Как выбрать DLP-систему


   


DLP-система (Data Leak Prevention) — программа, которая предотвращает утечку конфиденциальной корпоративной информации. Потребность в таком решении растет с каждым годом: сегодня DLP внедряют и корпорации, и средние по величине компании.
Российские и зарубежные разработчики создают все больше защитных программ, из-за чего пользователям сложно определиться, какой сервис им подходит. Рассмотрим, как выбрать DLP-систему.

[spoiler]

 

С чего начать

Корректное техзадание поможет сразу исключить неподходящие варианты ПО. Какие критерии нужно учитывать:
  1. Сколько каналов одновременно контролирует программа.
  2. Насколько быстро и надежно работает ПО.
  3. Какими аналитическими возможностями обладает программа.
  4. Насколько надежен производитель продукта.
  5. Есть ли техподдержка, насколько быстро она реагирует на обращения пользователей.
  6. Сколько стоит ПО и его обслуживание.
Программа должна предотвращать утечки информации по всем каналам, которые использует организация. Если система оставляет хотя бы одну «лазейку», необходимо оценить, компенсируют ли возможности ПО отсутствие контроля над незащищенным каналом.


Когда понял, что в DLP есть лазейка для кражи данных

В базовые функции систем также входит контроль хранения, использования и передвижения документации внутри компании. Российский рынок предлагает программы, которые при необходимости блокируют внутрикорпоративную информацию и сохраняют ее в виде теневых копий. Отдельные DLP-системы шифруют данные таким образом, чтобы за пределами организации никто не мог их использовать.

Виды DLP-систем

Специалисты выделяют две группы решений — активные и пассивные. Первые в случае нарушения блокируют конфиденциальную информацию. Пассивные системы работают в режиме наблюдателя. Такое ПО не влияет на процесс передачи данных.

Обычно эффективные DLP-системы сочетают в себе возможности решений обоих типов. Активные программы иногда останавливают рабочие процессы из-за неправильных настроек или реакций на события. Установленные в тестовом режиме пассивные системы позволяют проверить корректность мониторинга в такой ситуации. В результате каналы передачи данных находятся под наблюдением, а логирование и архивирование не мешает работе компании.


Как выглядит DLP с возможностями активных и пассивных систем

Также DLP-системы подразделяют на хостовые и сетевые в зависимости от способа архитектурной реализации.

При использовании хостовых на ПК сотрудников компании устанавливают программы-агенты, которые следят за безопасностью и предотвращают попытки навредить компании. Агентское ПО не позволяет запускать программы со съемных устройств. Также агенты фиксируют все действия пользователей и передают сведения в общую базу, чтобы сотрудники службы инфобезопасности знали о ситуации внутри корпоративной сети.

Хостовые решения позволяют полностью контролировать каналы передачи информации и действия персонала. Кроме того, современные DLP-системы умеют записывать переговоры и подключаться к веб-камере. Недостаток хостовых продуктов в том, что под контроль попадают только устройства с прямым подключением, которые связаны непосредственно с рабочей станцией.

Система должна функционировать в скрытом режиме и быть защищенной от удаления. Поэтому только пользователь с правами администратора может остановить агентское ПО и сделать компьютер «невидимым» для DLP-системы.

Сетевые продукты работают с помощью централизованных серверов, куда поступает копия входящего и исходящего трафика. Там он проверяется на соответствие критериям безопасности. Сетевые DLP надежно защищают каналы от постороннего воздействия, поскольку ограничивают доступ к выделенному шлюзу и предоставляют администраторские права ограниченному кругу сотрудников.


DLP предотвратит любые попытки получить доступ

Сферу применения сетевых продуктов определяют протоколы и каналы HTTP(S), XMPP, MSN, POP3 и т.д. Они контролируют все протоколы передачи, которые востребованы в организации. Кроме того, их легко настраивать и внедрять.

Хостовые и сетевые комплексы контролируют разные каналы. По этой причине разработчики решили объединить возможности разнотипных программ. Сегодня большинство инструментов для борьбы с утечками данных — это универсальное ПО.

Еще один нюанс — особенности администрирования. Нужно учитывать, как развертываются компоненты, какими методами распределяются роли, как реализована консоль управления. Администратор должен предварительно оценить информативность и удобство интерфейса, сложность настроек и другие характеристики, которые влияют на управление DLP-системой.

Российский или зарубежный продукт?

Иностранные разработчики уделяют много внимания локализации решений, однако лучше выбирать ПО с привычными лингвистическими алгоритмами.

Закон об импортозамещении обязывает государственные компании и учреждения использовать отечественные системы. При проведении тендеров в госсекторе российские продукты получают преференции.


Какая система — российская или зарубежная — лучше?

Также для обеспечения инфобезопасности лучше выбирать программы, которые сертифицированы ФСТЭК или другими органами. Использовать несертифицированные решения в государственных структурах нельзя. Крупным компаниям, например, «Газпрому», также нужны сертификаты от регулирующих органов.

Аналитические возможности

Узнать, подходит ли организации конкретная DLP-система, помогут следующие критерии:
  • простота создания системы безопасности;
  • информативность отчетов;
  • наличие базы перехвата;
  • инструменты для расследований.
От ведения мониторинга и архивирования перехваченных данных зависит отчетность. Какие типы информации включает теневая копия:
  • интернет-трафик;
  • почтовые рассылки;
  • активность на принтерах;
  • попадающие на USB-носители файлы.
Также копия может содержать информацию, которая проходит по сетевым протоколам.


Хранилище резервных копий должно быть надежным

Теневое копирование помогает расследовать инциденты, однако не все программы оснащены опцией резервирования. Возможность сохранять копии оказывает дополнительную нагрузку на сетевые ресурсы и станции пользователей.

Стоимость решения

Выбор часто зависит от цены ПО. Так, хостовые и сетевые системы дешевле универсальных.
Расширение инструментария также увеличивает стоимость DLP. За возможности самообучения, лингвоанализа, распознавания текста в изображении необходимо доплачивать. Чем выше требования к уровню инфобезопасности в компании, тем более мощной должна быть DLP-система. Что могут «продвинутые» программы:
  1. Выявлять транслитерацию.
  2. Анализировать текст по методу Байеса.
  3. Применять сигнатуры и регулярные выражения.
  4. С помощью технологии «цифровых отпечатков» анализировать документацию с малоизменяемой структурой и содержанием.
  5. Проводить контентный анализ за счет модулей OCR и других средств.
Руководство компании, когда DLP-система экономически выгодна

При желании компания может сэкономить на продукте. Для этого нужно узнать, можно ли докупить необходимые модули. Тогда за лишние каналы перехвата не придется переплачивать.

Перед покупкой надо протестировать несколько DLP-систем в соответствии с техзаданием и бюджетом. Перед испытаниями составьте программу и методику тестирования. Обнаружить все нюансы и проверить работоспособность ПО можно всего за 2-4 недели.





   


Следите за нами в блоге и соцсетях, чтобы не пропустить последние новости.