Введение

DLP, Data Leak Prevention, — это комплекс мер по предотвращению утечек данных. Термин вошел в оборот в начале 2000-х годов в контексте разработки специализированного ПО для предотвращения внутренних утечек информации — DLP-систем.

Потребность в таком ПО возникла из-за проникновения интернета во все сферы частной и общественной жизни, распространения портативных носителей и средств копирования информации, перевода большинства данных в цифровую форму.

Утечки данных, о которых будет говориться в статье, происходят в результате действий сотрудников, обладающих доступом к конфиденциальной информации. Утечки бывают умышленные и случайные. Случайных утечек (тех, которые возникают без намерения навредить или получить личную выгоду) в несколько раз больше, чем умышленных. Любые утечки относятся к разряду внутренних информационных угроз. На данный момент таких угроз в разы больше тех, которые возникают по причинам внешнего характера.

Роль DLP в организации

Разработка политики ИБ

Контроль нарушений в сфере информационной безопасности, в частности, предотвращение утечек, — одна из наиболее важных задач для поддержания жизнеспособности бизнеса. Первый шаг к ее решению — разработка политики безопасности организации. У специалистов часто недостаточно практических данных для выполнения этого шага. Благодаря структурированному архиву электронных коммуникаций в DLP-системе классификация ценной информации и круга допущенных лиц становится конечной и решаемой задачей.

Мониторинг данных и их утечки

Утечка — это неправомерная передача конфиденциальной информации, нарушение политики компании в отношении процедур передачи важных данных. Утечки бывают умышленные и случайные. По разным данным,случайных утечек (тех, которые возникают без намерения навредить или получить личную выгоду) в несколько раз больше, чем умышленных.

Под данными подразумевают любую информацию, которой владеет компания. На практике такая информация находится внутри сетевого периметра организации — в защищенной от большинства вредных внешних воздействий области корпоративной сети. Чтобы защитить данные от внутренних угроз, применяется метод мониторинга информации. При мониторинге выделяют три основных ее вида:

·         Информация в движении

·         Информация в состоянии покоя

·         Используемая информация

Информация в движении контролируется через корпоративную и личную веб-почту с рабочего компьютера, публикации на локальных и внешних интернет-ресурсах, отправку документа на печать, перемещение на съемные носители и прочие способы передачи информации с использованием корпоративной сети или корпоративных рабочих станций. При этом типе мониторинга делается акцент на идентификации данных, источнике и их назначении, и последующем контроле потока информации в соответствии с политикой безопасности.

Контроль информации в состоянии покоя подразумевает сканирование корпоративной сети для выявления полного перечня мест хранения, и последующее создание карты сети с глубоким анализом файлов. Далее возможно организационное регулирование, применение шифрования, обеспечение контроля доступа к данным с помощью IGA-решений, физические запреты (например, запрет использования внешних носителей).

В мониторинг используемой информации традиционно включают контроль за действиями сотрудников, смещая фокус c данных на пользователя. Сбор данных об активности пользователя позволяет моделировать поведение посредством технологии User Behaviour Analytics (UBA) — и применять профилактические меры. В связи с возрастающим потоком информации это дешевле и удобнее, чем реагирование постфактум. Такой подход называется People-Centric Security — безопасность с фокусом на человеке. Он доминирует на рынке DLP-решений.



Управление событиями и инцидентами ИБ

Принцип работы современных систем DLP включает реализацию менеджмента событий и инцидентов. Согласно ГОСТ 18044-2007 ( об утечках информации и менеджменте инцидентов), под событиями понимается любое изменение состояния системы, сервиса или сети, которое относится к безопасности. А инцидент — это следствие развития одного нескольких событий, создающих вероятность непосредственной угрозы для бизнеса.

q1.jpg

Шире, чем DLP

Классическая DLP-система — это совокупность программных компонентов, использование которых обеспечивает защиту данных от утечек. Компоненты или модули системы можно категоризовать по тому, с какой информацией они работают.

Например, статичную информацию (в состоянии покоя) обрабатывают поисковые компоненты (Discovery-модули), с информацией в движении взаимодействуют модули-перехватчики, а характер использования данных анализируют модули UBA. Отдельно выделяют базы данных с ИБ-политиками, долгосрочные и краткосрочные архивы, веб-интерфейсы и другие компоненты для стабильной и эффективной работы.

Отдельно можно выделить использование DLP-системами определенных технологий, например, таких, как:

·         технология распознавания текста,

·         контентная фильтрация по протоколу ICAP,

·         считывание регулярных выражений,

·         перефильтрация архива,

·         подмена отправляемой информации,

·         цифровые идентификаторы и отпечатки,

·         нейронные сети и машинное обучение.

В последнее время возможности DLP-систем расширяются. Это связано с тем, что данных становится больше и их сложнее или дороже перехватить в движении. В настоящий момент на рынке представлены DLP-системы, в которых реализован не только перехват, но и инструменты профилактики: анализ поведения пользователей и контроль рабочего времени.

С другой стороны, происходит расширение аналитического инструментария, позволяющего помимо предотвращения утечек выявлять факты мошенничества и коррупции сотрудников. И таким образом, DLP-система начинает воплощать в себе мультифункциональный инструмент, который можно использовать для обеспечения информационной, экономической, кадровой безопасности и даже для контроля бизнес-процессов.

ДРУГИЕ НОВОСТИ

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах