Информация о сотрудниках
Узнать большеПервые DLP-решения работали как alarm-системы: при выявлении признаков событий, указывающих на утечки информации, они формировали оповещения для специалистов по ИБ. Со временем к их возможностям добавился анализ таких событий, их градация по степени важности, а также блокирование действия пользователей. Сегодня системы защиты от утечек — это многофункциональные решения с широкими возможностями по защите конфиденциальных данных. И в ряде случаев их возможности не ограничиваются только предотвращением утечек.
Контроль каналов коммуникаций
Более 50% утечек важной информации и мошеннических схем приходится на корпоративную почту. С ростом популярности мессенджеров, а также других решений для общения увеличивается и количество инцидентов, связанных с утеканием информации через них. Поэтому контроль каналов коммуникаций — функция, которая должна быть по умолчанию реализована в любой DLP-системе.
Возможности современных DLP-систем позволяют контролировать следующие протоколы, информационные каналы, сервисы:
● электронная почта. Своего рода must have для рассматриваемых решений — это контроль SMTP, POP3, а также протокола IMAP. Далеко не лишней возможностью будет контроль протоколов MAPI, NNTP, S/MIME;
● системы (клиенты) мгновенного обмена сообщениями. Надежная защита от утечек по этим каналам обеспечивается за счет контроля протоколов HTTPIM (используется социальными сетями), OSCAR (применяется в таких системах, как QIP и ISQ), MSN, XMPP, Microsoft Lync, а также популярных мессенджеров: Telegram, Viber, Skype;
● IP- и видеотелефония. Возможности современных DLP-систем позволяют организовать контроль протоколов SIP, SDP, MGCP, SKINNY, H.323, T.38;
● HTTP, HTTPS (с подменой или без подмены сертификата), соединения по FTP, P2P-протоколы и так далее.
Современные решения для защиты от утечек информации контролируют коммуникации внутри защищаемого информационного периметра, а также внешние исходящие / входящие потоки информации. При выявлении фактов передачи подлежащей защите информации они генерируют оповещения для специалистов, отвечающих за информационную безопасность, или предпринимают активные действия для блокировки передачи защищаемых данных.
Возможности решений по контролю сотрудников
Эффективность системы предотвращения от утечек информации обеспечивается, в том числе, за счет контроля пользователей. Реализовать его в современных DLP-системах позволяют различные механизмы и технологии. Среди них:
● скриншоты, видео с мониторов рабочих компьютеров сотрудников. Полезные материалы для контроля в режиме реального времени, для расследования инцидентов. Также возможна запись видео через встроенную или подключенную веб-камеру, через интегрированный микрофон или внешнюю гарнитуру;
● контроль использования приложений. Среди возможностей DLP-систем по контролю приложений: отслеживание их действий по установлению соединений, отправки пакетов, подключению к портам и других действий. Можно настроить оповещения об определенных событиях, а также блокирование приложений или их модулей;
● кейлоггер. Мощный, полезный инструмент для реакции на действия пользователей. Данные, полученные с его помощью, можно использовать и при расследовании инцидентов в области информационной безопасности, сопоставляя их со скриншотами, видео и информацией от других модулей (источников).
Возможности DLP-систем по контролю пользователей не ограничиваются только этими функциями. В этом помогают такие опции, как учет рабочего времени, контроль печати, сканирование буфера обмена и так далее.
UBA — эффективный инструмент для контроля за пользователями
Относительно молодая технология (в Solar Dozor она была внедрена в 2017 году), User Behavior Analytics, позволяет автоматизировать и сделать более эффективными механизмы контроля пользователей. Модуль UBA с помощью математического анализа, теории вероятности, ИИ и иных технологий выявляет отклонения в поведении сотрудников и позволяет находить лиц, склонных к нарушениям в области информационной безопасности.
Обнаружение важной информации в сообщениях в реальном времени
Активный поиск конфиденциальной информации — важная составляющая системы защиты от утечек. В DLP-системах для этого используются различные технологии, схемы и методики. Среди них:
● сканирование рабочих станций, сетевых, облачных и других типов хранилищ;
● семантический анализ сообщений, телефонных переговоров, общения в мессенджерах;
● распознавание изображений, PDF-файлов и других типов документов из вложений к сообщениям. Современные технологии OCR характеризуются высокой производительностью и точностью распознавания. Например, модуль OCR ABBY в Solar Dozor распознает до 1 ТБ документов в сутки. Его точность — на уровне 98%;
● лингвистический анализ и статистические методы поиска в отправляемых сообщениях защищаемой информации.
Контроль мобильных устройств
Такая возможность особенно актуальна сейчас, когда популярность удаленного формата работы растет. Контроль мобильных устройств обеспечивается за счет установки на них агентов DLP-решения. Функционал пока присутствует далеко не в каждой системе. Но создатели такого ПО активно работают над его реализацией.
Создание архива сообщений и пересылаемых файлов
Важная и полезная возможность систем предотвращения утечек — создание архива коммуникаций, в который помещаются сообщения и теневые копии отправляемых пользователями / получаемых файлов. Такая информация будет полезной при расследовании инцидентов в области информационной безопасности, при поиске источников утечек и виновников. Такой архив можно также рассматривать еще и как бэкап. Если важная информация и ее резервная копия будут утрачены, есть вероятность того, что нужные сведения окажутся в архиве, создаваемом DLP-системой, и их можно будет восстановить.
Совместная работа со сторонними сервисами
Современные системы для предотвращения утечек информации могут интегрироваться с другими решениями, обеспечивающими информационную безопасность. Это позволяет создавать мощные системы защиты от различных угроз, управляющиеся централизованно. Например, в Solar Dozor реализована возможность интеграции с Active Directory и прочими популярными LDAP-каталогами, proxy-серверами, популярными ПО для организации электронного документооборота (Microsoft Sharepoint и аналоги), SIEM-решениями, IAM (отвечают за управление учетными записями), MDM (для упорядоченной единообразной работы с данными) и другими продуктами.
Видно, что современные DLP-системы характеризуются широким набором возможностей. Они обеспечивают оперативное информирование об инцидентах в сфере информационной безопасности, блокирование противоправных действий сотрудников, сбор доказательной базы, формирование архива важных данных.