DLP-системы (что это такое – подробно описано ниже).

Стандартные меры

Такие стандартные меры безопасности, как межсетевые экраны, системы обнаружения вторжений (IDS) и антивирусное программное обеспечение, представляют собой обычные доступные механизмы, которые охраняют компьютеры от аутсайдера, а также инсайдерских атак.

Подключение брандмауэра, к примеру, исключает доступ к внутренней сети посторонних лиц, а система обнаружения вторжений обнаруживает попытки проникновения.

Внутренние атаки возможно предотвратить путем проверки антивирусом, обнаруживающих троянских коней, установленных на ПК, которые отправляют конфиденциальную информацию, а также за счет использования сервисов, которые работают в архитектуре клиент-сервер без каких-либо личных или конфиденциальных данных, хранящихся на компьютере.

Дополнительные меры безопасности

Дополнительные меры безопасности используют узкоспециализированные сервисы и временные алгоритмы для обнаружения ненормального доступа к данным (т. е. к базам данных либо информационно-поисковых системам) или ненормального обмена электронной почтой.

Кроме того, такие современные информационные технологии выявляют программы и запросы, поступающие с вредоносными намерениями, и осуществляют глубокие проверки компьютерных систем (например, распознавание нажатий клавиш или звуков динамика).

Некоторые такие сервисы способны даже проводить мониторинг активности пользователей для обнаружения необычного доступа к данным.

Специально разработанные DLP-системы – что это такое?

Разработанные для защиты информации DLP-решения служат для обнаружения и предотвращения несанкционированных попыток копировать или передавать конфиденциальные данные (преднамеренно или непреднамеренно) без разрешения или доступа, как правило, со стороны пользователей, которые имеют право доступа к конфиденциальным данным.

Для того чтобы классифицировать определенную информацию и регулировать доступ к ней, эти системы используют такие механизмы, как точное соответствие данных, структурированная дактилоскопия, статистические методы, прием правил и регулярных выражений, опубликований кодовых фраз, концептуальных определений и ключевых слов. Типы и сравнение DLP-систем можно представить следующим образом.

Network DLP (также известная как анализ данных в движении или DiM)

Как правило, она представляет собой аппаратное решение либо программное обеспечение, которое устанавливается в точках сети, исходящих вблизи периметра. Она анализирует сетевой трафик для обнаружения конфиденциальных данных, отправляемых в нарушение политики информационной безопасности.

Endpoint DLP (данные при использовании )

Такие системы функционируют на рабочих станциях конечных пользователей или серверов в различных организациях.

Как и в других сетевых системах, конечная точка может быть обращена как к внутренним, так и к внешним связям и, следовательно, может быть использована для контроля потока информации между типами либо группами пользователей (например, «файерволы»).

Они также способны осуществлять контроль за электронной почтой и обменом мгновенными сообщениями. Это происходит следующим образом – прежде, чем сообщения будут загружены на устройство, они проверяются сервисом, и при содержании в них неблагоприятного запроса они блокируются.

В результате они становятся неоправленными и не подпадают под действие правил хранения данных на устройстве.

DLP-система (технология) имеет преимущество в том, что она может контролировать и управлять доступом к устройствам физического типа (к примеру, мобильные устройства с возможностями хранения данных), а также иногда получать доступ к информации до ее шифрования.

Некоторые системы, функционирующие на основе конечных точек, также могут обеспечить контроль приложений, чтобы блокировать попытки передачи конфиденциальной информации, а также обеспечить незамедлительную обратную связь с пользователем.

Вместе с тем они имеют недостаток в том, что они должны быть установлены на каждой рабочей станции в сети, и не могут быть использованы на мобильных устройствах (например, на сотовых телефонах и КПК) или там, где они не могут быть практически установлены (например, на рабочей станции в интернет-кафе).

Это обстоятельство необходимо учитывать, делая выбор DLP-системы для каких-либо целей.

Идентификация данных

DLP-системы включают в себя несколько методов, направленных на выявление секретной либо конфиденциальной информации. Иногда этот процесс путают с расшифровкой. Однако идентификация данных представляет собой процесс, посредством которого организации используют технологию DLP, чтобы определить, что искать (в движении, в состоянии покоя или в использовании).

