8 (800) 302-85-23

29.04.2021

Принцип работы DLP-системы: как устроены современные DLP-системы

Принцип работы DLP-системы: как устроены современные DLP-системы
Без драмы и ложных срабатываний: новый подход «Солара» к анализу open source

Вебинар

30 июля | 12:00 МСК

Без драмы и ложных срабатываний: новый подход «Солара» к анализу open source

Зарегистрироваться

Получить консультацию по Solar Dozor

Как работает DLP-система

Основная задача DLP-системы — предотвращение утечек информации. Кроме того, такие решения позволяют расследовать инциденты, связанные с утечками важных данных, а также выявлять сотрудников, склонных к нарушениям. Работа всех современных DLP-систем строится на схожих принципах. Они держат в фокусе 3 вида сущностей. Это — информация, нарушения и люди. Поэтому, рассмотрев принцип работы DLP-системы на примере нашего решения Solar Dozor, вы получите представление и о функционировании аналогов. Конечно, в зависимости от вендора, будут свои нюансы, но общие принципы и подходы идентичны.

Сценарии (режимы) работы DLP-систем

Сценарии использования решений для предотвращения утечек информации можно разделить на 2 больше группы: мониторинг обстановки и расследование инцидентов. Большую часть времени DLP-система в компании используется в режиме мониторинга.

Функционирование системы предотвращения утечек информации в режиме мониторинга

DLP-системы отслеживают:

  • исходящий и входящий web-трафик;

  • коммуникации сотрудников по различным каналам связи, в социальных сетях, на форумах и иных ресурсах;

  • информацию, хранящуюся на рабочих станциях, серверах, в облачных хранилищах;

  • факты загрузки файлов на съемные носители;

  • внесение изменений в документы, отправку их на печать и прочие события;

  • рабочее время и действия сотрудников: использование программного обеспечения, интернет-сервисов, попытки изменения конфигурации ПО, оборудования и так далее.

В режиме мониторинга работа DLP-систем основана на использовании предустановленных и настроенных пользователей правил и политик. Решение фильтрует трафик, действия пользователей и другие явления и формирует из них события информационной безопасности. Далее события поступают на обработку офицеру службы информационной безопасности (либо специалисту первой линии, в зависимости от структуры службы ИБ в компании). Перед этим каждому из них присваивается степень важности (опасности). Офицер по информационной безопасности обрабатывает событие, и принимает решение, «пропустить» его или присвоить статус инцидента. Инциденты поступают на обработку аналитикам, которые принимают решение о назначении расследования или других действиях.

При необходимости можно настроить автоматическую реакцию DLP-системы на критические события информационной безопасности. Это позволит реализовать выполнение основной задачи таких решений — предотвращение утечек, а не их обнаружение постфактум. Например, при обнаружении в отправляемом сообщении или прикрепленном файле запрещенной информации система блокирует его передачу. Далее сведения о событии передаются офицеру службы информационной безопасности, который принимает решение, действительно ли имеет место инцидент и требуется расследование, или разблокирует событие.

Аналитики (вторая линия ИБ) проводят детальный анализ инцидента и принимают по его результатам соответствующие меры. Они могут быть разными: инициирование расследования, отнесение сотрудника к определенной группе риска с организацией наблюдения за ним и так далее.

Мониторинг организуется на хостовом и сетевом уровне. Наблюдение за хостами осуществляется при помощи endpoint-агентов. Для наблюдения за серверами, proxy и другими компонентами IT-инфраструктуры также используются специальные агенты.

Работа DLP-систем при проведении расследований инцидентов ИБ

Основой для расследования инцидентов информационной безопасности служит архив коммуникаций и событий, происходящих в защищаемой IT-инфраструктуре. Его в обязательном создает в процессе работы любая DLP-система. При расследовании инцидентов в области ИБ решения для предотвращения утечек могут:

  • формировать цепочки событий, спровоцировавших возникновение инцидента;

  • выявлять нарушителей требований в области ИБ, устанавливать их связи внутри защищаемого периметра и за его пределами;

  • строить схемы распространения информации, с помощью которых отслеживается полный путь движения данных от момента создания до утечки;

  • выявлять аномалии в поведении сотрудников, которые могли привести к утечкам и другим явлениям в защищаемой инфраструктуре.

Расследования с помощью DLP-решений могут вестись в отношении персоны, а также в отношении объекта. В качестве объектов выступают различные сущности: файлы, архивы, наборы конфигураций оборудования и так далее.

Модули и технологии, обеспечивающие работу DLP-систем

Добиться высоких показателей эффективности в сочетании с удобством использования решений для предотвращения утечек позволяет модульная система их построения. В частности, работу Solar Dozor обеспечивают следующие компоненты и модули:

  • базовый модуль. Обеспечивает реализацию основного функционала решения: установку политик безопасности, фильтрацию информации, организацию хранения архива коммуникаций, управление событиями безопасности, поиск по архиву, формирование отчетности;

  • модуль долговременного хранения архива. Отдельный компонент для управления архивами — это очень удобно. С его помощью организуется упорядочивание баз с коммуникациями и событиями, их подключение / отключение при расследовании инцидентов и так далее;

  • компоненты для распознавания текста. OCR-модуль, как правило есть в составе базового. Но для увеличения качества распознавания целесообразно подключать сторонние решения. Например, в Solar Dozor подключён модуль от ABBYY, обеспечивающий распознавание до 1 Тб в сутки, что почти на 380% больше, чем у аналогов;

  • модуль UBA. Важная часть DLP-решения. Позволяет сфокусироваться на сотрудниках (большинство инцидентов случается как раз из-за них);

Кроме того, при необходимости можно подключать модули для организации защиты от утечек информации филиалов, удаленных сотрудников. Возможна интеграция системы со сторонними решениями (SIEM и другими) для сбора контекстной информации об инцидентах, что повышает качество их расследования.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Информационная безопасность предприятий: средства и способы ее обеспечения

Информационная безопасность предприятий: средства и способы ее обеспечения

Узнать больше
Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Узнать больше
Ретроспективный анализ: что это такое и когда применяется

Ретроспективный анализ: что это такое и когда применяется

Узнать больше
Расследование инцидентов информационной безопасности

Расследование инцидентов информационной безопасности

Узнать больше
Оборотные штрафы за утечки персональных данных

Оборотные штрафы за утечки персональных данных

Узнать больше
Охрана коммерческой информации в банках с помощью DLP

Охрана коммерческой информации в банках с помощью DLP

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.