Журнал "Information Security/ Информационная безопасность" #3, 2020

Что за "зверь" такой – DLP-система в 2020 году Период, когда вендоры могли диктовать заказчикам, какой должна быть DLP- система, был непродолжительным и канул в Лету. С тех пор ситуацией владеют кли- енты, а разработчики развивают продукты под их пристальным вниманием. Это пошло рынку на пользу. Совре- менные DLP-системы не сравнить с ран- ними версиями. Теперь программы умеют выполнять даже смежные функ- ции: eDiscovery, Time Tracking, Risk Management, криптозащиты информации, аудита ИТ-инфраструктуры, контроля привилегированных пользователей и др. С помощью программы заказчик может: 1. Проводить мониторинг перемеще- ния информации по всем каналам, в том числе в облачных хранилищах, мессенд- жерах с шифрованием End-to-End (Telegram, WhatsApp, Viber), программах удаленного соединения (TeamViewer и аналоги). 2. Анализировать полученную в ходе мониторинга информацию. Система должна "вылавливать" любые нарушения даже самых специфических политик безопасности. В продвинутых DLP реа- лизованы всевозможные варианты поиска, которые можно использовать по отдельности и в любой комбинации. Система должна уметь анализировать все популярные типы файлов, на любом языке. 3. Проводить подробные расследова- ния, в том числе ретроспективные. Боль- шинство корпоративных преступлений совершаются в электронном виде и оставляют цифровые следы. DLP-систе- мы должны уметь находить причины, участников, последствия инцидентов. Поэтому нужно, чтобы программа делала теневое копирование, создавала архивы, позволяла поднимать информацию об активности пользователей в программах и процессах. Сейчас DLP-системы – функционально зрелые продукты, и вендоры все больше внимания уделяют оптимизации и эко- номичности софта. Эти изменения программ сейчас осо- бенно востребованы, потому что бизнесы стремятся урезать любые лишние траты. Но все же главные изменения касаются форматов работы с DLP-системами: они позволяют заказчикам еще серьезнее оптимизировать бюджеты на внутрен- нюю безопасность. DLP в облачном формате Это хоть и не новый формат, но до последнего времени не широко распро- страненный. Сейчас его стали применять чаще. Не только по экономическим соображениям, но и потому что рынок предлагает более защищенные техно- логии. Крупные облачные провайдеры подчиняются жестким нормативам, используют механизмы защиты, которые недоступны среднему бизнесу, гораздо устойчивее к DDoS-атакам. Клиенты тоже стали доверять облакам больше. 22 • СПЕЦПРОЕКТ "DLP уже не та" Как меняется функционал и формат работы с системой ынок DLP-систем, каким его помнят старожилы, выглядел совсем не так, как сегодня. Программы были громоздкими и имели скромные возможности. Внедрение занимало около полугода, для настройки требовалось привлекать лингвистов. А за тестирование еще надо было платить. То есть DLP на старте – это такой “космический корабль” (долго, дорого, с непонятным эффектом), который был доступен только крупному бизнесу. Системы изменились, их применение стало более массовой практикой. Но порог вхождения в “клуб” пользователей DLP продолжает снижаться и сегодня, благодаря новым форматам работы с программой. Р Рис.1. Схема работы "СёрчИнформ КИБ" в облаке Мы в "СёрчИнформ" тоже ориентируемся на потребности практиков. Переработали архитектуру, что повысило производительность на 30%, и заказчикам приходится тратиться на "железо" меньше. Постоянно делаем доработки, чтобы не перегружать базу перехвата (например, применяя дедупликацию, кодеки для сжимания аудио, запись видео с экранов пользователей в выбранном качестве, в процентах от оригинала), вводим настройки и работаем над распределением нагрузки, чтобы не тормозили ПК пользователей.