Данные при этом классифицируются как структурированные или неструктурированные. Первый тип хранится в фиксированных полях внутри файла (например, в виде электронных таблиц), в то время как неструктурированный относится к свободной форме текста (в форме текстовых документов или PDF-файлов).

По оценкам специалистов, 80% всех данных — неструктурированные. Соответственно, 20% — структурированные.

Классификация информации основывается на контент-анализе, ориентированном на структурированную информацию и контекстный анализ. Он делается по месту создания приложения или системы, в которой возникли данные.

Таким образом, ответом на вопрос «DLP-системы – что это такое?» послужит определение алгоритма анализа информации.

Используемые методы

Методы описания конфиденциального содержимого на сегодняшний день многочисленны. Их можно разделить на две категории: точные и неточные.

Что такое DLP системы и их сравнение: определение и применение?

Что такое dlp системы и их сравнение: определение и применение?

Стремительное развитие информационных технологий способствует глобальной информатизации современных компаний и предприятий. С каждым днем объемы информации, передаваемые через корпоративные сети больших корпораций и маленьких компаний, стремительно растут.

Несомненно, что с ростом информационных потоков растут и угрозы, которые могут привести к потере важной информации, ее искажению или краже. Оказывается, потерять информацию гораздо проще, нежели какую-либо материальную вещь.

Для этого не обязательно, чтобы кто-то совершал специальные действия для овладения данными – порой бывает достаточно неаккуратного поведения при работе с информационными системами или неопытности пользователей.

Возникает естественный вопрос, как же защитить себя, чтобы исключить факторы потери и утечки важной для себя информации. Оказывается, решить эту задачу вполне реально и сделать это можно на высоком профессиональном уровне. Для этой цели используются специальные DLP системы.

Определение DLP систем

DLP – это система предотвращения утечек данных в информационной среде.

Она представляет собой специальный инструмент, с помощью которого системные администраторы корпоративных сетей могут отслеживать и блокировать попытки несанкционированной передачи информации.

Кроме того, что такая система может предотвращать факты незаконного завладения информацией, она также позволяет отслеживать действия всех пользователей сети, которые связаны с использованием социальных сетей, общением в чатах, пересылкой e-mail сообщений и пр.

Основная цель, на которую нацелены системы предотвращения утечек конфиденциальной информации DLP, является поддержка и выполнение всех требований политики конфиденциальности и безопасности информации, которые существуют в той или иной организации, компании, предприятии.

Схема шлюзовой DLP-системы

Область применения

Практическое применение DLP систем является наиболее актуальным для тех организаций, где утечка конфиденциальных данных может повлечь за собой огромные финансовые потери, существенный удар по репутации, а также потерю клиентской базы и личной информации. Наличие таких систем обязательно для тех компаний и организаций, которые устанавливают высокие требования к «информационной гигиене» своих сотрудников.

Лучшим инструментом для защиты таких данных, как номера банковских карт клиентов, их банковские счета, сведения об условиях тендеров, заказы на выполнения работ и услуг станут DLP системы – экономическая эффективность такого решение безопасности вполне очевидна.

Базовый функционал самой простой DLP-системы

Виды DLP-систем

Средства, применяемые для предотвращения утечек информации, можно разделить на несколько ключевых категорий:

  1. стандартные инструменты безопасности;
  2. интеллектуальные меры защиты данных;
  3. шифрование данных и контроль доступа;
  4. специализированные DLP системы безопасности.

К стандартному набору безопасности, который должен использоваться каждой компанией, относятся антивирусные программы, встроенные межсетевые экраны, системы выявления несанкционированных вторжений.

Интеллектуальные средства защиты информации предусматривают использование специальных сервисов и современных алгоритмов, которые позволят вычислить неправомерный доступ к данным, некорректное использование электронной переписки и пр.

Кроме этого, такие современные инструменты безопасности позволяют анализировать запросы к информационной системе, поступающие извне от различных программ и сервисов, которые могут играть роль своего рода шпионов.

Интеллектуальные средства защиты позволяют осуществлять более глубокую и детальную проверку информационной системы на предмет возможной утечки информации различными способами.

