Обзор и сравнение DLP систем на рынке

Рынок DLP-систем растет быстро. Термин DLP получил широкое распространение и закрепился на рынке примерно 2005-2006 гг. А уже сегодня в продаже представлено немало решений для компаний разного масштаба (от 50 сотрудников до многотысячных корпораций).

Под DLP-системами принято понимать программные средства, обеспечивающие защиту информационного периметра от утечек информации. Собственно аббревиатура DLP означает Data Leak Prevention, что переводится с английского как предотвращение утечек данных.

Какие DLP представлены на рынке, чего ждать от таких систем

Отечественные и зарубежные DLP-решения, присутствующие на рынке, классифицируют по нескольким признакам.

Способ воздействия на защищаемую информацию

По способу воздействия на информацию, распознанную как конфиденциальная, такие решения делятся на DLP-системы с пассивным и с активным контролем. Решения с пассивным контролем следят за потоками данных. В случае обнаружения признаков утечек не предпринимают активных действий. Они оповещают о таких событиях специалиста по информационной безопасности (офицера службы безопасности). Активные же могут воздействовать на потоки информации, в частности, блокировать передачу данных при обнаружении признаков утечек.

Однозначно сказать, что какой-то из этих вариантов лучше, нельзя. Преимущество DLP-решений с активным контролем потоков информации — эффективность при предотвращении случайно возникающих или ненамеренных утечек. Но активные действия могут привести к остановке критически важных производственных и бизнес-процессов. При выборе такого варианта важно предусмотреть это и тщательно настроить систему, чтобы минимизировать ложные срабатывания.

Плюс DLP-систем с пассивным контролем заключается в том, что они не затрагивают критически важные для компании процессы. Вариант больше подходит для борьбы с систематическими утечками. Чтобы обнаруживать спонтанные (случайные) и своевременно блокировать их, необходимо обеспечить практически мгновенную реакцию на инциденты.

Место установки и зона ответственности

Различают:

·              хостовые решения. Устанавливаются на рабочую станцию (компьютер). Контролируют его потоки информации;

·              шлюзовые. Устанавливаются на серверах локальных вычислительных сетей, облачных инфраструктур, а также на других важных точках сети. Контролируют входящий и исходящий трафик, а также другие потоки информации нескольких хостов, объединенных в инфраструктуру;

·              комплексные. В таких решениях совместно используются хостовые и шлюзовые компоненты, что обеспечивает защиту данных: в движении, в покое, используемых.

Третий вариант — самый распространённый. Но два других тоже востребованы. Все зависит от специфики работы компании, ее масштабов и целей внедрения DLP-систем. Некоторые компаниям критически важно защитить конфиденциальную информацию от утечек. Другим – нужно просто выполнить требования регулятора, для чего не обязательно использовать сложные комплексные программные продукты.

Режим установки агентов системы предотвращения утечек

Установка агентов DLP-систем может осуществляться в открытом или скрытом (тайном) режиме. Большинство решений, представленных на рынке, поддерживают первый вариант. Но есть и те, для которых предлагается скрытый режим установки. В таком случае нужно понимать, что пренебрежение информированием сотрудников о факте использования систем контроля может быть чревато для работодателя проблемами. Ряд НПА обязуют нанимателя уведомлять сотрудников об использовании подобных решений.

Возможности

Для более детального обзора и сравнения DLP-систем необходимо рассматривать их функционал и возможности по выявлению / предотвращению утечек. DLP-решения, представленные на рынке, ориентированы на разных потребителей. При выборе такой системы важно понять, что ваша компания точно попадает в целевую аудиторию конкретной системы предотвращения утечек конфиденциальной информации.

Некоторые эксперты в сравнениях и обзорах DLP-систем на рынке используют понятие модульности. Она означает возможность системы контролировать все из коробки или необходимость покупать дополнительные модули для контроля определенных каналов и реализации нужных функций. Пример — UBA-модуль (анализ поведений пользователей), который присутствует по умолчанию далеко не во всех системах.

DLP-решения, представленные на рынке, различаются способом лицензирования. Доступны разные варианты: лицензия на рабочее место, определенный информационный канал, сервер. Благодаря этому можно выбрать удобный для себя способ лицензирования, чтобы не платить за лишние функции.

Важный момент при сравнении DLP-систем— перечень контролируемых и блокируемых протоколов. Подавляющее большинство решений по умолчанию поддерживают HTTP, HTTPS, SMTP, почтовые протоколы и системы мгновенного обмена сообщениями (IM). Также существуют системы, способные контролировать шифрованные протоколы передачи данных SSL/TLS и туннелированные каналы (например VPN).

При сравнении DLP-систем нужно обращать внимания на методы контент-анализа, реализованные в них. Они следующие:

·              Поиск по сигнатурам или морфологический анализ. Основан на поиске в потоке информации некой последовательности символов / слов. Самый простой в реализации: поиск конфиденциальной информации происходит по словарю (предустановленному или добавленному). Но при внедрении DLP с таким методом анализа требуется провести колоссальную работу по подготовке словаря, т.к. в русском языке, в отличие от английского, например, для словообразования используется множество приставок, суффиксов и окончаний.

·              Регулярные выражения. Здесь уже не используется точный набор символов. Поиск осуществляется по определённым правилам, которые прописываются в регулярных выражениях. Показывает высокую эффективность при обнаружении в потоке информации данных о номерах банковских карт, расчетных счетах, ИНН, КПП, номеров телефонов и другой информации, которая может быть представлена цифровой или цифро-буквенной последовательностью.

·              Статистический анализ. Для его реализации используется обучение алгоритмов (машинное обучение). DLP анализирует содержимое документа и находит в нем информацию, которая напоминает защищаемое содержание. Метод эффективен при обработке большого количества информации. Но требуется обучение алгоритмов: чем больше, тем лучше.

·              Цифровые отпечатки. Основан на поиске характерных элементов (признаков) документов и их фрагментов, по которым можно судить о том, что в них содержится защищаемая информация. Эффективен при анализе текстовых и графических файлов, данных, представленных в табличном и других структурированных видах.

·              Цифровые метки. Используется в современных системах все реже (но пока используется). На защищаемые документы накладываются определенные метки, по которым их можно распознать в информационном потоке. Не очень эффективный метод, т.к. обойти защиту можно, например, создав новый документ, и перенеся в него информацию из защищаемого.

В современных DLP-системах одновременно используется несколько методов контентного анализа. Какие-то из перечисленных выше могут быть, а какие-то — нет. Если вам принципиально важно реализация в решении конкретных методов, обязательно уточните, реализованы ли они.

При проведении обзора и сравнения современных DLP-систем на рынке становится понятно, что их ассортимент немаленький. Нужно только понять, чего вы хотите от DLP. Ведь, помимо защиты от утечек с их помощью можно решать другие задачи (контроль рабочего времени, борьба с корпоративным мошенничеством и так далее).