Журнал "Information Security/ Информационная безопасность" #3, 2021

Некоторые вендоры ста- раются выпустить продукт как можно быстрее, при этом его качество, удобство и надежность оставляют желать лучшего. Преимущество техноло- гически зрелого корпоратив- ного решения заключается в том, что у вендора не будет проблем с его под- держкой и выпуском новой функциональности. Многие организации предпочитают использовать DLP-системы в режиме наблюдения, без активного вмешательства в информа- ционные потоки. В процессе выбора системы, кроме всего прочего, заказчики учи- тывают и свои симпатии к бренду, и рекламируе- мость, и, конечно, стоимость. Тем не менее "под капотом" DLP-систем можно обнаружить много такого, о чем не пишут в рекламных буклетах, при этом цена ошибки достаточно высо- кая. Чтобы избежать ошибок и связанных с ними затрат, ИБ- службам полезно глубже погру- жаться в технические подроб- ности, не ограничиваясь фор- мальным сравнением галочек по списку "фич". На рынке много решений разного уровня зре- лости, и наличие плюса в строке таблицы сравнения не гаранти- рует, что в реальности эта функ- ция работает так, как нужно пользователю. Некоторые вен- доры стараются выпустить про- дукт как можно быстрее, при этом его качество, удобство и надежность оставляют желать лучшего. Преимущество технологиче- ски зрелого корпоративного решения заключается в том, что у вендора не будет проблем с его поддержкой и выпуском новой функциональности. Обычно DLP-системы выби- раются исходя из трех-, а то и пятилетнего горизонта плани- рования, поэтому соответствие текущим требованиям – это не единственный критерий выбора. Надо понимать, куда двигается вендор, и прогнозировать, какие задачи могут возникнуть у вашей компании в среднесроч- ной перспективе. Если вендор сможет за это время только довести продукт до надлежа- щего enterprise-уровня, возмож- но, связываться с ним не стоит. Для каких каналов возможна блокировка по контенту Этот вопрос может показаться странным, ведь буква P в аббре- виатуре DLP означает Prevention. То есть DLP-система по опреде- лению должна предотвращать утечки, а это можно сделать, только заблокировав подозри- тельную операцию. Тем не менее многие организации пред- почитают использовать DLP- системы в режиме наблюдения, без активного вмешательства в информационные потоки. Вся информация сохраняется в архив, и служба безопасности реагирует на утечки постфактум, выявляя нарушителей и приме- няя к ним меры дисциплинарного воздействия. В связи с этим потребность в функциях блоки- ровки отходит на второй план, поскольку активное их исполь- зование и не планируется. Часто такая постановка зада- чи объясняется рисками лож- ноположительных срабатыва- ний или сбоев DLP-системы. Если из-за DLP-системы будет нарушено функционирование электронной почты или какого- то другого жизненно важного сервиса, ущерб репутации ИБ- и ИТ-отделов может быть очень высоким. Однако этот аргумент относится только к незрелым DLP-системам, которые прак- тически невозможно внедрить и настроить так, чтобы они работали без сбоев. При этом потенциальная утечка из-за отсутствия режима блокировки может стоить бизнесу очень дорого. Кроме того, многие руководящие документы (напри- мер, GDPR) прямо требуют иметь защиту от утечек в режи- ме блокировки и предусматри- вают серьезные штрафы для нарушителей. Некоторые каналы, которые контролируются DLP-системами, не позволяют реализовать бло- кировку по сугубо техническим причинам. Например, для мес- сенджеров WhatsApp и Telegram возможен только пассивный мониторинг, в противном случае они не будут работать. Однако вряд ли рассматриваемую DLP- систему можно считать доста- точно зрелой, если в ней нет блокировки по содержимому файлов следующих каналов: электронная почта, внешние USB-диски, принтеры, веб-сер- висы (протоколы HTTP / HTTPS). Где выполняется контентный анализ и применение политик Такой вопрос возникает, пото- му что очень немногие DLP- системы из присутствующих сейчас на рынке изначально создавались как единые пол- ноценные системы с продуман- ной архитектурой. Большинство вендоров начинало с какого-то одного модуля. Далее вокруг этого модуля достраивалось окружение для контроля осталь- ных каналов, и хорошо, если оно было разработано тем же вендором. При таком хаотичном развитии приходилось учиты- вать все ограничения и особен- ности, которые имелись у пер- вого модуля. Естественно, что результат нельзя назвать образ- цом эффективной архитектуры, а это неизбежно сказывается на потребительских характери- стиках продукта. Таким образом, по тому, где выполняется контентный анализ, зачастую можно определить, с чего начиналась история той или 16 • СПЕЦПРОЕКТ Выбор идеальной DLP-системы: 9 вопросов, которые нужно задать вендору LP-системы сегодня стали необходимым, уже обыденным инструментом в арсенале корпоративных служб информационной безопасности, к их выбору подходят достаточно вдумчиво. Имея значительный опыт на рынке DLP, мы решили собрать в этой статье несколько практических вопросов, ответы на которые помогут понять, насколько зрелое решение вы рассматриваете и не получится ли так, что, потратив значительные средства, вы вложитесь в продукт, которому еще далеко до общепринятых стандартов корпоративного ПО. D Алексей Раевский, генеральный директор Zecurion