Журнал "Information Security/ Информационная безопасность" #3, 2021

38 • СПЕЦПРОЕКТ Владимир Ульянов, Zecurion: Когда заказчик сталки- вается с трудностями обновления агентов или поддержки DLP, скорее всего, это индикатор технического несовершенства продукта. Операции установки и обновления агентов должны производиться плавно и бесшовно, со средствами автоматиза- ции. Если же обновления встают криво, если для этого нужно бегать по компьютерам и устанавливать вручную, это вообще не enterprise-продукт, не стоит его рассматривать для исполь- зования в корпоративной среде, либо нужно задуматься о ско- рейшей замене. Дмитрий Горлянский, Гарда Технологии: Процесс перехода с одной системы на другую планируется заранее, с обязательной разбивкой на этапы и контрольными точ- ками. Анна Попова, Infosecurity: Да, нельзя утверждать, что DLP всегда и везде работает на 100%. Все же такой класс решений довольно сложный, но и нельзя сказать, что при обновлении система прекращает функционировать. Старая версия в любом случае работает должным образом, а значит система выполняет свою функцию. Самое плохое, что может произойти во время обновлений, – это временное ограничение по новым возможностям версии. В таких случаях просто необходимо удостовериться в том, что пользователи переза- грузили свои рабочие станции. Александр Клевцов, InfoWatch: Было бы здорово, если б автосервис осуществлял техническое обслуживание машины на ходу, но он этого не делает. Так и здесь: правильное планирование обновлений помогает предотвратить проблему. Также важно, чтобы агенты всех решений работали совместимо и стабильно. С нашей точки зрения, недопустимо, чтобы агенты отваливались или их приходилось отключать при кон- фликте с другими приложениями. Алексей Кубарев, Ростелеком-Солар: В нашей систе- ме основной функционал вынесен на серверную часть, но у нас есть и свой агент. В случае работы агента в режиме бло- кировки перезагрузка необходима ввиду встраивания агента в драйверы и библиотеки операционной системы и контроли- руемого ПО. К сожалению, другого способа не существует. Если же агент работает только в режиме мониторинга, то можно его обновить и без перезагрузки. Работа разных версий агента в принципе возможна, но у наших заказчиков редко такое встречается: для поддержки новой версии агента может потребоваться обновление и серверной части системы, так как они связаны. Алексей Дрозд, СёрчИнформ: Мы разработали два режима обновлений на выбор, оба исключают вероятность остановки работы DLP. В первом режиме на ПК пользователя фоново устанавливается новая версия агента, но она "спит" до следующей перезагрузки. Старая версия продолжает работать, перехват не останавливается. В случае, если обновление кри- тичное (а мы об этом предупреждаем), можно принудительно перезагрузить пользовательский ПК. Во втором режиме старый агент автоматически заменяется новой версией. Это происходит очень быстро, максимум за 10 секунд. Вероятность пропустить инцидент за это время минимальна. Даже в случае потери связи с сервером данные перехвата не исчезнут: в КИБ на агенте предусмотрены хранилища, которые могут отправлять данные на сервер в отложенном режиме. Комментарии экспертов Алексей Кубарев, Ростелеком-Солар: Если речь идет об инфраструктуре, то нет никакой разницы: DLP разворачи- вается в облаке и настраивается в обычном режиме, а сервис- провайдер обеспечивает информационную и физическую защиту, доступность и SLA. В случае защиты данных в облачных сервисах типа Miro безопасность обеспечивается другими классами продуктов, например CASB. Анна Попова, Infosecurity: DLP-системы изначально создавались для защиты периметра сети организации, и они практически беззащитны, когда речь идет об облачных прило- жениях. Для защиты данных за пределами периметра суще- ствуют специализированные решения – CASB (Cloud Access Security Broker), которые могут функционировать в связке с DLP. То есть одна система видит, кто и что загружает в облако, а вторая отслеживает выгрузку документов. Таким образом формируется эффективная защита данных внутри и за пределами периметра организации на стыке работы DLP и облачных решений. Александр Клевцов, InfoWatch: Без облачных решений уже не обходится ни одна компания. Мы это понимаем и счи- таем, что обработать риски можно только интеграцией. Мы интегрированы, например, с Microsoft Exchange Online, Office 365, с корпоративными облачными решениями и др. У Traffic Monitor открытый API, поэтому мы в любой момент можем интегрироваться как с распространенными решениями, так и с теми, которые были разработаны внутри компаний. Владимир Ульянов, Zecurion: Несмотря на то что дина- мика проникновения облачных сервисов в корпоративную среду явно отставала от оптимистичных прогнозов Gartner и других мировых аналитиков на протяжении многих лет, 2020 год ясно обозначил необходимость поддержки облаков и в DLP. Zecurion уже сейчас предлагает полноценный контроль Office 365, Dropbox, Google Docs, Яндекс.Диск и многих других сервисов, а помимо этого и веб-почты, и браузерных клиентов. В разработке также находится собственный CASB-модуль, который будет востребован не только конечными заказчиками, но и операторами облачных сервисов. Алексей Дрозд, СёрчИнформ: В "СёрчИнформ КИБ" есть универсальные технологии (вроде ICAP), которые позволяют нам из коробки интегрироваться со многими облачными серви- сами. Для остальных случаев есть API. Мы сотрудничаем с раз- ными вендорами облачных сервисов, например c Microsoft 365, Комментарии экспертов Защита облачных периметров Бизнес в условиях пандемии стал более активно использовать облачные решения, а часто и полностью перехо- дить на них. Это абсолютно позитивный и смелый тренд, который, впрочем, требует пересмотра подходов к обра- ботке и защите информации. Безуслов- но, вероятность инцидентов при этом существенно возрастает, но компании смогут увидеть возможности для утечек только после того, как DLP-системы научатся это показывать. А для этого требуется качественно иной подход со стороны систем пред- отвращения утечек информации, под- ход, ориентированный на интеграцию с облачными решениями, в том числе и иностранными. Подобные интегра- ции в условия политической и конку- рентной напряженности мне кажутся затруднительными, но, возможно, вен- доры найдут возможности преодолеть эти трудности и мы увидим заоблач- ные результаты работы отечественных DLP-систем.