Выбираем DLP-систему для организации

Достаточно часто потенциальные покупатели программного обеспечения в области предотвращения потери данных сталкиваются со сложностями при принятии решения по вопросу «Как выбрать DLP-систему?». Здесь требуется дополнительное изучение вопроса, определение сильных сторон DLP и критериев выбора хорошей системы защиты. Этот вопрос в этом материале сегодня исследуют аналитики Falcongaze.

Какие задачи решает DLP-система в компании

DLP-система в компании занимает одно из стратегических мест в формировании целостного и эффективного контура безопасности конфиденциальных данных. Задачи, которые решаются с помощью системы, обеспечивают устойчивую защиту от утечек данных. Это ключевое решение, которое может повлиять на всю IT-инфраструктуру компании.

Главные задачи:

• защита от утечки конфиденциальной информации внутри контура предприятия, полный контроль всех каналов коммуникации;
• автоматический анализ контента по множеству параметров с целью выявления опасных ситуаций;
• срабатывание системы с последующим расследованием выявленного инцидента;
• мониторинг эффективности сотрудников и целевого использования рабочего времени;
• получение отчетности по заранее установленным параметрам (в том числе в автоматическом режиме) и другие.

Каждая из этих задач направлена на минимизацию рисков разглашения информации и снижение негативного воздействия на информационное поле компании со стороны сотрудников. Подробнее эту тему мы изучили в статье «Задачи современных DLP-систем».

Критерии хорошей DLP-системы

Хорошая DLP-система должна обладать следующими качествами:

Удобство использования.

Использование DLP-систем не должно вызывать затруднений у клиентов. Интуитивно понятный интерфейс для пользователей и администраторов позволяет легко и естественно взаимодействовать с системой, не прибегая к дополнительным инструментам. Введение в программу требует минимального обучения, пользователи могут быстро перейти к самостоятельному использованию ПО.

Широкий выбор источников анализа.

Чем больше путей передачи информации будет мониторить система, тем лучше и качественнее будет сама услуга обеспечения информационной безопасности. Современные DLP-системы контролируют трафик через различные почтовые клиенты (типа MS Outlook) и почтовые службы (типа gmail.com), сообщения на форумах, посещенные страницы в социальных сетях и других веб-службах по протоколу HTTP/HTTPS, передачу файлов по FTP/FTPS, содержимое баз данных, внешние USB-устройства, печать данных на принтерах и много другое.

Вариативность анализа по форматам файлов.

Важным критерием для использования DLP является гибкость системы в работе с различными типами файлов. Анализируется не только текст, но и видео-, аудиоформаты, изображения, сложные форматы графических файлов типа растровых (TIFF, JPEG, PNG) и векторных (HP-GL, DWG) форматов.

Интеграция с существующей инфраструктурой компаний.

DLP-системы должны максимизировать совместимость с текущими IT-системами и приложениями компаний (программами, операционными системами, сетевыми конфигурациями и другими технологическими решениями, которые использует организация). Например, DLP-система SecureTower контролирует рабочие станции под управлением операционных систем любого из 3-х типов (MacOS, Linux, Windows).

Масштабируемость.

Система должна обеспечивать оперативное реагирование на изменение внутренней модели компании и при необходимости позволить масштабировать (увеличить или уменьшить) количество рабочих станций, покрываемых DLP. ПО Data Loss Prevention должно расти вместе с вашим бизнесом.

Гибкость настройки политик безопасности.

DLP должны обеспечивать возможность адаптации системы под уникальные потребности бизнеса, вариативность условий поиска и анализа, создание политики под частные случаи в компании и так далее.

Точность детекции системы.

Это качество систем, согласно которому минимизируется количество ложных срабатываний при сохранении высокой точности обнаружения угроз. Обеспечивается благодаря точности настроек политик безопасности, обновлениям правил безопасности (согласно изменениям в информационной среде компании и бизнес-процессах), ИИ-обучения DLP, улучшения параметров контекстного и семантического анализа.

Доступность цены.

DLP-системы должны быть доступны разным компаниям, независимо от масштаба. Идеальным решением будет модульная система ПО, в котором каждый потребитель может приобретать только тот функционал, который необходим непосредственно ему.  