Шифрование важной информации и использование ограничения доступа к определенным данным – это еще один эффективный шаг к тому, чтобы минимизировать вероятность потери конфиденциальной информации.

Специализированная система предотвращения утечек информации DLP представляет собой сложный многофункциональный инструмент, который способен выявить и предупредить факты несанкционированного копирования и передачи важной информации за пределы корпоративной среды. Эти решения позволят выявить факты доступа к информации без наличия на это разрешения или с использованием полномочий тех лиц, которые такое разрешение имеют.

Специализированные системы используют для своей работы такие инструменты, как:

  • механизмы определения точного соответствия данных;
  • различные статистические методы анализа;
  • использование методик кодовых фраз и слов;
  • структурированная дактилоскопия и пр.;

Рассмотрим сравнение DLP систем Network DLP и Endpoint DLP.

Network DLP – это специальное решение на аппаратном или программном уровне, которое применяется в тех точках сетевой структуры, которые расположены вблизи «периметра информационной среды».

С помощью этого набора инструментов происходит тщательный анализ конфиденциальной информации, которую стараются отправить за пределы корпоративной информационной среды с нарушением установленных правил информационной безопасности.

Endpoint DLP представляют собой специальные системы, которые применяются на рабочей станции конечного пользователя, а также на серверных системах небольших организаций. Конечная информационная точка для этих систем может применяться для контроля как с внутренней, так и внешней стороны «периметра информационной среды».

Система позволяет анализировать информационный трафик, посредством которого происходит обмен данными как между отдельными пользователями, так и группами пользователей.

Защита DLP систем такого типа ориентирована на комплексную проверку процесса обмена данными, включая электронные сообщения, общение в социальных сетях и прочую информационную активность.

Нужно ли внедрять эти системы на предприятия?

Внедрение DLP систем является обязательным для всех компаний, которые дорожат своей информацией и стараются сделать все возможное, чтобы предотвратить случаи ее утечки и потери.

Наличие таких инновационных инструментов безопасности позволит компаниям исключить распространение важных данных за пределы корпоративной информационной среды по всем доступным каналам обмена данными.

Установив у себя DLP-систему, компания получит возможность контролировать:

  • отправку сообщений с использованием корпоративной Web-почты;
  • использование FTP-соединений;
  • локальные соединения с использованием таких технологий беспроводной связи, как WiFi, Bluetooth, GPRS;
  • обмен мгновенными сообщениями при помощи таких клиентов, как MSN, ICQ, AOL и пр.;
  • применение внешних накопителей – USB, SSD, CD/DVD и пр..
  • документацию, которая отправляется на печать с применением корпоративных устройств печати.

В отличие от стандартных решений безопасности, компания, у которой установлена DLP система Securetower или ей подобная, сможет:

  • контролировать все виды каналов обмена важной информацией;
  • выявлять передачу конфиденциальной информации в независимости от того, каким способом и в каком формате она передается за пределы корпоративной сети;
  • блокировать утечку информации в любой момент времени;
  • автоматизировать процесс обработки данных в соответствии принятой на предприятии политикой безопасности.

Использование DLP-систем будет гарантировать предприятиям эффективное развитие и сохранение своих производственных секретов от конкурентов и недоброжелателей.

Пример внедрения DLP-системы

Как происходит внедрение?

Чтобы установить у себя на предприятии в 2017 году DLP систему следует пройти несколько этапов, после реализации которых предприятие получит эффективную защиту своей информационной среды от внешних и внутренних угроз.

На первом этапе внедрения осуществляется обследование информационной среды предприятия, что включает в себя следующие действия:

  • изучение организационно-распорядительной документации, которая регламентирует информационную политику на предприятии;
  • изучение информационных ресурсов, которые используются предприятием и его сотрудниками;
  • согласование перечня информации, которая может относиться к категории данных с ограниченным доступом;
  • обследование существующих способов и каналов передачи и приема данных.

По итогам обследования составляется техническое задание, которое будет описывать те политики безопасности, которые нужно будет реализовать, используя DLP-систему.

На следующем этапе следует регламентировать юридическую сторону использования DLP-систем на предприятии. Важно исключить все тонкие моменты, чтобы потом не было судебных исков со стороны сотрудников в плане того, что компания за ними следит.

