Что за программа dlp

С егодня рынок DLP-систем является одним из самых быстрорастущих среди всех средств обеспечения информационной безопасности. Впрочем, отечественная ИБ-сфера пока не совсем успевает за мировыми тенденциями, в связи с чем у рынка DLP-систем в нашей стране есть свои особенности.

Что такое DLP и как они работают?

Прежде чем говорить о рынке DLP-систем, необходимо определиться с тем, что, собственно говоря, подразумевается, когда речь идёт о подобных решениях. Под DLP-системами принято понимать программные продукты, защищающие организации от утечек конфиденциальной информации. Сама аббревиатура DLP расшифровывается как Data Leak Prevention, то есть, предотвращение утечек данных.

Подобного рода системы создают защищенный цифровой «периметр» вокруг организации, анализируя всю исходящую, а в ряде случаев и входящую информацию. Контролируемой информацией должен быть не только интернет-трафик, но и ряд других информационных потоков: документы, которые выносятся за пределы защищаемого контура безопасности на внешних носителях, распечатываемые на принтере, отправляемые на мобильные носители через Bluetooth и т.д.

Краткий обзор на DLP-систему «СёрчИнформ КИБ»

Поскольку DLP-система должна препятствовать утечкам конфиденциальной информации, то она в обязательном порядке имеет встроенные механизмы определения степени конфиденциальности документа, обнаруженного в перехваченном трафике. Как правило, наиболее распространены два способа: путём анализа специальных маркеров документа и путём анализа содержимого документа. В настоящее время более распространен второй вариант, поскольку он устойчив перед модификациями, вносимыми в документ перед его отправкой, а также позволяет легко расширять число конфиденциальных документов, с которыми может работать система.

«Побочные» задачи DLP

Помимо своей основной задачи, связанной с предотвращением утечек информации, DLP-системы также хорошо подходят для решения ряда других задач, связанных с контролем действий персонала.

Наиболее часто DLP-системы применяются для решения следующих неосновных для себя задач:

• контроль использования рабочего времени и рабочих ресурсов сотрудниками;
• мониторинг общения сотрудников с целью выявления «подковерной» борьбы, которая может навредить организации;
• контроль правомерности действий сотрудников (предотвращение печати поддельных документов и пр.);
• выявление сотрудников, рассылающих резюме, для оперативного поиска специалистов на освободившуюся должность.

За счет того, что многие организации полагают ряд этих задач (особенно контроль использования рабочего времени) более приоритетными, чем защита от утечек информации, возник целый ряд программ, предназначенных именно для этого, однако способных в ряде случаев работать и как средство защиты организации от утечек. От полноценных DLP-систем такие программы отличает отсутствие развитых средств анализа перехваченных данных, который должен производиться специалистом по информационной безопасности вручную, что удобно только для совсем небольших организаций (до десяти контролируемых сотрудников).

Что такое DLP система? DeviceLock DLP Обзор основные функции

«СёрчИнформ КИБ» выполняет не только основные, но и побочные задачи DLP. В ее основе – концепция Money Loss Prevention (предотвращение финансовых потерь). Программа работает на упреждение ИБ-инцидентов, которые нередко обходятся компаниям дорого.

Классификация DLP-систем

Все DLP-системы можно разделить по ряду признаков на несколько основных классов. По способности блокирования информации, опознанной как конфиденциальная, выделяют системы с активным и пассивным контролем действий пользователя.

Первые умеют блокировать передаваемую информацию, вторые, соответственно, такой способностью не обладают. Первые системы гораздо лучше борются со случайными утечками данных, но при этом способны допустить случайную остановку бизнес-процессов организации, вторые же безопасны для бизнес-процессов, но подходят только для борьбы с систематическими утечками.

Ещё одна классификация DLP-систем проводится по их сетевой архитектуре. Шлюзовые DLP работают на промежуточных серверах, в то время как хостовые используют агенты, работающие непосредственно на рабочих станциях сотрудников. Сегодня наиболее распространенным вариантом является совместное использование шлюзовых и хостовых компонентов.

«СёрчИнформ КИБ» может быть установлена на одной из двух платформ – сетевой или агентской. При этом основные функции программы доступны в обоих случаях в полном объеме.