Обратная связь и техподдержка со стороны компании-разработчика.

Качественная поддержка и обратная связь от разработчика системы повышает доверие пользователя к продукту. Перспектива остаться один на один с незнакомым ПО, которое, тем более, должно обеспечивать управление такой чувствительной областью, как конфиденциальная информация и мониторинг сотрудников, не повышает доверие клиента к разработчику DLP.

Список вопросов у заказчика DLP-системы

Задайте себе эти вопросы перед принятием ответственного решения о покупке DLP-системы:

• Сможет ли система защитить типы данных, используемые компанией (как классические форматы документов, так и специфические объекты интеллектуальной собственности)?
• Сможет ли система защитить от актуальных для нас угроз информационной безопасности (подозрение в работе инсайдера, большой штат сотрудников на дистанционном формате работы и др.)?
• Какие модули актуально использовать для нас?
• Как установить систему и что требуется (сотрудники, оборудование, мощности)?
• Каков бюджет на внедрение и поддержку DLP-системы (оправданы ли затраты на безопасность информации для конкретной компании, удовлетворяет ли соотношение цена/функционал/стоимость постпродажной поддержки)?

На что еще необходимо обратить внимание при выборе DLP-системы

Кроме основных критериев по функционалу системы, рекомендуем также изучить дополнительные аргументы, которые могут подействовать на конечный выбор DLP.

Рейтинги и отзывы.

Изучите мнения независимых экспертов и отзывы реальных клиентов, просмотрите практические кейсы применения ПО.

Продажи.

Исследуйте, насколько система популярна у пользователей, это может быть индикатором ее надежности.

Рекомендации.

Попробуйте получить советы от коллег по отрасли и IT-специалистов. Узнайте, как проблему утечки информации решили в других компаниях.

Рассмотрим функционал DLP-системы на примере Falcongaze SecureTower

Что такое SecureTower? Это современная DLP-система для предотвращения утечки конфиденциальной информации изнутри компании. С помощью SecureTower все действия сотрудников анализируются автоматически по максимальному количеству источников информации.

DLP-система SecureTower решает три основные задачи информационной безопасности внутри компании:

1. Защиту от утечек данных из контура безопасности компании (по вине сотрудников).
2. Контроль компьютерной активности сотрудников во время работы.
3. Анализ активности и поведения сотрудников за рабочим ПК.

Рассмотрим эти модули подробнее.

Защита от утечек данных

Это один из самых главных функционалов не только SecureTower, но и всех DLP-систем в частности. С помощью этого ПО можно контролировать все каналы коммуникации, которые могут быть использованы для распространения чувствительных данных. SecureTower может контролировать:

• весь веб-трафик и посещение сайтов, соцсетей, мессенджеров;
• почтовые клиенты и службы;
• IP-телефонию;
• использование сетевых и локальных принтеров;
• использование съемных устройств хранения информации USB;
• использование сетевых хранилищ;
• использование буфера обмена, протокола передачи файлов FTP и многое другое.

При разработке SecureTower старались охватить максимальное количество вероятных путей утечки информации. Это разнообразные соцсети и мессенджеры (Telegram, Viber, WhatsApp, Instagram и др.), популярные почтовые сервисы (gmail.com например), мониторинг не только локального оборудования для печати, но и сетевых принтеров. Важно знать, что SecureTower постоянно расширяет список контролируемых источников, а также поддерживает разные версии приложений (как десктопных, так и веб-версий). Подробнее с функционалом можно познакомиться по ссылке.

Анализ всех действий производится в автоматическом режиме с помощью исследования текстовых файлов и текста (с учетом особенностей языка и грамматическими ошибками, транслитом), изображений (по анализу текста на изображениях, фото, печатях, документах), аудио (аудиозвонки и голосовые сообщения), статистического анализа (по числу действий), анализа по цифровым отпечаткам, по хэш-функциям, по CAD-файлам, распознавание замаскированных файлов. DLP-система старается не упускать информацию, как бы сам отправитель не противился этому.

Что еще важно знать? Что современные DLP-системы – это не только средство аналитики. Это в первую очередь возможность быстрого, молниеносного реагирования на опасность. SecureTower также предусматривает инструменты мгновенной блокировки нарушений правил безопасности.