Уладив все юридические формальности, можно приступать к выбору продукта информационной безопасности – это может быть, например, DLP система Infowatch или любая иная с подобного рода функциональными возможностями.

После выбора подходящей системы можно приступать к ее установке и настройке для продуктивной работы. Настраивать систему следует таким образом, чтобы обеспечить выполнение всех задач безопасности, обусловленных в техническом задании.

Заключение

Внедрение DLP-систем достаточно сложное и кропотливое занятие, которое требует достаточно много времени и ресурсов.

Но не стоит останавливаться на полпути – важно пройти все этапы в полной мере и получить высокоэффективную и многофункциональную систему защиты своей конфиденциальной информации.

Ведь потеря данных может обернуться огромным ущербом для предприятия или компании как в финансовом плане, так и в плане ее имиджа и репутации в потребительской среде.

DLP-системы | DLP-системы – что это такое и как это работает

Что такое dlp системы и их сравнение: определение и применение?

Сегодня рынок DLP-систем является одним из самых быстрорастущих среди всех средств обеспечения  информационной безопасности. Впрочем, отечественная ИБ-сфера пока не совсем успевает за мировыми тенденциями, в связи с чем у рынка DLP-систем в нашей стране есть свои особенности.

Что такое DLP и как они работают?

Прежде чем говорить о рынке DLP-систем, необходимо определиться с тем, что, собственно говоря, подразумевается, когда речь идёт о подобных решениях. Под DLP-системами принято понимать программные продукты, защищающие организации от утечек конфиденциальной информации. Сама аббревиатура DLP расшифровывается как Data Leak Prevention, то есть, предотвращение утечек данных.

Подобного рода системы создают защищенный цифровой «периметр» вокруг организации, анализируя всю исходящую, а в ряде случаев и входящую информацию.

Контролируемой информацией должен быть не только интернет-трафик, но и ряд других информационных потоков: документы, которые выносятся за пределы защищаемого контура безопасности на внешних носителях, распечатываемые на принтере, отправляемые на мобильные носители через Bluetooth и т.д.

Поскольку DLP-система должна препятствовать утечкам конфиденциальной информации, то она в обязательном порядке имеет встроенные механизмы определения степени конфиденциальности документа, обнаруженного в перехваченном трафике.

Как правило, наиболее распространены два способа: путём анализа специальных маркеров документа и путём анализа содержимого документа.

В настоящее время более распространен второй вариант, поскольку он устойчив перед модификациями, вносимыми в документ перед его отправкой, а также позволяет легко расширять число конфиденциальных документов, с которыми может работать система.

«Побочные» задачи DLP

Помимо своей основной задачи, связанной с предотвращением утечек информации, DLP-системы также хорошо подходят для решения ряда других задач, связанных с контролем действий персонала.

Наиболее часто DLP-системы применяются для решения следующих неосновных для себя задач:

  • контроль использования рабочего времени и рабочих ресурсов сотрудниками;
  • мониторинг общения сотрудников с целью выявления «подковерной» борьбы, которая может навредить организации;
  • контроль правомерности действий сотрудников (предотвращение печати поддельных документов и пр.);
  • выявление сотрудников, рассылающих резюме, для оперативного поиска специалистов на освободившуюся должность.

За счет того, что многие организации полагают ряд этих задач (особенно контроль использования рабочего времени) более приоритетными, чем защита от утечек информации, возник целый ряд программ, предназначенных именно для этого, однако способных в ряде случаев работать и как средство защиты организации от утечек. От полноценных DLP-систем такие программы отличает отсутствие развитых средств анализа перехваченных данных, который должен производиться специалистом по информационной безопасности вручную, что удобно только для совсем небольших организаций (до десяти контролируемых сотрудников).

«СёрчИнформ КИБ» выполняет не только основные, но и побочные задачи DLP. В ее основе – концепция Money Loss Prevention (предотвращение финансовых потерь). Программа работает на упреждение ИБ-инцидентов, которые нередко обходятся компаниям дорого.    

Классификация DLP-систем

Все DLP-системы можно разделить по ряду признаков на несколько основных классов. По способности блокирования информации, опознанной как конфиденциальная, выделяют системы с активным и пассивным контролем действий пользователя.

