Защита данных от внутренних угроз
Узнать большеВ эпоху цифровых технологий ощутимо растет число киберпреступлений. Большинство из них связано с кражей конфиденциальных данных, их нецелевым, корыстным использованием злоумышленниками. Проблема носит массовый характер, затрагивает каждую компанию, независимо от ее сферы деятельности. Сегодня многие организации используют DLP-системы для выявления и предотвращения внутренних угроз, связанных с действиями собственных сотрудников организации и других инсайдеров. DLP-системы контролируют коммуникации сотрудников по различным каналам, обнаруживают признаки готовящихся утечек и позволяют заблокировать попытку передачи конфиденциальных сведений вовне. Рассмотрим детально практические советы по применению DLP-систем для защиты информации.
Совет первый: сокращаем долю ручного труда путем использования политик DLP
Благодаря политикам DLP-системы выявляются подозрительные события и инциденты в контуре организации. Политики DLP должны быть максимально конкретны и детализированы, поскольку они способны охватить всю инфраструктуру компании, избежать пропуска отдельных событий и незначительных, на первый взгляд, ситуаций. Ручной поиск проблем, случаев нарушений просто не способен охватить все ситуации в системе, особенно, если компания крупная или мошенническая схема носит скрытый характер и реализуется постепенно. Имеет смысл отдать приоритет политикам над ручным поиском инцидентов, опираться именно на них в ходе рутинной и ежедневной работы в DLP-системе.
Совет второй: использовать совместный доступ к DLP
В крупных компаниях служба безопасности зачастую представлена обособленными подразделениями в разных филиалах. При этом сотрудники могут заниматься разными задачами и плохо контактировать между собой для обеспечения общей безопасности. Также распространенной является ситуация с подачей абстрактных запросов в адрес офицера безопасности для предоставления тех или иных данных для коллег. Поиск и сбор данных в такой ситуации происходит обычно вручную. Это неэффективно, долго, нерационально. Лучше использовать DLP-систему как единый инструмент проведения расследований для всех подразделений, где работа ведется прямо в интерфейсе системы. Для этого достаточно настроить ролевую модель доступа для сотрудников службы безопасности. Тем самым сотрудники службы безопасности быстрее и точнее найдут интересующую информацию, сопоставят данные, выполнят расследование.
Совет третий: избавляемся от мешающих правил политик
Внедрение DLP-системы в организацию сопровождается установкой стандартных, преднастроенных, политик безопасности, которые нацелены на обеспечение максимального количества полезных возможностей при использовании большинством заказчиков. Однако мы все же рекомендуем через какое-то время после внедрения DLP обновить политики на более подходящие конкретной организации. Обилие правил может стать камнем преткновения на стадии эксплуатации: замедлять работу системы, расходовать на это ресурсы, контролировать области, которые компании, по сути, неактуальны, а также буквально засыпать офицера безопасности ложными уведомлениями. Ревизия политик безопасности, исключение неиспользуемых правил – оптимальный вариант развития вашей DLP, после реализации которого ее польза станет еще более очевидной и прозрачной.
Совет четвертый: доработка политик должна стать непрерывным процессом
Нельзя забывать о том, что какой бы хорошей и отточенной не была политика безопасности, она рано или поздно устареет. Рынок меняется, меняются бизнес-процессы внутри организации, вводятся новые правила, законы, стандарты. В таких условиях неизбежны работы по дополнительной настройке текущих политик, иначе DLP-система перестанет эффективно функционировать: увеличится число ложных срабатываний, возрастет нагрузка на службу безопасности. Точно настроенная и доработанная политика характеризуется широким полем для выявления инцидентов и низким числом ложных срабатываний. Для начала необходимо добиться уменьшения числа ложноположительных сигналов, после дополнить текущую модель политики безопасности новыми правилами.
Совет пятый: расширять область применения DLP-систем, интегрировать ее с другими решениями
DLP-система чаще всего используется в стандартном режиме по принципу «as is» («как есть»). Однако помимо обработки трафика, DLP-решения наделены функциями сканеров файловых и облачных хранилищ, контроля рабочего времени, проведения расследований инцидентов безопасности и так далее. Этим можно и нужно пользоваться, чтобы задействовать все доступные возможности, расширять базовый функционал. У современных DLP-решений также есть возможности интеграции с инструментами классов IRP, SOAR, SIEM, BI, SWG, NGFW, DAM, DCAP и так далее.
Надеемся, что описанные выше 5 практических советов использования DLP-систем помогут сделать их более эффективным и удобным инструментом. Приведенные рекомендации справедливы и для Solar Dozor. Это функциональный и гибкий инструмент, который поможет контролировать коммуникации сотрудников на рабочем месте, своевременно обнаруживать и предупреждать утечки информации и другие внутренние угрозы.
