Журнал "Information Security/ Информационная безопасность" #3, 2021

В отечественной корпо- ративной среде проблема использования DLP-системы возникает весьма часто, при этом она может иметь раз- ные аспекты. Если DLP-система не поддерживает размеще- ние собственных серверных модулей в облачной среде, это в какой-то момент может стать неприятным сюрпризом. Поддержка нескольких endpoint-платформ также является признаком солид- ной DLP-системы. DLP должны в первую очередь решать реальные производственные задачи. Наиболее зрелые вендоры предлагают еще собственный прокси-сервер, который обес- печивает интеграцию с DLP- системой для контроля HTTP- и HTTPS-трафика. Поддерживает ли облачную инфраструктуру В отечественной корпоратив- ной среде проблема использо- вания DLP-системы возникает весьма часто, при этом она может иметь разные аспекты. Во-первых, иногда требуется установить серверные компо- ненты DLP-системы в облаке. Такое случается, как правило, на "пилотах" или у небольших организаций. Все-таки архив DLP-системы хранит в себе все корпоративные секреты, и раз- мещать его в неконтролируемой среде рискнут немногие. Тем не менее, если DLP-система не поддерживает размещение собственных серверных моду- лей в облачной среде, это в какой-то момент может стать неприятным сюрпризом. Второй аспект – контроль облачных хранилищ и сервисов. Речь тут может идти как о банальной выгрузке файла с конфиденциальной информа- цией в облако, так и о более сложных схемах, например, когда организация использует почтовые сервисы Office 365 или G Suite. Здесь есть много нюансов и возникающих из-за них проблем. Скажем, для выгрузки файлов в облачные хранилища могут использовать- ся веб- или "толстые" клиенты. Та же история с почтовыми службами: для доступа к ним можно использовать как брау- зерный клиент, так и классиче- ский, например Microsoft Outlo- ok. И для каждого варианта приходится применять различ- ные протоколы и разные вари- анты внедрения. При использо- вании облачных хранилищ в организации также необходи- мо обеспечить их регулярное сканирование DLP-системой для выявления хранящейся там конфиденциальной информа- ции. Для подобных задач появился целый класс реше- ний – CASB (Cloud Access Secu- rity Broker, брокер безопасности облачного доступа), сути решае- мых задач эти системы концеп- туально очень близки к DLP. Так или иначе, подобные задачи необходимо решать, поэтому соответствующая функциональ- ность будет появляться и в DLP- системах. Интеграция с другими корпоративными системами Здесь речь, конечно, не идет об интеграции с Microsoft Active Directory, которая должна быть реализована в любой совре- менной DLP-системе. Чаще всего при внедрении DLP-систе- мы бывает полезно, если под- держивается интеграция с ниже- перечисленными классами ПО. 1. Управление информацией и событиями сферы безопас- ности (SIEM). Это, пожалуй, наи- более частый вопрос о совме- стимости, что вполне объясни- мо: сейчас постройка центров SOC – одна из самых горячих тем в ИБ и всем хочется, чтобы события из DLP попадали в поле зрения SIEM. В принципе большинство SIEM-систем умеют самостоятельно загру- жать информацию из базы дан- ных DLP, но гораздо удобнее, если DLP-система поддержива- ет Syslog, CEF и другие подоб- ные протоколы. В этом случае при настройке DLP-системы можно более гибко управлять тем, какая информация и в каком виде будет попадать в базу данных SIEM, и доби- ваться большей эффективно- сти. 2. Управление правами доку- ментов (EDRM). Чаще всего в этом контексте упоминается Microsoft RMS. В принципе системы DLP и управления пра- вами удачно дополняют друг друга по функциональности и обеспечивают более надеж- ную защиту, если правильно развернуты и настроены. В этом случае DLP-система понимает политики документов RMS, и их можно использовать в полити- ках DLP, при поиске в архиве, построении отчетов и т.д. Кроме этого, DLP-система может сама применять политики RMS по конкретным правилам, напри- мер при обнаружении опреде- ленного контента. 3. Системы классификации данных. Наиболее совершенные DLP-системы понимают метки в свойствах документов, кото- рые проставляют системы клас- сификации данных, такие как TITUS, Bolden James и т.п., и позволяют их использовать в политиках. В этом случае можно извлечь двойную выгоду из уже потраченных усилий на работы по классификации дан- ных. Впрочем, в наших широтах такие системы встречаются не так уж и часто, в основном у крупных корпоративных заказ- чиков. Мультиплатформенность Поддержка нескольких end- point-платформ также является признаком солидной DLP-систе- мы. Самые простые решения предлагают агентский модуль только для Windows. Однако сегодня этого может быть уже недостаточно. Давно взятый политический курс на импорто- замещение может привести к массовому переходу на один из клонов Linux в обозримом будущем. Понятно, что связан- ная с этим замена DLP-систе- мы – самая маленькая боль при решении данной проблемы. Тем не менее стоит отметить, что уже сегодня есть более зре- лые продукты, в которых агент работает и на Linux, и на Mac. Выводы Как мы увидели, DLP-систе- мы развивались неоднородно, что может сказываться и на степени целостности системы как слаженно работающего механизма, и на наличии под- держки отдельных каналов рас- пространения информации, и на объеме данных, которые необходимо передавать по каналам связи для функциони- рования системы. Конечно, в современном мире также имеют значение и страна про- исхождения используемого про- граммного продукта, и цена решения, и стоимость владения им. Но всё же DLP должны в первую очередь решать реальные производственные задачи и по возможности рабо- тать не только в режиме мони- торинга. l 18 • СПЕЦПРОЕКТ Отдельно следует сказать о поддержке мобильных устройств на базе iOS и Android. О ней часто спрашивают, но, к сожалению, реализовать полноценный агент для смартфонов и планшетов, особенно от компании Apple, практически невозможно по объективным техническим причинам. С другой стороны, при реализации стратегии BYOD можно (и нужно) использовать решение класса Mobile Device Management. Оно позволит задействовать встроенные возможности мобильной ОС, настроить политики конфиденциальности и снизить риск утечки через гаджеты до приемлемого уровня. АДРЕСА И ТЕЛЕФОНЫ Zecurion см. стр. 72 NM Реклама