author

Редакция Falcongaze

Авторы материала

Обновлено: 
4 мин.

Каналы утечки данных и как DLP-система их контролирует

Чаще всего конфиденциальные данные покидают компанию не через взлом периметра, а через обычные рабочие каналы: почту, флешку, облако, мессенджер. Формальная классификация важна для понимания картины, но CISO (руководителю по информационной безопасности) нужен не список угроз, а инструмент, который контролирует эти каналы в реальном времени.

Разбираемся, какие каналы утечки данных реально работают в компании и как DLP-система (Data Loss Prevention — предотвращение утечек данных) закрывает их на практике.


Что такое канал утечки данных и по каким принципам их классифицируют

Канал утечки — это путь неконтролируемого выхода конфиденциальной информации за пределы контролируемой зоны предприятия: сети, устройств, физического периметра офиса. Контроль таких каналов — одна из базовых задач обеспечения информационной безопасности компании.

В специальной литературе принята техническая классификация — технические каналы утечки информации (ТКУИ). Выделяют четыре физических вида:

  • акустический;
  • оптический;
  • радиоэлектронный;
  • материально-вещественный.

Это парадигма гостехзащиты и спецразведки: полезна для эрудиции специалисту по информационной безопасности (ИБ), но малоприменима на практике — большинство инцидентов происходит не через перехват побочных электромагнитных излучений и наводок (ПЭМИН), а через легальные каналы.

Вторая, корпоративно-сетевая парадигма — деление по каналам передачи и действиям пользователей: почта, мессенджеры, веб, съёмные носители, печать. Она отвечает на практический вопрос ИБ-руководителя — что контролировать и чем.

По происхождению утечки делят на умышленные (инсайдер, конкурентная разведка) и неумышленные (ошибка, халатность, социальная инженерия) — вторая категория массовее: сотрудник переслал таблицу с данными клиентов на личную почту, чтобы поработать дома, или его обманом заставили передать файл под видом руководителя. По источнику утечку делят на инсайдерскую (штатный сотрудник), подрядную (аутсорсинг ИТ или бухгалтерии — риск, часто выпадающий из поля зрения) и связанную с увольнением, когда мотив совпадает с ещё не отозванным доступом.

Источники утечки


Основные каналы утечки в корпоративной среде

Корпоративная карта строится вокруг рабочих инструментов, которыми сотрудник пользуется ежедневно, — и объединяет то, что уходит через сеть, и то, что физически покидает офис:

  • корпоративная и веб-почта;
  • мессенджеры и социальные сети;
  • веб-трафик и HTTPS (защищённый протокол передачи данных);
  • USB (универсальная последовательная шина) и другие съёмные носители;
  • сетевая и локальная печать;
  • буфер обмена;
  • файловые операции и сетевые хранилища;
  • облачные хранилища;
  • голосовые и видеозвонки.

Основные каналы утечки в корпоративной среде

Каждый канал требует своего механизма контроля: часть данных уходит мгновенно в текстовом виде, другая — физически, на флешке или в распечатке, а печать и буфер обмена не оставляют сетевого следа и закрываются только агентом.

Контроль каналов утечки через DLP
Канал утечки Как происходит утечка Чем контролируется (DLP)
Корпоративная и веб-почта Отправка файла на личный ящик Анализ содержимого писем, блокировка, архив
Мессенджеры и соцсети Пересылка данных в личном чате Перехват переписки, анализ вложений
USB и съёмные носители Копирование базы на флешку Контроль подключения устройств
Веб и облачные хранилища Загрузка документа в личное облако Контроль веб-трафика (HTTPS) и файловых операций
Печать Распечатка с последующим выносом Контроль заданий печати
Буфер обмена Копирование фрагмента в стороннее приложение Контроль содержимого буфера обмена

Как DLP-система контролирует каналы утечки

Здесь классификация заканчивается и начинается реальная защита информации и инженерная механика. DLP-система в разрезе контроля каналов — это комплекс, который берёт под контроль исходящий контур компании в три этапа: снимает данные, распознаёт защищаемую информацию и реагирует на нарушение по заданным политикам.