Первые умеют блокировать передаваемую информацию, вторые, соответственно, такой способностью не обладают. Первые системы гораздо лучше борются со случайными утечками данных, но при этом способны допустить случайную остановку бизнес-процессов организации, вторые же безопасны для бизнес-процессов, но подходят только для борьбы с систематическими утечками.

Ещё одна классификация DLP-систем проводится по их сетевой архитектуре. Шлюзовые DLP работают на промежуточных серверах, в то время как хостовые используют агенты, работающие непосредственно на рабочих станциях сотрудников. Сегодня наиболее распространенным вариантом является совместное использование шлюзовых и хостовых компонентов.

«СёрчИнформ КИБ» может быть установлена на одной из двух платформ – сетевой или агентской. При этом основные функции программы доступны в обоих случаях в полном объеме.

 Мировой рынок DLP

В настоящее время основными игроками мирового рынка DLP-систем являются компании, которые широко известны другими своими продуктами для обеспечения информационной безопасности в организациях.

Это, прежде всего, Symantec, McAffee, TrendMicro, WebSense. Общий объём мирового рынка DLP-решений оценивается в 400 млн долларов, что совсем немного по сравнению с тем же рынком антивирусов.

Тем не менее, рынок DLP демонстрирует бурный рост: ещё в 2009 году он оценивался немногим более 200 млн.

Перспективы и тенденции

Главной тенденцией, как полагают эксперты, является переход от «заплаточных» систем, состоящих из компонентов от различных производителей, решающих каждый свою задачу, к единым интегрированным программным комплексам.

Причина подобного перехода очевидна: комплексные интегрированные системы избавляют специалистов по информационной безопасности от необходимости решать проблемы совместимости различных компонентов «заплаточной» системы между собой, позволяют легко изменять настройки сразу для больших массивов клиентских рабочих станций в организациях, а также позволяют не испытывать сложностей при переносе данных из одного компонента единой интегрированной системы в другой. Также движение разработчиков к интегрированным системам идёт в силу специфики задач обеспечения информационной безопасности: ведь если оставить без контроля хотя бы один канал, по которому может произойти утечка информации, нельзя говорить о защищенности организации от подобного рода угроз.

Западные производители DLP-систем, пришедшие на рынок стран СНГ, столкнулись с рядом проблем, связанных с поддержкой национальных языков. Поскольку рынок СНГ весьма интересен западным вендорам, сегодня они ведут активную работу над поддержкой русского языка, которая является основным препятствием для их успешного освоения рынка.

Ещё одной важной тенденцией в сфере DLP является постепенный переход к модульной структуре, когда заказчик может самостоятельно выбрать те компоненты системы, которые ему необходимы (например, если на уровне операционной системы отключена поддержка внешних устройств, то нет необходимости доплачивать за функциональность по их контролю). Важную роль на развитие DLP-систем будет оказывать и отраслевая специфика – вполне можно ожидать появление специальных версий известных систем, адаптированных специально для банковской сферы, для госучреждений и т.д., соответствующих запросам самих организаций.

Немаловажным фактором, влияющим на развитие DLP-систем, является также распространение ноутбуков и нетбуков в корпоративных средах. Специфика лэптопов (работа вне корпоративной среды, возможность кражи информации вместе с самим устройством и т.д.

) заставляет производителей DLP-систем разрабатывать принципиально новые подходы к защите портативных компьютеров. Стоит отметить, что сегодня лишь немногие вендоры готовы предложить заказчику функцию контроля ноутбуков и нетбуков своей DLP-системой.

Типы DLP-решений. Их достоинства и недостатки

Что такое dlp системы и их сравнение: определение и применение?

Существует несколько признаков, использующихся для деления DLP-систем на группы. Но, чаще всего, используется один из них – сетевая архитектура. Согласно нему все DLP-решения могут быть разделены на две большие категории: шлюзовые и хостовые. Что это значит? Какой вариант лучше и почему? Сегодня мы ответим на эти и многие другие вопросы.

