Журнал "Information Security/ Информационная безопасность" #3, 2019

вместо блокировок. Но компании, кото- рым нужна блокировка, не обойдутся без инструментов расследования и ана- литики. Елена Нагорная – Все же я являюсь сто- ронником противодей- ствия утечкам. Система должна быть настроена так, чтобы проактивные действия были эффек- тивными. Все-таки DLP- решения изначально предназначались именно для этих целей и только потом появились дополнительные возможно- сти, и то преимущественно в решениях российских производителей. Да и цен- ность информации при ее утечке теряет- ся, а для некоторых компаний информа- ция – самый ценный ресурс. Алексей Плешков – Мой опыт работы с DLP указывает на то, что в DLP функции онлайн-блокировки и аналитики в режиме реального времени существенно уступают возможностям ретроспективного анали- за как в ручном, так и в автоматическом режиме. Присутствие в инфраструктуре заказчика дополнительных компонентов, с которыми должна быть интегрирована DLP (например, системы корреляции событий информационной безопасности, комплексные дашборды, внешние учет- ные или аналитические ИБ-системы, визуализаторы и пр.), практически сво- дит к нулю применение собственной (встроенной) онлайн-аналитики в DLP. С другой стороны, если у заказчика нет сложной инфраструктуры и решение DLP внедряется и применяется по схеме Stand-Alone, тогда весь арсенал встроен- ных возможностей DLP, может, и будет применяться и играть важную роль в системе информационной безопасности данной организации. Константин Саматов – Если говорить о DLP- решении, то необходи- мы обе функции. Преж- де всего необходимо предотвращение утечки к о нфи д е н ц и а л ь н о й информации по ошибке (случайная отправка электронного сообщения, содержащего конфиденци- альную информацию). В свою очередь, аналитические инструменты для работы с архивом попадающей в DLP-систему информации важны при выявлении уте- чек информации, связанных с умыш- ленными действиями пользователей. Анатолий Скородумов – DLP-системы прежде всего должны пред- отвращать утечку дан- ных, а уже во вторую очередь помогать раз- бираться с тем, как та или иная утечка могла произойти. Большое количество данных "утекает" в Интернет из-за неумышлен- ных ошибочных действий сотрудников. Гораздо более оптимально предотвра- щать утечку и учить таких пользователей правильному обращению с конфиден- циальной информацией, чем просто фик- сировать утечки и наказывать виновных. Ведь попавшие в Интернет данные со 100% гарантией уже не удалить. Неко- торые специалисты по безопасности считают, что лучше скрывать от сотруд- ников наличие в компании DLP-системы и тайно следить за действиями сотруд- ников. Но это очень быстро становится секретом Полишинеля. Скажу больше, даже если у вас в организации нет DLP- системы, работники все равно будут считать, что служба безопасности про- сматривает всю исходящую почту и любую другую информацию. – Активное продвижение UAM-решений под флагом DLP-систем имеет ли право на жизнь? Насколько эффективны функции мониторинга пользовательской активности? Роман Ванерке – UAM-решения могут эффективно использо- ваться в качестве одного из элементов в системе защиты от утечек. Сергей Вахонин – Функции анализа поль- зовательской активно- сти, от отчетов до снятия и сохранения клавиатур- ного ввода и записи экрана, могут стать весь- ма ценным "довеском" к DLP-системе, если они не являются пер- вичными в реализации системы и пред- назначены прежде всего для сбора дока- зательной базы при расследовании инци- дентов и собственно анализа поведения, выявления аномалий и групп риска. При этом попытки декларировать UAM- системы как решающие задачу пред- отвращения утечек данных – не более чем желание отщипнуть кусочек пирога с рынка DLP-систем, а их эффективность в решении этой задачи строится на психо- логическом факторе и весьма условна. Дмитрий Кандыбович – Мы позиционируемся как система мониторин- га. Если у вас есть цен- ная информация, вы можете загнать ее в определенный периметр и там уже настраивать блокировки. Можно технически забло- кировать ряд каналов и оставить "дырку в заборе", которую контролировать и которой будут пользоваться сотрудни- ки, склонные к нарушениям. Должна быть возможность настройки автомати- ческих алертов. Их можно настраивать как в DLP на контент (слова, словосоче- тания, маски), так и на любое событие. Например, отправка через почту опре- деленного документа в шифрованном архиве. Алерт на аномалии поведения пользователей – тоже очень полезная функция. Алерты должны быть привяза- ны не только к контенту, но и к тем событиям, которые по вашей карте без- опасности считаются неправомерными. Александр Ковалёв – Для UAM-решений, конечно, это имеет право на жизнь, если приносит прибыль. При этом стоит разделять сегменты и масштабы внедрений, ведь редко какой про- дукт мониторинга активности сотрудни- ков справится с производительностью даже агентской части, не говоря уже про сетевой разбор десятков гигабайт тра- фика, оперативный поведенческий ана- лиз (UBA), контроль второстепенных каналов и объединение всей этой инфор- мации в диаграммы связей для мгновен- ного реагирования на инциденты. Алексей Кубарев – Функционал у этих двух классов решений принципиально разный. Системы контроля дей- ствий сотрудников по сути контролируют дей- ствия приложений на рабочих станциях пользователей. Они способны показать, сколько времени использовалось то или иное приложение на рабочей станции, и на этом основании сделать некоторые выводы: выполнял • 33 DLP www.itsec.ru Партнер "Круглого стола" www.rt-solar.ru Реклама