Разберем пример: веб-дизайнер во время личной переписки в Instagram не заметил, что вместе с персональными файлами загрузил презентацию новых страниц сайта с пока не анонсированным функционалом продукта компании. Без применения DLP-системы файл спокойно был бы отправлен и конфиденциальная информация компании, которая лежит в основе продвижения бизнеса на ближайшие 1-2 года, была бы разглашена. Но благодаря применению современной DLP-системы этого инцидента удалось избежать.

Решение было реализовано согласно предустановленному правилу безопасности «Утечка информации-Утечка чертежей», в котором выставлены условия контроля утечки файлов с расширение cdw, cdr, cdt, dwg, dxf и др. и правилам блокировки в настройках агента.

При этом конкретному действию можно присудить уровень риска, а это значит, информация об инциденте будет учтена в специальных отчетах системы.

Контроль компьютерной активности сотрудников во время работы

Современные компании все больше обеспокоены автоматизацией процесса мониторинга активности сотрудников и получением достоверных данных об использовании рабочих инструментов и времени по целевому назначению. Особенно это стало актуально в последнее пятилетие, когда периметр компаний распространился за пределы физического периметра на дистанционных работников и фрилансеров. 

Применение DLP-системы для контроля компьютерной активности сотрудников может применяться:

• Руководителем компании, для получения полной картины рабочего времени на предприятии.
• Менеджерами, для мониторинга сотрудников в подразделении и оптимизации производственных функций.
• Специалистами отдела безопасности компании, для мониторинга инцидентов ИБ и предупреждения риска утечки конфиденциальной информации.

 Это также важный функционал для современных систем. Конечный пользователь (компания) может решить сразу несколько производственных задач одним программным продуктом, без установки дополнительных трекеров рабочего времени. К тому же в DLP-системах используются инструменты аналитики, которые недоступны в классических таск-менеджерах и CRM. Здесь оценивается и связывается в логическую цепочку опасность нецелевого или злонамеренного использования информации и нелояльные или неэффективные сотрудники компании. Этот подход более визуализирован и формирует полную картину происходящего.

Контроль компьютерной активности сотрудника во время рабочего дня включает:

1. Получение и анализ полного списка всех данных, передаваемых через компьютерную сеть (посещение всех сайтов, социальных сетей с рабочего компьютера).
2. Работу с программами на рабочей станции.
3. Удаление или изменение данных в пуле информации компании.
4. Общение в мессенджерах и по e-mail.
5. Подключение и использование съемных носителей информации (USB-устройства).
6. Визуальный мониторинг нахождения сотрудника на рабочем месте, сверка его биометрических данных и сопоставление персоны за компьютером с параметрами сотрудника.
7. Аудиомониторинг (исследование разговоров за рабочим компьютером).

Комплекс этих мер помогает руководителю предприятия (менеджеру, специалисту отдела безопасности) выявить нелояльных сотрудников, сравнить эффективность отдельных лиц, всего отдела, предприятия, понять, какие риски несет принятая кадровая политика, и многое другое.

Для чего компания планирует использовать DLP?

DLP-системы закрывают сразу несколько важных бизнес-задач, которые возникают перед большинством компаний. Для выбора подходящей системы каждое предприятие должно исходить от максимальной функциональности именно в частном случае, каким сопоставлением сил и средств это будет решено, и кто из поставщиков ПО обеспечит такое предложение.

К примеру, при помощи SecureTower пользователи стремятся решить несколько задач по:

• контролю сотрудников в офисе;
• контролю сотрудников на удаленной работе;
• соответствию требованиям регуляторов в сфере хранения и использования персональной информации;
• контролю движения внутренней конфиденциальной информации и противодействию утечек;
• выявлению внутренних угроз информационной безопасности;
• расследованию инцидентов нарушения информационной целостности, достоверности и максимизации прозрачности бизнес-процессов;
• контролю мобильных рабочих станций, которые используются сотрудниками;
• контролю и инвентаризации нематериальных и материальных активов компании (программного обеспечения, оборудования);
• оперативному реагированию на инциденты безопасности и обеспечения информирования ответственного персонала и менеджмент.