1. Введение

2. Шлюзовые DLP-системы

3. Хостовые DLP-системы

4. Современные тенденции или универсализация DLP-систем

5. Выводы

Введение

Современные DLP-системы обладают огромным количеством параметров и характеристик, которые обязательно необходимо учитывать при выборе решения для организации защиты конфиденциальной информации от утечек. Но самым, пожалуй, важным из них является используемая сетевая архитектура. Согласно этому параметру продукты рассматриваемого класса подразделяются на две большие группы: шлюзовые и хостовые.

В первых используется единый сервер, на который направляется весь исходящий сетевой трафик корпоративной информационной системы. Этот шлюз занимается его обработкой в целях выявления возможных утечек конфиденциальных данных.

Второй вариант основан на использовании специальных программ – агентов, которые устанавливаются на конечных узлах сети – рабочих станциях, серверах приложений и пр.

У каждого из этих подходов были свои приверженцы. Так, например, одна из наиболее известных российских DLP-систем – “Дозор Джет” начинала свой жизненный цикл именно как шлюзовое решение. Это же можно сказать и о многих других популярных в нашей стране решениях: InfoWatch Traffic Monitor, Websense Data Security, McAfee Data Loss Prevention и FalconGaze SecureTower.

И очень долгое время, практически до 2012 года, в ней использовался только такой подход. Другие известные отечественные DLP-системы, например, DeviceLock и Zlock, изначально позиционировались исключительно как хостовые решения.

Долгое время хостовые и шлюзовые DLP-системы развивались параллельно, никак не пересекаясь друг с другом.

При этом они предназначались для защиты от разных типов угроз: шлюзовые применялись для контроля сетевого трафика, а хостовые – для мониторинга локальных устройств, которые могут использоваться для переноса информации.

Таким образом, для полноценной защиты корпоративной сети необходимо было совместное использование двух решений.

Однако, в последнее время, ситуация на рынке DLP-систем достаточно сильно изменилась. И, поэтому, сегодня мы подробно поговорим о том, что же такое современная шлюзовая и хостовая DLP-система, а также рассмотрим какие у них есть достоинства и недостатки.

Шлюзовые DLP-системы

Как мы уже говорили, шлюзовые DLP-системы основаны на использовании шлюзов – централизованных серверов обработки пересылаемого на них сетевого трафика.

Область использования таких решений ограничена самим принципом их работы Иными словами, шлюзовые системы позволяют защищаться лишь от утечек информации через протоколы, используемые в традиционных интернет-сервисах: HTTP, FTP, POP3, SMTP и пр.

При этом контролировать происходящее на конечных точках корпоративной сети с их помощью невозможно.

Описанный выше подход обладает целым рядом достоинств. Начать нужно с легкости ввода в эксплуатацию, обслуживания и управления. Шлюз обычно разворачивается на отдельном сервере или обычном ПК (в небольших сетях), который может устанавливаться между рабочими станциями корпоративной сети и прокси-сервером.

В этом случае весь сетевой трафик сначала поступает в DLP-систему, которая может либо пропустить, либо заблокировать его. Пропущенные пакеты передаются на прокси-сервер и дальше в Интернет. Таким образом, от ИТ-персонала требуется только настроить DLP-продукт и перенаправить трафик с рабочих станций на него.

Функциональная схема шлюзового решения, работающего в режиме блокирования, представлена на рисунке 1.

Рисунок 1: Функциональная схема шлюзового решения, работающего в режиме блокирования

Существует и другой вариант внедрения шлюзовой DLP-системы. Согласно нему она обрабатывает не прямой, а дублированный трафик. При этом система защиты может работать только в режиме мониторинга.

В нем подозрительный трафик не блокируется, а  сохраняется в журнале для последующего его анализа сотрудниками отдела информационной безопасности. В этом случае процесс внедрения оказывается еще проще.

Нужно лишь настроить DLP-систему и направить на него трафик, например, с помощью управляемого коммутатора с портом дублирования.

Функциональная схема шлюзового решения, работающего в режиме мониторинга, представлена на рисунке 2.

Рисунок2: Функциональная схема шлюзового решения, работающего в режиме мониторинга

Казалось бы, первая схема, которая позволяет не только выявлять, но и предотвращать утечки конфиденциальной информации, однозначно лучше. Однако, на самом деле, ее применяют относительно редко. Проблема заключается в существенном снижении канала связи, для контроля которого используется DLP-система. Здесь возникает два риска.

