Журнал "Information Security/ Информационная безопасность" #3, 2025

контент, куда и через какой канал он уходит. И, в отличие от SIEM, DLP может действовать сразу – заблокировать, уве- домить ИБ, включить запись экрана. Более того, в случае с "Кибер Протего" события можно не только передавать по syslog или SNMP в SIEM – но и настраивать мгновенные алерты по критическим событиям прямо на почту ИБ-отдела. Потому что иногда важнее не лог, а момент. Но даже этот уровень возможен только если есть четкая политика, где прописа- но: что можно, кому, откуда и куда. Например, если документ предназначен только для внутреннего пользования, почему шлюз не блокирует попытку его отправки наружу? Почему почтовый сер- вер не проверяет домен получателя? Почему нет базового ограничения по списку адресатов? DLP – это не просто еще один агент на рабочей станции. Это точка принятия решений в моменте. Если ее нет – зна- чит, решения будут приниматься тогда, когда уже поздно. Утечки идут через облака Файлообменники – это то, на чем строится современная цифровая рутина. Удобно, привычно, быстро: один клик – и файл улетел, куда нужно. Или не нужно. И вот тут начинается самое инте- ресное: не мессенджеры, не почта, а именно облачные файлообменные ресурсы – один из основных "тихих" каналов инсайдерских утечек. Сценарий прост: сотрудник решил "поработать из дома", залил на личный облачный диск рабочие документы – с шаблонами, списками клиентов и, воз- можно, с конфиденциальными сведе- ниями. Ни зла, ни умысла – просто удобство. А дальше этот файл может попасть куда угодно. DLP его не увиде- ла – значит, его как бы и не было. Поразительно, но до сих пор во многих компаниях не внедрены корпоративные файлообменные среды, а значит, утечки происходят не потому, что кто-то что-то взломал, а потому, что все открыто. Уровень доверия – бесконечный, уровень контроля – отсутствует. Такая архитектура работает до первого реального инцидента. Решение очевидно – выделенный кор- поративный файловый периметр с управ- ляемыми политиками. Так работают "Кибер Файлы" 2 : они не просто органи- зуют хранилище, но строят защищенную модель обмена – с внутренними и внеш- ними контурами, с политиками по типу данных, с ограничением на скачивание, передачу, публикацию и генерацию ссы- лок. Если надо – можно. Если нельзя – не получится даже случайно. Причем здесь важно не только техни- ческое ограничение, но и принцип Zero Trust: доверие – не по умолчанию, а на основе роли, сценария, зоны. Кто-то может – потому что работает в проекте. Кто-то не может – потому что проект ему не принадлежит. Все прозрачно. В этом подходе есть еще один уровень зрелости – разделение контуров. Внутри "Кибер Файлов" можно создавать откры- тые и закрытые зоны: в одной хранятся условные презентации для выставки, в другой – проектная документация с жесткими ограничениями. Политики у этих зон – разные. И если раньше все облака обрабатывались одной общей политикой, то теперь этот механизм ста- новится гибким. Это не просто удобнее, это архитектурно правильно. Файлообмен перестает быть "дыркой", он становится управляемым каналом. Неважно, кто и зачем что-то залил, – важно, что система это увидела, поняла и, при необходимости, заблокировала. Именно так выглядит зрелый подход к тому, что раньше казалось бытовой мелочью. "Кибер Периметр": связка контроля и хранения Современная защита от утечек – это не просто "ставим DLP и спим спокойно". Это связная система, в которой не долж- но быть разрывов: между тем, что конт- ролируется, и тем, где это потом живет. Именно такой связкой и стал "Кибер Периметр" – архитектурное объединение "Кибер Протего" и "Кибер Файлов". "Кибер Протего" отслеживает, что и куда уходит. "Кибер Файлы" – где и как это хранится. Вместе они создают замкнутый цикл: от момента создания документа до точки доступа и распро- странения. Это не просто техническая интеграция двух продуктов, а единая логика доверия и ограничения, построен- ная по принципу Zero Trust. Эта модель снимает главный стресс специалистов по ИБ: необходимость каждый день догонять уже свершенные действия сотрудников и придумывать, как бы еще ограничить канал. Здесь канал встроен в контур, а контур – в политику. "Кибер Периметр" – это не про техно- логию ради технологии. Это про бизнес- модель, где безопасность встроена в процесс, а не навешана сверху. И если раньше ИБ была сторожем, то теперь она становится архитектором. В заключение Массовая выгрузка данных – один из самых тревожных сценариев для отдела ИБ. Особенно когда это происходит накануне увольнения сотрудника: скачи- вается вся папка, заливается на диск, отправляется самому себе по почте. И все – по-быстрому, за пятнадцать минут до отключения доступа. Если система реагирует после – значит, она не сработала. Но такие случаи можно и нужно упре- дить. Не обязательно разворачивать сверхсложную инфраструктуру или вкла- дываться в фантастические технологии. Здесь нужна архитектура, которая не дает таким инцидентам случиться. Здра- вый смысл, четкие правила и техниче- ская дисциплина – вот что работает. Во-первых, ограничение по объему. Это простое правило: если сотрудник пытается за раз выкачать сотню мегабайт, а его обязанности таких объемов не пред- полагают, – система должна насторо- житься. Даже не зная, что внутри, – просто по факту объема. И остановить. Во-вторых, ретроспектива. DLP видит не только момент, но и позволяет ана- лизировать динамику. Рост активности, смена каналов, увеличение обращений, прочие отклонения от нормы поведе- ния – все это складывается в опреде- ленные выводы. Если человек начал чаще заходить на сайт поиска работы, стал агрессивным, что-то удаляет, что- то копирует – это уже тренд, а не слу- чайность. И такие сигналы можно выявлять, делать соответствующие выводы вплоть до ужесточения и уточ- нения DLP-политик для таких сотрудни- ков, или повышения оперативности реак- ции за счет тревожных оповещений. В-третьих – контекст. Речь не о пси- хологии, а об инфраструктуре. Кто с кем работает? Кому что положено? Откуда скачивает, куда отправляет? Если рань- ше человек взаимодействовал только с внутренним хранилищем, а вдруг начал экспортировать документы во внешние облака – это повод ограничить. Не наказывать, не допрашивать, а свое- временно урезать привилегии, пока не стало поздно. Реальная защита от утечек – это не погоня за инцидентом. Это ситуация, в которой инциденту просто не из чего состояться. Не потому, что никто ничего не хочет украсть, а потому, что архитек- тура не дает возможности сделать это незаметно или случайно. l • 23 DLP + DCAP www.itsec.ru 2 https://cyberprotect.ru/products/files/ АДРЕСА И ТЕЛЕФОНЫ КИБЕРПРОТЕКТ см. стр. 76 NM Реклама