Журнал "Information Security/ Информационная безопасность" #3, 2021

Большую роль играет служба поддержки вендора: она должна не только решать технические пробле- мы, но и передавать лучшие практики. Для тех, у кого в штате просто некому работать с системой, мы запустили услугу – аутсорсинг DLP. – Нет, не неизбежное. Ниже определенного уровня загрузки опуститься, конечно, невозмож- но, но системы сильно разли- чаются по "прожорливости", потому что разработчики по- разному подходят к оптимиза- ции работы DLP-систем. Несмотря на то что вендоры подробно описывают минималь- ные технические требования, во время внедрения может про- изойти неприятный сюрприз. Чем больше объем внедрения, тем более он вероятен. Иде- альный вариант – устраивать полноценный нагрузочный тест (развернуть все модули на мак- симальном количестве компью- теров). Но это не всегда воз- можно. Второй вариант – спра- шивать мнение тех ИБ-специа- листов, у которых стоит DLP- система для схожего с вашим объема машин. Просите рас- сказать откровенно, с какими трудностями столкнулась ком- пания. – Ваша программа насколько требователь- ная к "железу"? – Наша DLP-система всегда была на хорошем счету именно как одна из самых бережных к ресурсам. Но мы продолжаем оптимизацию, в течение нескольких лет это наша прио- ритетная задача. Еще в про- шлом году изменили архитек- туру, что позволило увеличить быстродействие DLP на 30% и расширить спектр решаемых задач, например искать данные в очень больших сетях. Раньше для этого заказчикам приходи- лось выделять большие мощ- ности, размещать дополнитель- ные серверы. В результате нашему КИБу нужно в 2–3 раза меньше серверных ресурсов, чем ближайшим конкурентам. Мы также среагировали на запрос заказчиков и с прошлого года можем развернуть DLP в облаке. – Сколько должно зани- мать внедрение DLP-систе- мы? – Нормальная скорость внед- рения типового пилота – несколько часов. Процесс может затянуться, если клиент ограничивает доступ или у него нет технического специалиста в штате, если у заказчика слож- ная ИТ-инфраструктура. Но в любом случае ненормально, если внедрение занимает неде- ли и уж тем более месяцы. – Еще одна проблема, которую упоминают ИБ- специалисты, – это обилие ложных срабатываний. Можно ли от них изба- виться? – Опытные ИБ-специалисты понимают, что совсем эту про- блему не решить. Лучше разо- брать лишние алерты, чем упу- стить важное. Но это не значит, что вся работа должна превра- титься в рутину. У продвинутых программ число ложных сраба- тываний можно свести к мини- муму за счет гибкой настройки политик безопасности. Важно вовремя остановиться и найти баланс. Например, можно исключить из мошеннической политики срабатывания на слово "кинуть", чтобы не полу- чать ложные алерты "кинь мне деньги на карточку/телефон". Но мы советуем этого не делать, потому что можно пропустить действительно важный инци- дент. В поиске этого баланса боль- шую роль играет служба под- держки вендора: она должна не только решать технические проблемы, но и передавать луч- шие практики. Разработчики с большим опытом отработали огромное количество всевоз- можных кейсов, скорее всего у них уже есть готовый ответ на вашу проблему. – Можно ли как-то облег- чить жизнь ИБ-специали- сту? – Если в DLP-системе есть возможность настроить поли- тики гибко – это сильно снизит процент ложных срабатыва- ний. Поэтому мы всегда обра- щаем внимание на обилие видов поиска, которые реали- зованы в КИБе (их девять). Это значит, что можно настроить политику, учитывая множество нюансов, но при этом до такой степени эффек- тивно, чтобы не пропустить важное. Если один раз посвя- тить время вдумчивой настройке, это сильно сэконо- мит вам время в работе. В нашем случае с настройкой всегда могут помочь менед- жеры внедрения. – Должна ли DLP-систе- ма окупаться? – Мое мнение – не обяза- тельно. Ведь это, по сути, страховка, как КАСКО: не все- гда окупается, но вы платите за спокойствие. Но опыт кол- лег из сферы бизнеса говорит, что DLP окупается, причем очень быстро. Они считают, что система оправдывает себя уже в первый месяц эксплуа- тации. – Но все же бывает так, что DLP оказывается "мертвым грузом", потому что с ней просто некому работать. В условиях кад- рового голода эта пробле- ма только нарастает. – Так и есть. К сожалению, DLP-система – не антивирус, который установил – и работает. Даже в таком режиме DLP будет защищать от утечек данных, отрабатывая по предустанов- ленным политикам безопасно- сти. Но актуальную защиту можно обеспечить, если кор- ректировать политики безопас- ности под новые бизнес-про- цессы, проводить расследова- ния. И если у заказчика нет понимания, что делать с этими данными дальше, он будет использовать от силы 10–20% возможностей DLP. Мы давно работаем над тем, чтобы заказчики умели брать от нашего решения максимум. Так появился учебный центр и сильный отдел внедрения. Он снимает существенную часть забот с заказчика. В результате мы можем развернуть и обес- печить работу DLP-системы независимо от того, какова ква- лификация ИБ-специалистов и укомплектован ли их штат у клиента. На случай, если в штате про- сто некому работать с систе- мой, мы запустили услугу – аутсорсинг DLP. Всякое бывает: специалиста может не быть в штате в принципе, он может уволиться, а может быть пере- гружен. Благодаря аутсорсингу проблема решается очень быстро. Вы получаете не просто временную подмогу, а незави- симого и высококвалифициро- ванного ИБ-специалиста. Эта услуга, как и все описан- ные выше опции, доступна для бесплатного тестирования. Залог успешной работы с DLP – узнать все ее плюсы и минусы до покупки. Сделать это можно, только тестируя ее. l • 21 DLP www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ "СЕРчИНФОРм" см. стр. 72 NM Реклама