Во-первых, это возможность ложного срабатывания, когда блокируется легально передаваемые данные. Во-вторых, риск отказа самой DLP-системы (а это случается, особенно при высоких нагрузках), при котором будет перекрыт весь канал. Таким образом, первая схема может повлиять на непрерывность бизнес-процессов компании.

И, поэтому, ее используют реже простого мониторинга сетевого трафика и почти никогда не применяют в крупных организациях.

Использование в шлюзовой DLP-системе лишь одного компьютера заметно облегчает ее обслуживание. Все правила обработки трафика и используемые политики применяются один раз, после чего сразу начинают действовать для всех сотрудников организации.

Другим преимуществом шлюзовых DLP-систем является высокая степень защищенности от несанкционированного вмешательства в ее работу со стороны пользователей корпоративной сети – отключения, изменения политик безопасности и пр. Работая на отдельном сервере, она недоступна никому, кроме обслуживающего персонала и сотрудников отдела информационной безопасности.

Недостатки шлюзовых DLP-систем. Помимо ограниченной области применения к ним относится проблематичность контроля некоторых видов сетевого трафика.

Особенно большие сложности возникают с зашифрованными сетевыми пакетами, передаваемыми по протоколам семейства SSL.

Также можно отметить невозможность перехвата трафика системы Skype (в ней также используется шифрование трафика), которая в последнее набирает популярность в нашей стране.

Хостовые DLP-системы

Хостовые DLP-системы основаны на использовании специальных агентов, которые инсталлируются на конечных точках корпоративной сети. Эти программы играют сразу две роли. С одной стороны они контролируют деятельность пользователей компьютеров, не позволяя им выходить за рамки установленной политики безопасности (например, запрещая копировать любые файлы на “флешки”).

А, с другой, регистрируют все действия операторов и передают их в централизованное хранилище, позволяя сотрудникам отдела информационной безопасности получить полную картину происходящего.

Использование программ-агентов ограничивает сферу применения хостовых DLP-систем: они способны видеть лишь локальные или сетевые устройства, подключенные непосредственно к тем компьютерам, на которых они работают.

Функциональная схема хостового DLP-решения представлена на рисунке 3.

Рисунок 3: Функциональная схема хостового DLP-решения

К достоинствам хостовых DLP-систем относятся широкие возможности по контролю пользователей.

Работая непосредственно на конечных станциях корпоративной сети, они могут не только контролировать «несетевые» каналы утечки конфиденциальной информации, но и выполнять целый набор других функций.

Некоторые разработчики DLP-систем используют эту возможность, например, для выявления случаев нецелевого использования компьютеров работниками.

Основным недостатком хостовых DLP-систем является более сложный процесс внедрения в эксплуатацию и последующее администрирование.

При их развертывании необходимо не только установить и настроить серверный компонент, но и инсталлировать программу-агента на каждый компьютер корпоративной сети. Конечно, обходить каждый ПК и вручную запускать на нем дистрибутив не придется.

Разработчики DLP-систем предлагают способы автоматизированной установки агентов. Чаще всего используются возможности серверного компонента или групповые политики Windows.

Все вышесказанное справедливо и для администрирования системы защиты. Для работы агенты используют политики, загруженные непосредственно на локальные компьютеры, на которых они установлены.

Таким образом, при любом изменении правил безопасности администратору необходимо обеспечить их распространение на все конечные станции сети.

Осуществляется это обычно опять же с помощью серверного компонента или групповых политик Windows.

Также можно отметить меньшую защищенность хостовых DLP-систем от несанкционированного вмешательства в их работу со стороны пользователей сети. Работая на компьютере, к которому сотрудник организации имеет непосредственный доступ (а зачастую еще и права локального администратора), программа-агент потенциально может быть выгружена из памяти.

В этом случае ПК выпадает из сферы контроля DLP-системы. Естественно, разработчики стараются защитить свои продукты от подобного вмешательства. Для этого используются разные инструменты мониторинга загрузки и непрерывности работы всех установленных агентов с отправкой уведомлений администраторам безопасности при возникновении потенциально опасной ситуации.

Тем не менее, полностью исключить риск вмешательства все равно нельзя.