Как DLP снимает данные. Съём устроен двумя способами: программный агент на рабочей станции фиксирует действия пользователя, а зеркалирование трафика анализирует данные без установки агента. На практике оба способа используются в комплексе: агент закрывает локальные действия, зеркалирование — сетевые протоколы передачи.

Как DLP распознаёт конфиденциальные данные. Распознавание строится на нескольких видах анализа. Контентный анализ разбирает содержимое с учётом морфологии и транслитерации — детектирует слова, фразы, символы и аббревиатуры, а на изображениях и сканах то же делает OCR (оптическое распознавание символов), извлекающий текст, печати и штампы. Статистический анализ смотрит на отклонение числовых показателей от нормы — например, объём скопированных на USB файлов. Событийный анализ реагирует на действие: запуск приложения, передачу запароленного архива. Атрибутивный — учитывает атрибуты файлов (расширение) и устройств (серийный номер, марку). Отдельно система распознаёт голосовые сообщения и звонки, переводя их в текст. Ниже — что определяет каждая технология.

Технологии распознавания данных
Технология распознавания Что распознаёт
Контентный анализ Ключевые слова, фразы, аббревиатуры, регулярные выражения и другие текстовые шаблоны.
Цифровые отпечатки Конфиденциальные документы целиком, их фрагменты и копии, даже после незначительных изменений.
OCR Текст, печати, штампы и другие текстовые элементы на изображениях, фотографиях и сканах документов.
Распознавание речи Содержание голосовых сообщений, аудио- и видеозвонков после преобразования речи в текст.
Статистический анализ Отклонения в объёме передаваемых данных и активности пользователей.
Событийный анализ Действия пользователей и системы: запуск приложений, подключение устройств, передачу файлов, архивов и другие события.
Атрибутивный анализ Атрибуты файлов и устройств: расширение, серийный номер, модель, производитель, тип оборудования и другие свойства.

Ни одна технология сама по себе не останавливает утечку — она лишь распознаёт защищаемую информацию. Решение о блокировке принимает сама система — на основе заранее утверждённых администраторами правил.

Реакция в реальном времени. При обнаружении нарушения система способна заблокировать передачу, уведомить офицера безопасности и сохранить копию инцидента в архиве.

Это ключевое преимущество DLP-контроля, реакция здесь и сейчас, а не постфактум. При этом блокировка подтверждена не для всех протоколов сразу: где-то система только мониторит, где-то останавливает передачу до того, как файл покинет сеть.

Законность контроля каналов и переписки

Контроль переписки — не серая зона, но и не автоматическое право работодателя. Правомерность обеспечивается связкой из трёх условий: каналы объявлены служебными в локальном нормативном акте (ЛНА) — политике информационной безопасности или регламенте в трудовом договоре; сотрудник ознакомлен под подпись; обработка ведётся с целью, заявленной по 152-ФЗ «О персональных данных».

Формула «можно, если предупредили» юридически неполна: без ЛНА и подписи одного уведомления недостаточно. Применимы также ст. 22 и 86–90 ТК РФ и 98-ФЗ «О коммерческой тайне» — если информация относится к этому режиму.


Как выстроить защиту от утечек: этапы внедрения

Контроль каналов — это процесс, а не разовая настройка: установки DLP-решения недостаточно, если не настроены политики безопасности. Начинать стоит с инвентаризации, а систему затем переводят из режима наблюдения в режим активного реагирования. Типичная последовательность:

  • инвентаризация конфиденциальных данных и каналов их передачи;
  • классификация информации и разработка политик безопасности;
  • выбор режима — от мониторинга до активной блокировки;
  • пилотный запуск на ограниченном контуре;
  • полноценная эксплуатация с расследованием инцидентов.

