Принцип работы DLP-системы: как устроены современные DLP-системы

Как работает DLP-система

Основная задача DLP-системы — предотвращение утечек информации. Кроме того, такие решения позволяют расследовать инциденты, связанные с утечками важных данных, а также выявлять сотрудников, склонных к нарушениям. Работа всех современных DLP-систем строится на схожих принципах. Они держат в фокусе 3 вида сущностей. Это — информация, нарушения и люди. Поэтому, рассмотрев принцип работы DLP-системы на примере нашего решения Solar Dozor, вы получите представление и о функционировании аналогов. Конечно, в зависимости от вендора, будут свои нюансы, но общие принципы и подходы идентичны.

Сценарии (режимы) работы DLP-систем

Сценарии использования решений для предотвращения утечек информации можно разделить на 2 больше группы: мониторинг обстановки и расследование инцидентов. Большую часть времени DLP-система в компании используется в режиме мониторинга.

Функционирование системы предотвращения утечек информации в режиме мониторинга

DLP-системы отслеживают:

• исходящий и входящий web-трафик;

• коммуникации сотрудников по различным каналам связи, в социальных сетях, на форумах и иных ресурсах;

• информацию, хранящуюся на рабочих станциях, серверах, в облачных хранилищах;

• факты загрузки файлов на съемные носители;

• внесение изменений в документы, отправку их на печать и прочие события;

• рабочее время и действия сотрудников: использование программного обеспечения, интернет-сервисов, попытки изменения конфигурации ПО, оборудования и так далее.

В режиме мониторинга работа DLP-систем основана на использовании предустановленных и настроенных пользователей правил и политик. Решение фильтрует трафик, действия пользователей и другие явления и формирует из них события информационной безопасности. Далее события поступают на обработку офицеру службы информационной безопасности (либо специалисту первой линии, в зависимости от структуры службы ИБ в компании). Перед этим каждому из них присваивается степень важности (опасности). Офицер по информационной безопасности обрабатывает событие, и принимает решение, «пропустить» его или присвоить статус инцидента. Инциденты поступают на обработку аналитикам, которые принимают решение о назначении расследования или других действиях.

При необходимости можно настроить автоматическую реакцию DLP-системы на критические события информационной безопасности. Это позволит реализовать выполнение основной задачи таких решений — предотвращение утечек, а не их обнаружение постфактум. Например, при обнаружении в отправляемом сообщении или прикрепленном файле запрещенной информации система блокирует его передачу. Далее сведения о событии передаются офицеру службы информационной безопасности, который принимает решение, действительно ли имеет место инцидент и требуется расследование, или разблокирует событие.

Аналитики (вторая линия ИБ) проводят детальный анализ инцидента и принимают по его результатам соответствующие меры. Они могут быть разными: инициирование расследования, отнесение сотрудника к определенной группе риска с организацией наблюдения за ним и так далее.

Мониторинг организуется на хостовом и сетевом уровне. Наблюдение за хостами осуществляется при помощи endpoint-агентов. Для наблюдения за серверами, proxy и другими компонентами IT-инфраструктуры также используются специальные агенты.

Работа DLP-систем при проведении расследований инцидентов ИБ

Основой для расследования инцидентов информационной безопасности служит архив коммуникаций и событий, происходящих в защищаемой IT-инфраструктуре. Его в обязательном создает в процессе работы любая DLP-система. При расследовании инцидентов в области ИБ решения для предотвращения утечек могут:

• формировать цепочки событий, спровоцировавших возникновение инцидента;

• выявлять нарушителей требований в области ИБ, устанавливать их связи внутри защищаемого периметра и за его пределами;

• строить схемы распространения информации, с помощью которых отслеживается полный путь движения данных от момента создания до утечки;

• выявлять аномалии в поведении сотрудников, которые могли привести к утечкам и другим явлениям в защищаемой инфраструктуре.

Расследования с помощью DLP-решений могут вестись в отношении персоны, а также в отношении объекта. В качестве объектов выступают различные сущности: файлы, архивы, наборы конфигураций оборудования и так далее.

Модули и технологии, обеспечивающие работу DLP-систем

Добиться высоких показателей эффективности в сочетании с удобством использования решений для предотвращения утечек позволяет модульная система их построения. В частности, работу Solar Dozor обеспечивают следующие компоненты и модули:

• базовый модуль. Обеспечивает реализацию основного функционала решения: установку политик безопасности, фильтрацию информации, организацию хранения архива коммуникаций, управление событиями безопасности, поиск по архиву, формирование отчетности;

• модуль долговременного хранения архива. Отдельный компонент для управления архивами — это очень удобно. С его помощью организуется упорядочивание баз с коммуникациями и событиями, их подключение / отключение при расследовании инцидентов и так далее;

• компоненты для распознавания текста. OCR-модуль, как правило есть в составе базового. Но для увеличения качества распознавания целесообразно подключать сторонние решения. Например, в Solar Dozor подключён модуль от ABBYY, обеспечивающий распознавание до 1 Тб в сутки, что почти на 380% больше, чем у аналогов;

• модуль UBA. Важная часть DLP-решения. Позволяет сфокусироваться на сотрудниках (большинство инцидентов случается как раз из-за них);

Кроме того, при необходимости можно подключать модули для организации защиты от утечек информации филиалов, удаленных сотрудников. Возможна интеграция системы со сторонними решениями (SIEM и другими) для сбора контекстной информации об инцидентах, что повышает качество их расследования.