Современные тенденции или универсализация DLP-системы

В последнее время наблюдается стойкая тенденция к универсализации DLP-систем. На рынке уже не осталось или почти совсем не осталось решений, которые можно было бы назвать сугубо хостовыми или шлюзовыми. Даже те разработчики, которые долгое время развивали лишь какое-то одно направление, добавляют к своим решениям модули другого типа.

Так, например, в три года назад в дополнении к сугубо хостовому решению Zlock компания Zecurion (бывшая SecurIT) выпустила продукт сетевого контроля Zgate. Оба они управляются из единой консоли управления (равно как и другие продукты Zecurion – это одна из “фишек” данного производителя).

Не отстали от своих конкурентов и DeviceLock, которые дополнили свое решение модулем сетевого контроля.

Одними из последних шаги в сторону универсализации сделали производители DLP-решения “Дозор Джет”. Это одна из лидирующих на нашем рынке систем, которая до недавнего времени была исключительно сетевой. Но и она в последней своей версии обзавелась программой-агентом.

Причины перехода к универсализации DLP-решений две. Первая из них – разные области применения у систем разных типов. Как мы уже говорили, хостовые DLP-решения позволяют контролировать всевозможные локальные, а сетевые – интернет-каналы утечки конфиденциальной информации.

Ну, а поскольку в подавляющем большинстве случаев организация нуждается в полной защите, то ей нужно и то, и другое. Продавая же только “чистые” DLP-системы определенного типа, разработчики самостоятельно ограничивают свой рынок и, как следствие этого, недополучают прибыль.

Ведь обычно компании стараются приобретать родственные системы защиты у одного производителя и, желательно, с единым управлением, поскольку это облегчает и удешевляет процесс обслуживания.

Таким образом, универсализация позволяет разработчикам увеличить объемы продаж своих продуктов.

Второй причиной универсализации являются некоторые технологические особенности и ограничения, которые не позволяют сугубо шлюзовым DLP-системам полностью контролировать все необходимые интернет-каналы. В качестве примера можно привести Skype.

Этот инструмент общения в последнее время все активнее используется в бизнес-процессах, в некоторых случаях даже полностью (или почти полностью) вытесняя ICQ. Одним из ключевых особенностей Skype является передача трафика по закрытому протоколу в зашифрованном виде.

В результате чисто шлюзовые DLP-системы не могут контролировать этот потенциально опасный канал – они просто не в состоянии расшифровать перехваченный сетевой трафик. В этом случае на помощь приходит программа-агент, установленная на клиентских компьютерах.

Обладая обширными правами, она может играть роль “шпиона”, перехватывая не только текст сообщений, но и ой трафик и передавая все это непосредственно в базу DLP-системы. Именно такой подход используется, например, в решении Falcongaze SecureTower, InfoWatch Traffic Monitor, а также в упомянутых ранее “Дозор Джет” и Zgate.

Таким образом, можно сделать очень простой вывод. Универсализация DLP-решений выгодна всем. Разработчики обретают дополнительный рынок и могут увеличить объемы продаж своих продуктов.

Ну а конечные пользователи, то есть организации, нуждающиеся в защите от утечек конфиденциальной информации, получают более простые в развертывании и эксплуатации системы, которые могут контролировать действительно все потенциально опасные каналы передачи данных.

Выводы

Сегодня уже можно смело забыть о “чистых” DLP-системах, в которых используется только шлюзовой или хостовый подход. На сегодняшний день уже все наиболее популярные в России решения являются универсальными.  Это выгодно всем. И разработчикам, которые получают возможность увеличить свой доход, и потребителям, которые получают более удобные и надежные системы защиты.

Впрочем, в некоторых случаях действительно можно ограничить систему защиты лишь одной какой-то частью. Так, например, это относится к изолированным сетям, не подключенным к Интернету. В них можно использовать только хостовое DLP-решение.

Такое возможно и в том случае, если применение глобальной сети в организации сильно ограничено как административными мерами, так и техническими средствами. Поэтому радует, что разработчики позволяют приобретать хостовые и шлюзовые DLP-системы независимо друг от друга.

Благо выпускаются они в виде дополнительных модулей, либо в виде отдельных продуктов с единым управлением.
Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.