Мировой рынок DLP

В настоящее время основными игроками мирового рынка DLP-систем являются компании, которые широко известны другими своими продуктами для обеспечения информационной безопасности в организациях. Это, прежде всего, Symantec, McAffee, TrendMicro, WebSense. Общий объём мирового рынка DLP-решений оценивается в 400 млн долларов, что совсем немного по сравнению с тем же рынком антивирусов. Тем не менее, рынок DLP демонстрирует бурный рост: ещё в 2009 году он оценивался немногим более 200 млн.

Перспективы и тенденции

Главной тенденцией, как полагают эксперты, является переход от «заплаточных» систем, состоящих из компонентов от различных производителей, решающих каждый свою задачу, к единым интегрированным программным комплексам. Причина подобного перехода очевидна: комплексные интегрированные системы избавляют специалистов по информационной безопасности от необходимости решать проблемы совместимости различных компонентов «заплаточной» системы между собой, позволяют легко изменять настройки сразу для больших массивов клиентских рабочих станций в организациях, а также позволяют не испытывать сложностей при переносе данных из одного компонента единой интегрированной системы в другой. Также движение разработчиков к интегрированным системам идёт в силу специфики задач обеспечения информационной безопасности: ведь если оставить без контроля хотя бы один канал, по которому может произойти утечка информации, нельзя говорить о защищенности организации от подобного рода угроз.

Западные производители DLP-систем, пришедшие на рынок стран СНГ, столкнулись с рядом проблем, связанных с поддержкой национальных языков. Поскольку рынок СНГ весьма интересен западным вендорам, сегодня они ведут активную работу над поддержкой русского языка, которая является основным препятствием для их успешного освоения рынка.

Ещё одной важной тенденцией в сфере DLP является постепенный переход к модульной структуре, когда заказчик может самостоятельно выбрать те компоненты системы, которые ему необходимы (например, если на уровне операционной системы отключена поддержка внешних устройств, то нет необходимости доплачивать за функциональность по их контролю). Важную роль на развитие DLP-систем будет оказывать и отраслевая специфика – вполне можно ожидать появление специальных версий известных систем, адаптированных специально для банковской сферы, для госучреждений и т.д., соответствующих запросам самих организаций.

Немаловажным фактором, влияющим на развитие DLP-систем, является также распространение ноутбуков и нетбуков в корпоративных средах. Специфика лэптопов (работа вне корпоративной среды, возможность кражи информации вместе с самим устройством и т.д.) заставляет производителей DLP-систем разрабатывать принципиально новые подходы к защите портативных компьютеров. Стоит отметить, что сегодня лишь немногие вендоры готовы предложить заказчику функцию контроля ноутбуков и нетбуков своей DLP-системой.

Источник: searchinform.ru

Как заставить DLP-систему работать

DLP-системы завоевали определенное место на рынке средств защиты информации от утечек. Однако споры об их эффективности не умолкают. Причина — не только в завышенных ожиданиях, сформированных вендорами, но и в том, что каждая сложная система требует адекватной настройки.

Предлагаем ряд маркеров, которые помогут выжать максимум из любой системы DLP.

DLP-системы: что это такое

Напомним, что DLP-системы (Data Loss/Leak Prevention) позволяют контролировать все каналы сетевой коммуникации компании (почта, интернет, системы мгновенных сообщений, флешки, принтеры и т д.). Защита от утечки информации достигается за счет того, что на все компьютеры сотрудников ставятся агенты, которые собирают информацию и передают ее на сервер. Порой информация собирается через шлюз, с использованием SPAN-технологий. Информация анализируется, после чего системой или офицером безопасности принимаются решения по инциденту.

Итак, в вашей компании прошло внедрение DLP-системы. Какие шаги необходимо предпринять, чтобы система заработала эффективно?

1. Корректно настроить правила безопасности

Представим, что в системе, обслуживающей 100 компьютеров, создано правило «Фиксировать все переписки со словом «договор»». Такое правило спровоцирует огромное число инцидентов, в котором может затеряться настоящая утечка.

Кроме того, не каждая компания может позволить себе содержать целый штат сотрудников, отслеживающих инциденты.

Повысить коэффициент полезности правил поможет инструментарий по созданию эффективных правил и отслеживанию результатов их работы. В каждой DLP-системе есть функционал, который позволяет это сделать.

В целом методология предполагает анализ накопленной базы инцидентов и создание различных комбинаций правил, которые в идеале приводят к появлению 5–6 действительно неотложных инцидентов в день.

