Функции и возможности DLP-систем
Согласно статистике, примерно 2/3 мелких и средних компаний закрываются в течение 6-12 месяцев после серьезных инцидентов, связанных с утечками информации. Среди субъектов крупного бизнеса картина лучше — в большинстве случаев компании остаются на плаву. Но при этом могут терпеть серьезные убытки, вызванные репутационными, финансовыми и иными потерями, спровоцированными утечками. Немало времени после этого тратится на восстановление прежних показателей.
Ключевая задача DLP-систем — предотвращение утечек информации. Она решается путем реализации в таких системах комплекса функций по контролю за потоками информации, а также за персоналом. С каждой из функций DLP-систем стоит разобраться по-отдельности.
Контроль коммуникаций и целостности информации
Современные DLP-системы выполняют функции контроля:
· электронной почты. Для обеспечения высокого уровня защиты информации в системе предотвращения утечек должен быть реализован контроль таких протоколов веб-почты, как SMTP, POP3, MAPI, IMAP, S/MIME, NNTP. DLP-решение в режиме реального времени анализирует содержимое писем, а также прикрепленных к ним файлов;
· сетевого трафика и доступа в интернет. Поддерживаются протоколы HTTP, HTTPS, FTP, передача по UDP- и TCP-портам. Также не лишней будет функция контроля P2P-протоколов, таких как E-Mule, Direct Connect Protocol, Gnutella;
· операций с файлами на рабочих станциях и серверах. DLP-решения контролируют изменения, вносимые в файлы, их перемещение между папками на компьютере, копирование на съемные носители. Также среди функций систем предотвращения утечек информации — контроль файлов, отправляемых на печать;
· ввода с клавиатуры (кейлоггер), добавления информации в буфер обмена, выгрузки из него.
В любой современной DLP-системе реализован функционал индексации и инвентаризации рабочих станций, файловых хранилищ. Благодаря ему обнаруживаются документы, хранящиеся на жестких дисках, NAS, а также в других системах, с нарушениями установленных в организации политики безопасности.
Анализ поведения пользователей
Функция анализа поведения пользователей в DLP-системах реализуется за счет использования технологии User Behavior Analytics (UBA). Она базируется на 3 теориях: вероятности, случайных процессов, графов. Благодаря UBA обеспечивается фокусирование на сотрудниках (большинство утечек происходят как раз из-за их умышленных или неумышленных действий).
Среди функций DLP-систем, в которых реализована технология User Behavior Analytics:
· выявление аномалий в поведении сотрудников. Система замечает малейшие отклонения от нормального поведения, которые не всегда удается обнаружить «невооруженным глазом»;
· определение рисков снижения бдительности работника, признаков выгорания;
· поиск нетипичных и подозрительных связей (как внутри компании, так и вне ее);
· выявление изменений активности пользователя;
· обнаружение фактов нетипичного финансового поведения;
· определение признаков подготовки к увольнению, фактов поиска сотрудником работы или подработки на стороне.
При обнаружении отклонений в поведении DLP-система оповещает специалиста по информационной безопасности о том, что на сотрудника следует обратить внимание. Находящихся под наблюдением работников можно распределять по группам для удобства наблюдения за ними.
Контроль рабочего времени сотрудников
В его основе лежит информация о действиях пользователей на рабочих компьютерах. На основании данных с модуля формируется картина, позволяющая оценить эффективность использования рабочего времени отдельными сотрудниками или целыми подразделениями.
Функция контроля рабочего времени позволяет получать информацию:
· о временных промежутках активности и «простоя» пользователя на рабочем месте;
· о приложениях, которые используются сотрудником на служебном компьютере;
· о характере данных, с которыми работает сотрудник.
На основе данных из модуля контроля рабочего времени вы сможете анализировать эффективность работников и подразделений, сравнивать их друг с другом, что помогает принимать кадровые и управленческие решения.
Проведение расследований
DLP-система выполняет функцию вспомогательного инструмента при проведении расследований в области информационной безопасности. Такие решения накапливают архив коммуникаций и сведений о событиях. Благодаря ретроспективному анализу с помощью DLP-систем строятся диаграммы взаимосвязей сотрудников, позволяющие отследить цепочки событий, приведших к инцидентам, и выявить сотрудников, замешанных в них. С помощью такого решения строятся схемы распространения информации, позволяющие отследить движение данных от момента их создания документа до возникновения инцидента. Модуль ретроспективного анализа создает различные виды статистических отчетов. С их помощью выявляются аномальные события (а также цепочки событий), что будет полезным при расследовании утечек.
Контроль удаленных сотрудников и другие функции
С помощью endpoint-агентов обеспечивается защита от утечек, контроль мобильных и удаленных пользователей. Возможности практически те же, что и в случае со стационарными рабочими станциями из состава локальной вычислительной сети (контроль почты, общения в мессенджерах, загрузки файлов на съемные носители и так далее).
В некоторых случаях DLP-система может выполнять функции резервного копирования. Конечно, профильные решения, предназначенные специально для этого, она не заменит. Но при соответствующих настройках можно создавать бэкап некоторых важных данных.
Можно возложить на DLP функции контроля привилегий. Благодаря гибкости современных систем здесь можно настраивать блокировку определенных действий (доступ к файлам, изменение, копирование, отправка по различным каналам) для отдельных сотрудников или групп.
Бизнес выбирает DLP-решения
Если вам нужна DLP-система, в которой по максимум реализованы все функции и возможности, характерные для решений этого класса, обратите внимание на Solar Dozor. Она подходит для использования в разных сферах, помогая владельцам бизнеса сохранить репутацию и обеспечить финансовую защиту. Это — эффективное оружие по борьбе с коррупцией в руках служб безопасности. Благодаря их возможностям можно быстро и продуктивно проводить расследование инцидентов и вырабатывать схемы по их предотвращению, управлять конфликтами интересов, выявлять факты получения взяток и вымогательства. Внутри организации или предприятия Solar Dozor применяется в рамках обеспечения собственной безопасности. С ее помощью выявляются нарушения охранного режима, компрометирующие связи, распространители слухов и инсайдеры. Службы внутреннего контроля используют продукт для наблюдения за реакцией сотрудников на приказы и распоряжения, исполнения решений, выявления фактов саботажа, оценки соответствия работников принятым в компании стандартам, регламентам и кодексам.
DLP-система Solar Dozor может работать в режиме мониторинга и блокирования утечек информации. Эта система:
· контролирует информацию по большому количеству каналов (электронная почта, веб-почта, мессенджеры, Skype) и параллельно закрывает все потенциальные «воронки», через которые могут просочиться данные. Обеспечивается контроль веб-трафика, сообщений на форумах, публикаций в блогах и сайтах по поиску вакансий;
· имеет несколько уникальных функций, например визуализирует данные, представляя их в виде тепловых карт коммуникаций или графа связей, позволяет буквально в несколько кликов получить подробный отчет по конкретному сотруднику, выявляет его круг общения и связи;
· имеет мощный аналитический потенциал, ее инструменты помогают проводить объективные расследования инцидентов путем выявления косвенных признаков угроз. DLP-система Solar Dozor накапливает архив переписки сотрудников организации, формируют отчеты по активности персональных компьютеров.
Возможностей и перспектив применения DLP-систем, и Solar Dozor, в частности, очень много. За счет многофункциональности их можно использовать в разных сферах бизнеса, для обеспечения информационной безопасности.