Это только малая часть решаемых с помощью DLP-системы задач. Каждое предприятие использует эту систему, во-первых, ситуативно (по факту возникновения запроса на решение проблемы), во-вторых — согласно встроенному функционалу. Поэтому для каждого пользователя так важно оценить фронт работы и сделать выбор.

Какие ресурсы потребуются для работы с DLP?

Каждый программный продукт выставляет собственные системные требования и оборудование, которое понадобится для работы DLP-системы. Как правило, установка системы не требует значительных финансовых вливаний в обновления оборудования и ПО компании.

Так, на примере DLP-системы SecureTower системные требования можно разделить на несколько пакетов:

• для установки серверного оборудования;
• для установки клиентской части (для работы с консолью);
• для установки конечных точек (для агентов системы).

Как правило, эти требования касаются параметров процессора, сетевых адаптеров, оперативной памяти, параметров жесткого диска, видеокарты, поддерживаемых операционных систем, заранее предустановленных компонентов. Подробнее о системных требованиях можно прочитать на официальном сайте по ссылке.

Кроме требований под установку и работу необходимо позаботиться о хранении данных, получаемых системой. Для этого можно использовать различные типы СУБД (платные и open-source продукты). Например:

• Microsoft SQL;
• Oracle SQL;
• PostgreSQL;
• MySQL;
• SQLite.

Исходя из индивидуальных пользовательских настроек и данных системы, каждая компания может приблизительно посчитать, какой объем памяти необходимо задействовать под DLP. Для этого нужно умножить количество сотрудников, подключенных к системе, на среднемесячный объем перехваченных данных (1,3-2 ГБ) и на количество месяцев, которые планируют хранить информацию.

Рассмотрим на примере возможность применения DLP-системы.

Кейс

Давайте более детально рассмотрим выбор, задачи и этапы реализации DLP-системы на примере компании «Кит».

Описание задачи для DLP:

Компания «Кит» занимается разработкой инновационных технологических решений в области робототехники. В связи с высококонкурентной средой и необходимостью защиты интеллектуальной собственности возникла потребность реализации максимального уровня безопасности информации. При этом руководство компании начало фиксировать необычную активность в корпоративной сети, включая несанкционированный доступ к документам с метками «конфиденциально» и увеличение объема исходящего трафика. Это вызвало подозрения о возможной утечке критичных данных.

Как реализовывалась задача:

Анализ и диагностика.

В контур безопасности компании была установлена DLP-система Falcongaze SecureTower с помощью доставки агентов на рабочие станции сотрудников.

Был проведен мониторинг сетевого трафика для выявления аномалий и подозрительных действий сотрудников. Был обеспечен мониторинг электронной почты и переписки (DLP-система интегрирована с корпоративным почтовым сервером для отслеживания всех исходящих сообщений). Установлены правила для блокировки отправки писем, содержащих признаки конфиденциальной информации.

Использование DLP-системы позволило ввести контроль за использованием мессенджеров, социальных сетей и общим веб-трафиком в рабочее время (с вариативностью статистики (по категориям, по сайтам и т. д.).

Блокировка опасных действий и анализ источника угрозы.

Установка DLP-системы обеспечила инструмент блокировки передачи данных на внешние устройства (не зарегистрированные в системе). Также специалисты отдела безопасности получили полный отчет об инцидентах, с подробной расшифровкой об участниках, этапах подготовки и новых причастных к инциденту.

Наказание виновных.

DLP-система помогла выявить нелояльных сотрудников и применить к ним административные и кадровые меры наказания.

Архивация всех действий сотрудников.

С помощью DLP-системы компания смогла создать архив логов для анализа действий сотрудников и максимизации контура безопасности.

Акцент на реагирование и предупреждение.

Была инициирована разработка процедур реагирования на инциденты, включая быстрое расследование и принятие мер. Усилились профилактические меры безопасности: были запланированы регулярные тренинги для сотрудников по информационной безопасности. Разработана и внедрена корпоративная политика информационной безопасности.

Эти меры позволили компании «Кит» не только предотвратить утечки данных, но и создать культуру безопасности среди сотрудников, что является важным фактором в долгосрочной стратегии защиты информации.