Журнал "Information Security/ Информационная безопасность" #3, 2020

• 37 DLP www.itsec.ru Лицензии впрок Борясь с пандемией, неразумно поку- пать аппараты ИВЛ впрок, не зная пред- положительно, сколько у вас будет легочных больных, и тем более ставить их всем подряд без разбора, чтобы про- сто оправдать их приобретение. Но имен- но так приходится поступать при покупке DLP-лицензий, приобретая их впрок, без какой-либо статистики аналогичных слу- чаев (инцидентов). Даже если: а) проведена оценка рисков в компа- нии (поставлен диагноз, возможно и неправильный); б) руководство сформулировало вам задачу "закрутить гайки" и держать курс на "терзать и трясти собственных сотруд- ников"; это вовсе не означает, что вам выдан карт-бланш на мониторинг всего и вся, а также неограниченный бюджет на эти цели. Покупая DLP-систему, вы должны достаточно точно представлять: l сколько системных агентов вам пона- добится для мониторинга каналов; l логику комбинирования возможностей различных DLP-агентов с другими инструментами системы: механизмами управления инцидентами, парсерами, анализаторами протоколов, перехват- чиками и т.д. Мониторинг соцсетей и удаленный доступ Зачастую корпоративная жизнь – это сонное царство, бесцветное и заре- гулированное. Если бы это было не так, то загруженные на вход искус- ственного интеллекта корпоративные данные на выходе выдавали бы попут- ную рекомендацию: уволить каждого второго. Сейчас фокус определенно смеща- ется в сторону мониторинга соцсетей: без преувеличения можно утверждать, что все проводят там время. Уже про- водились эксперименты, когда ИИ после обучения на высказываниях в Твиттере признавался в ненависти к человечеству. Для мониторинга социальных сетей корпоративная DLP-система бесполез- на, ведь доступ к соцсетям внутри ком- паний, как правило, запрещен. Для этих целей существет достаточно много онлайн-сервисов, в том числе и бес- платных. А кто знал, что в 2020 г. будет прове- дено глобальное тестирование компаний на соблюдение "требований по органи- зации безопасного удаленного доступа" из планов непрерывности деятельности! Корпоративная активность с началом пандемии переместилась на домашние компьютеры. Практика и суровая реаль- ность взяли верх над, казалось бы, незыблемыми устоями информационной безопасности компании. Реагируя на это, корпоративные DLP-системы долж- ны перестроиться под новую задачу – удаленная работа как допустимый фор- мат на постоянной основе. Алексей Дрозд: Мы как раз за то, чтобы "закупать ИВЛ впрок": если не контролировать максимум каналов для всех сотрудников, в защите будут дыры. Тем не менее КИБ позволяет распределить лицензии гибко. Каждый канал конт- ролируется независимо, настройку лицензий по одному модулю необязательно "синхронизировать" с другим. Максим Ксенофонтов: Как показала текущая история с пандемией, страны, которые имели запас аппаратов ИВЛ, оказались в лучшем положении, чем страны без запаса. Нельзя просто взять и поставить еще 200 аппаратов ИВЛ, когда все текущие будут заняты. Хорошая практика – оценить будущие потребности в лицензиях и заранее их заложить при закупке. Ведь будет неприятно остаться без лицензий, напри- мер, при организации и найме нового отдела. Если же подобной возможности нет, то по сложившейся практике закладывается 10% дополнительных лицензий на случай роста. Галина Рябова: Обычно лицензии на защиту каналов коммуникаций закупаются на всех сотрудников компании. Исключение составляют endpoint-агенты. В ряде случаев ком- пании закупают агенты только для контроля групп риска. Сейчас на рынке DLP приняты цивилизованные лицензионные ограничения: при превышении лимита заказчику напоминают о необходимости докупить лицензии, а не отказывают в обслу- живании. Анна Попова: Вопросы бюджетирования и вынужденных ограничений всегда важны. Но практический опыт говорит, что ценность DLP-системы в том, что в ней накапливается бес- ценная информация, польза от которой не только оперативном выявлении инцидентов здесь и сейчас, но и в возможности проведения ретроспективного анализа при внутреннем рас- следовании. Андрей Арефьев: Важно понимать, что DLP-систе- ма – один из кирпичиков в стратегии ИБ. То, насколько кор- ректно составлена стратегия, помогает определить нужный в будущем объем ресурсов: серверов, СХД, количество лицензий. Важна и консультационная поддержка вендора, все это взятое вместе позволяет правильно прогнозировать ресурсы. Владимир Ульянов: Действительно, DLP редко бывает единственным продуктом для корпоративной без- опасности. Наоборот, когда дело доходит до внедрения DLP, уже имеются другие решения. Инсайдерские угрозы, безусловно, важнейшие с точки зрения защиты информации от утечки, но нельзя забывать о проблеме привилегиро- ванных пользователей (решения класса PAM) и внешних угрозах (SWG-решения). DLP – неотъемлемый элемент системы корпоративной безопасности, и здорово, когда он тесно интегрируется с другими важными классами, что позволяет сделать надежную бесшовную защиту от разных типов угроз. Дарья Орешкина: DLP значительно гибче многих других классов систем позволяют организовать покрытие контроля. Часто компании начинают контролировать сначала почту и веб- трафик, затем расширяют контроль endpoint и хранилищ. Дмитрий Кандыбович: Наша задача – понять, какие задачи пытается решить клиент, здесь важен плотный контакт с теми, кто внедряет продукт, так как именно они в первую очередь владеют знанием о том, что у них есть сейчас. И конечно же, наш продукт можно настраивать очень гибко, поэтому, по сути, нам не столь важно – карт- бланш, не карт-бланш, мы поможем с настройкой так, как нужно клиенту. Комментарии экспертов

RkJQdWJsaXNoZXIy Mzk4NzYw