О повышенном риске утечки говорят не абстрактные ощущения, а конкретные признаки:

  • массовое использование личной почты и облаков для рабочих файлов — данные уже покидают периметр в обход контроля;
  • отсутствие политики работы с USB-носителями — свободное копирование базы клиентов или кода на флешку;
  • отсутствие журнала печати — невозможно установить, кто и когда выносил документы на бумаге;
  • увольняющиеся сотрудники сохраняют доступ до последнего дня — период повышенного риска целенаправленного выноса данных.

DLP-система закрывает каждый из этих сценариев технически — по факту передачи, копирования или печати, — но работает в полную силу только в связке с организационными мерами: регламентами, обучением сотрудников и регулярным пересмотром прав доступа.

Так, DLP-система Falcongaze SecureTower контролирует каналы утечки на исходящем контуре: снимает данные агентом и зеркалированием трафика, распознаёт конфиденциальную информацию за счёт контентного анализа, цифровых отпечатков, OCR, правил и атрибутов файлов, распознаёт голосовые сообщения, блокирует передачу в моменте — для почты по протоколам MAPI, SMTP и веб-почту — и ведёт архив коммуникаций.

Систему можно протестировать бесплатно 30 дней в полнофункциональном режиме для юрлиц и оценить, какие каналы утечки реально задействованы в вашей компании.


Заключение

Контроль каналов утечки складывается из четырёх слоёв: практической карты каналов, инженерной механики DLP — съёма, распознавания и блокировки; правовой основы на ЛНА и 152-ФЗ; и процесса внедрения от инвентаризации к эксплуатации. Технической классификации недостаточно — нужна система, которая эти каналы контролирует на практике.


Часто задаваемые вопросы

  • Какие каналы утечки данных самые опасные для компании?
     

    Наибольшую долю инцидентов дают легальные рабочие каналы, которыми сотрудники пользуются ежедневно: корпоративная и личная почта, мессенджеры, съёмные носители и облачные хранилища. Они опаснее не по технической сложности, а по массовости использования.

  • Чем DLP-контроль каналов отличается от антивируса и файрвола?
     

    Антивирус и файрвол защищают периметр от внешних угроз — вредоносного кода и несанкционированных подключений. DLP-система смотрит на данные и действия пользователей изнутри и контролирует легальные каналы их выхода, дополняя периметровые средства защиты конфиденциальной информации, а не заменяя их.

  • Как DLP снимает данные — через агент на компьютере или зеркалирование трафика?
     

    Оба способа применяются в комплексе. Агент на рабочей станции фиксирует локальные действия — работу с файлами, USB, печать, буфер обмена. Зеркалирование сетевого трафика анализирует данные, передаваемые по сети, без установки агента на конечное устройство.

  • Может ли DLP заблокировать передачу конфиденциального файла в реальном времени?
     

    Да, но не универсально для всех каналов и протоколов одновременно. Для электронной почты блокировка подтверждена по протоколам MAPI, SMTP и для веб-почты; по другим каналам конкретный набор реакций зависит от настроенных политик безопасности.

  • Законно ли контролировать каналы связи и переписку сотрудников?
     

    Да, при соблюдении трёх условий: каналы объявлены служебными в локальном нормативном акте, сотрудник ознакомлен с этим документом под подпись, а обработка данных ведётся с конкретной целью по 152-ФЗ. Одного лишь уведомления сотрудника недостаточно.

  • Можно ли перехватывать и архивировать корпоративную переписку сотрудников?
     

    Да, если это закреплено в политике информационной безопасности и трудовом договоре. Архив переписки используется для расследования инцидентов и подготовки доказательной базы.

  • Какие данные умеет распознавать DLP — например, текст на картинке или голос?
     

    Да, оба варианта подтверждены: OCR распознаёт текст, печати и штампы на изображениях и сканах, а технология распознавания речи анализирует содержание голосовых сообщений и звонков, переводя их в текст для дальнейшего анализа.

Важные публикации