2. Актуализировать правила безопасности с определенной периодичностью

Резкое снижение или увеличение числа инцидентов — показатель того, что требуется корректировка правил. Причины могут быть в том, что правило потеряло актуальность (пользователи перестали обращаться к определенным файлам) либо сотрудники усвоили правило и больше не совершают действий, запрещенных системой (DLP — обучающая система). Однако практика показывает, что если одно правило усвоено, то в соседнем месте потенциальные риски утечки возросли.

Также следует обращать внимание на сезонность в работе предприятия. В течение года ключевые параметры, связанные со спецификой работы компании, могут меняться. Например, для оптового поставщика малой техники весной будут актуальны велосипеды, а осенью — снегокаты.

3. Продумать алгоритм реагирования на инциденты

Есть несколько подходов к реагированию на инциденты. При тестировании и обкатке DLP-систем чаще всего людей не оповещают об изменениях. За участниками инцидентов лишь наблюдают. При накоплении критической массы с ними общается представитель отдела безопасности или отдела кадров. В дальнейшем часто работу с пользователями отдают на откуп представителям отдела безопасности.

Возникают мини-конфликты, в коллективе накапливается негатив. Он может выплеснуться в намеренном вредительстве сотрудников по отношению к компании. Важно соблюдать баланс между требованием дисциплины и поддержанием здоровой атмосферы в коллективе.

4. Проверить работу режима блокировки

Существует два режима реагирования на инцидент в системе — фиксация и блокировка. Если каждый факт пересылки письма или прикрепления вложенного файла на флэшку блокируется, это создает проблемы для пользователя. Часто сотрудники атакуют системного администратора просьбами разблокировать часть функций, руководство также может быть недовольно такими настройками. В итоге система DLP и компания получают негатив, система дискредитируется и демаскируется.

Рекомендуем режим блокировки подключать лишь на правила, которые в 100 % случаев являются истинными утечками. При условно-ложных срабатываниях рекомендуется подключать режим фиксации инцидентов.

5. Проверить, введен ли режим коммерческой тайны

Режим коммерческой тайны дает возможность сделать определенную информацию конфиденциальной, а также обязует любое лицо, знающее об этом, нести полную юридическую ответственность за ее разглашение. В случае серьезной утечки информации при действующем на предприятии режиме коммерческой тайны с нарушителя можно взыскать сумму фактического и морального ущерба через суд в соответствии с 98-ФЗ «О коммерческой тайне».

Надеемся, что данные советы помогут снизить число непреднамеренных утечек в компаниях, ведь именно с ними призваны успешно бороться системы DLP. Однако не стоит забывать о комплексной системе информационной безопасности и о том, что намеренные утечки информации требуют отдельного пристального внимания. Существуют современные решения, которые позволяют дополнить функционал систем DLP и значительно снизить риск намеренных утечек. Например, один из разработчиков предлагает интересную технологию — при подозрительно частом обращении к конфиденциальным файлам автоматически включается веб-камера и начинает вести запись. Именно эта система позволила зафиксировать, как незадачливый похититель активно делал снимки экрана с помощью мобильной фотокамеры.

Защита данных от утечки

Олег Нечеухин, эксперт по защите информационных систем, «Контур.Безопасность»

Источник: kontur.ru

Чек-лист: как происходит внедрение DLP-системы в ИТ-инфраструктуру компании

DLP-системы работают по принципу Data-Centric Security. Его суть заключается в том, чтобы защитить разобщенные данные, обнаружить их и категоризировать, построить поведенческие модели использования и отследить аномальные операции со структурированными и неструктурированными данными.

Информация, согласно принципу Data-Centric Security, подразделяется на группы:

• Data-in-use — это данные (документация, мультимедиа), которые используют на рабочих станциях. С ними работают конечные пользователи;
• Data-at-rest — данные, которые статично хранятся на серверах, рабочих станциях, СХД, ноутбуках и других мобильных устройствах;
• Data-in-motion — данные, которые передаются по сетевым каналам внутри корпоративной сети и вне ее контура.

Этапы внедрения DLP-системы

Чтобы контролировать данные всех групп, внедрение DLP-системы проходит в несколько этапов, которые помогают определить структуру и функционал системы, перечень данных и работающих с ними пользователей.

