Журнал "Information Security/ Информационная безопасность" #3, 2020

Сегодня на рынке присутствуют раз- ные по своей функциональности DLP- системы: l полноценные DLP с большими воз- можностями контроля и блокировки передачи информации и анализа дан- ных; l системы с частичным функционалом DLP, которые могут отследить переме- щение данных, но не могут предотвратить утечку; l системы другого класса со встроенным модулем DLP. Разные системы решают различный спектр задач. Для того чтобы разобрать- ся в этом, важно понимать, как они эво- люционировали. Эволюция DLP Изначально DLP-рынок возник из про- блемы Compliance (выполнение требо- ваний законодательства), в частности с того момента, когда регуляторы обра- тили внимание на утечки информации в компаниях и разработали ряд законов и отраслевых стандартов относительно защиты информации от внутренних угроз, которых нужно было каким-то образом придерживаться. Для решения задачи информационной безопасности вендоры предоставили бизнесу специ- альный инструмент – DLP-систему. Второй этап разработки – DLP для защиты коммерческой тайны. Если рань- ше системой пользовались организации, в основном оперирующие персональны- ми и финансовыми данными клиентов, то в дальнейшем у этих же организаций возник спрос на защиту собственной коммерческой информации. Это дало толчок для пересмотра концепции DLP и ее переформатирования в более слож- ную систему для максимального конт- роля каналов передачи данных. Следующим шагом стала DLP для внутренней безопасности, то есть систе- ма уже не только предотвращала утечку информации, но и позволяла детально анализировать информацию и выявлять инциденты. Возможности такой DLP отчасти пополнились функционалом других классов ИБ-систем, таких как платформы для расследования инци- дентов и даже SOC. Данный класс DLP начал формироваться относительно недавно. Это означает, что пока на рынке не так много разработчиков, готовых предложить клиентам возмож- ность полноценно анализировать дан- ные и события. DLP как класс ИБ-решений в силу своей специфики и задач окупается не сразу, и у бизнеса возникают вопросы по поводу обоснования использования и эффектив- ности системы. В итоге вендоры стали наращивать свои компетенции, чтобы пре- доставить заказчику не просто инструмент для предотвращения утечки информации, а конкретное решение бизнес-задач, кото- рое будет приносить видимые результаты уже на ранних стадиях использования, например выявлять корпоративные пре- ступления как в режиме реального вре- мени, так и ретроспективно. Новое поколение DLP – борьба с корпоративными мошенниками После того как полноценные DLP созрели в своих аналитических возмож- ностях по выявлению инцидентов, вен- доры обратили внимание на применение системы для борьбы с мошенничеством в компаниях, в том числе с экономиче- скими преступлениями. Архив большого количества информации о пользовате- лях, собранной DLP-решением, анализ действий сотрудников и предоставление специалистам службы информационной безопасности максимального количества инструментов – одни из основных век- торов развития DLP Next Generation. Какими характеристиками должна обла- дать DLP-система нового поколения? Полный архив файлов, событий, инцидентов Во-первых, такие системы ведут пол- ный архив передаваемых и найденных файлов, событий и инцидентов, в отли- чие от предыдущих поколений DLP, которые фиксировали только случаи несоблюдения политик безопасности. Благодаря возможности системы фик- сировать и сохранять такую детальную информацию департамент безопасности может видеть как общую картину состоя- ния защищенности предприятия, так и детально расследовать инциденты внутренней безопасности вплоть до составления досье на сотрудника и его круг общения. Управление и расследование Удобство управления и широкие воз- можности по расследованию инциден- тов – одни из важнейших показателей современной DLP-системы. Речь идет о наличии единого для всех компонентов DLP веб-интерфейса с возможностью построения различных отчетов, начиная от досье сотрудников со списком их взаимодействий с другими пользовате- лями и заканчивая специальным отчетом для топ-менеджеров компании. То же самое относится и к админи- стрированию. Несмотря на стремитель- ное развитие системы, до сих пор голов- ной болью администраторов остается управление несколькими консолями с разными настройками для каждого модуля DLP у некоторых вендоров. Аналогичная ситуация с установкой. Если раньше на нее требовалось много времени, то сегодня есть возможность максимально упростить внедрение в почти любую инфраструктуру. Напри- мер, у Zecurion есть собственный сервер установки, который позволяет заказчику самостоятельно управлять внедрением, обновлением и обслуживанием системы без привлечения ИТ-департамента, использования групповых политик доме- на или других решений. Поведенческий анализ (UBA) Новый уровень DLP-систем представ- ляет собой совокупность основных воз- можностей перехвата и блокировки пере- дачи данных и функционала других клас- сов ИБ-решений, например поведенче- 16 • СПЕЦПРОЕКТ DLP-системы нового поколения известной аббревиатуре DLP (Data Loss Prevention) обозначена непосредственная задача, которую решает данная система, а именно – защищает от утечек конфиденциальной информации. Сегодня же в какой-то мере система DLP является “заложницей" своей аббревиатуры, ведь современная система нового поколения – DLP Next Generation – уже не только решает задачу по предотвращению умышленных и случайных утечек, но и помогает бизнесу справляться сразу с несколькими глобальными проблемами. Что же из себя представляет система DLP Next Generation и какие решает задачи? В Ксения Головко, специалист по внешним коммуникациям Zecurion