1. Анализ правовой базы внедрения DLP-систем

Основная задача внедрения DLP-системы — контролировать и управлять инцидентами информационной безопасности (ИБ) в соответствии с требованиями и рекомендациями нормативно-правовых актов:

• ГОСТ 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности менеджмент инцидентов информационной безопасности»;
• 152-ФЗ в части, которая касается работы с персональными данными клиентов и сотрудников компании;
• 161-ФЗ в части, которая касается правил и норм работы с национальной платежной системой;
• 98-ФЗ в части, которая касается требований по защите коммерческой тайны.

При внедрение DLP-системы компания должна опираться на действующее законодательство, контролировать соблюдение стандартов работы с конфиденциальными данными и не затрагивать личные данные и права пользователей.

2. Подготовка к внедрению DLP-системы

На подготовительном этапе специалисты по ИБ проводится аудит защищенности информации, в ходе которого:

• оценивают существующие и потенциальные риски;
• определяют уровень безопасности работы с внутренней документацией;
• изучают сетевые и серверные компоненты системы (анализ структуры и организации СХД);
• генерируют критерии конфиденциальности и создают перечни данных, которые относятся к критически важной информации;
• определяют базовые правила работы с данными для пользователей, исходя из их должности.

Результат подготовительного этапа — это общая оценка степени защищенности информационной системы компании с указанием основных уязвимых мест и проблем. Например, каналов утечки информации, механизмов передачи данных с ограниченным доступом, наличие привилегированных пользователей с информацией, доступ к которой запрещен или ограничен.

3. Выбор внедряемой DLP-системы.

При выборе DLP-системы необходимо руководствоваться принципом: потенциальный ущерб и репутационные издержки от потери или разглашения конфиденциальной информации должны превышать стоимость установки и использования DLP-системы.

Критерии, по которым можно оценить процесс внедрения DLP-системы:

• интеграция системы с инфраструктурой компании и поддержка ее функций;
• профессиональные навыки, которые потребуются специалистам по ИБ для работы с DLP-системой.

На декабрь 2022 года этим критериям полностью удовлетворяют отечественные DLP-системы: Infowatch Traffic Monitor от компании Infowatch, SecureTower от компании Falcongaze и StaffCop от компании «Атом Безопасность».

4. Проектирование и модификация внедряемой DLP-системы

Специалисты в области ИБ модифицируют DLP-систему под ИТ-инфраструктуру компании, чтобы минимизировать возможные неполадки и сбои в будущем.

5. Установка и настройка DLP-системы

Производится тонкая настройка опций для расширения системы безопасности с учетом конструктивных и архитектурных особенностей информационной системы компании.

Специалисты по ИБ проводят ряд тестов под нагрузкой и проверяют, насколько корректно работают все элементы системы и обеспечивается доступность данных.

В настроенной и сконфигурированной DLP-системе должен быть набор функций:

1. перехват информации. Контроль и фиксация любых данных, которые передаются по внутренней и внешней сети;
2. анализ информации. По установленным и настроенным маркерам безопасности система должна определять вид, тип передаваемой информации, а также ее источник и приемник. Например:

• механизм анализа и контроля форм позволяет обнаруживать документы, содержащие конфиденциальную информацию, налоговые, медицинские, страховые формы и материалы отчетности;
• механизм анализа цифровых сигнатур позволяет производить снятие цифровых сигнатур (отпечатков) документов, чтобы обнаружить конфиденциальную информацию в неструктурированных данных: doc, docx, pdf, бинарные файлы и мультимедийные файлы;
• механизм контроля доступа пользователей позволяет анализировать и сопоставлять метаданные файлов путем идентификации источников данных, места их хранения и уровня доступа конкретного пользователя по отношению к этим данным;

1. блокировка или уведомление об инциденте. Обработка данных в соответствии со встроенными политиками безопасности.

6. Сопровождение DLP-системы

На этапе сопровождения DLP-системы компания-интегратор:

• устраняет неисправности и вносит изменения в документацию;
• дополнительно обучает персонал;
• анализирует и проводит экспертизу обрабатываемой информации;
• оптимизирует и настраивает DLP-систему при необходимости.

Выводы

При грамотном внедрении DLP-системы и ее интеграции с другими механизмами защиты специалисты по ИБ оперативно выявляют и устраняют актуальные внутренние и внешние угрозы. За счет повышения уровня информационной безопасности бизнес и государственные корпорации минимизируют финансовые потери и репутационные риски, которые могут произойти из-за утечек персональных данных и конфиденциальной информации.

Источник: trust-space.ru