+375 (17) 311-10-14
+375 (17) 311-10-14
Попробовать бесплатно
Попробовать бесплатно
+375 (17) 311-10-14
    DLP-система
    08.04.2025
    12 мин.

    Сбор, хранение и анализ больших массивов данных в DLP-системе SecureTower

    Сегодня мы можем наблюдать среди компаний значительное увеличение спроса на сбор, анализ и длительное хранение больших объемов данных, которые генерируют пользователи и устройства.

    Кадыко Владимир

    Технический директор компании Falcongaze

    Рост заинтересованности легко объяснить: информация — это «новая нефть». Крупные корпорации, вроде Coca-Cola, Netflix и Procter & Gamble, собирают и обрабатывают огромные массивы данных, чтобы предсказывать потребительский спрос и создавать прогностические модели для новых продуктов или услуг — и делают это достаточно эффективно.

    В контексте обеспечения информационной безопасности сбор и анализ больших объемов данных являются неотъемлемыми составляющими процесса. Анализ позволяет выявлять закономерности, которые могут указывать на подозрительную активность и неочевидные на первый взгляд взаимосвязи, прогнозировать и предотвращать угрозы, выявлять уязвимости внутри информационной системы организации и так далее.

    Очевидно, что данные, необходимые для такого анализа, будут чрезвычайно объемны, разнообразны и поступают слишком быстро, чтобы получилось обрабатывать их вручную. Для автоматизации процесса необходимо использовать специальные инструменты, такие как DLP-системы.

    Далее мы рассмотрим сбор, анализ и хранение больших объемов данных на примере DLP-системы Falcongaze SecureTower.

    DLP SecureTower и сбор больших данных в организациях

    Сразу после установки SecureTower выполняется дистанционная установка агентов на рабочие станции интересующих сотрудников — и система начинает перехватывать данные практически по всем каналам, в том числе:

    • веб-активность, посещенные сайты, время, проведенное на них;
    • email-переписки по всем протоколам и их зашифрованным аналогам;
    • переписки в мессенджерах, социальных сетях;
    • время запуска и выключения компьютера, время простоя и активности;
    • используемые в течение рабочего дня приложения;
    • файлы, отправляемые на печать на локальных и сетевых принтерах и проч.

    Вся перехваченная с компьютеров информация передается на Прокси-сервер агентов, а затем — на Центральный сервер. Помимо перехвата данных, получаемых с агентов, система может работать централизованно: перехватывать сетевой трафик, данные почтового и прокси-сервера.

    Центральный сервер отвечает за хранение и обработку данных, а также за настройку поисковых словарей, банков контрольных сумм и цифровых отпечатков. Для хранения данных сервер позволяет подключать следующие популярные СУБД: Microsoft SQL Server, Oracle, PostgreSQL, MySQL, SQLite.

    Какой объем данных собирает DLP-система и как долго хранит?

    SecureTower — это решение, оптимизированное для обработки больших объемов информации. Это особенно важно для крупных организаций.

    В системе SecureTower предусмотрены гибкие правила распределения данных, которые позволяют Центральному серверу осуществлять изолированное хранение и параллельную обработку перехваченных данных.

    Все данные сохраняются на серверах клиента. Это значит, что никто не имеет к ним доступа, кроме правообладателя. 

    Как рассчитать объем хранилища для перехваченных данных?

    В среднем, организация с двумястами сотрудников за один месяц генерирует около 300 ГБ данных, куда входят «сырые» данные и индексы для поиска. Это среднее значение, которое зависит от сферы деятельности организации и от требований безопасности.

    Рассчитать приблизительный объем необходимого дискового пространства можно по формуле 1,5 ГБ данных на 1 пользователя в месяц.

    Например: 1,5 ГБ * 200 сотрудников * 6 месяцев = 1800 ГБ. Ориентировочно такой объем хранилища потребуется для данных, полученных от двухсот пользователей за полгода работы.

    Как долго система хранит данные?

    Срок хранения данных определяется не только объемом хранилища, но и вычислительной мощностью, необходимой для поиска по всему архиву.

    В системе предусмотрен инструмент для автоматизированного управления объемом перехваченных данных и глубиной хранения. При достижении лимита система автоматически удалит старые данные и освободит место для новых.

    Чем могут быть полезны большие данные?

    Сегодня наши клиенты все чаще обращаются с запросом на длительное хранение больших объемов данных с возможностью поиска за интересующий период. Это открывает следующие возможности.

    Возможность проводить ретроспективный анализ

    Благодаря накопленным данным можно не только уточнить и скорректировать существующие политики безопасности, но и разработать новые.  ИБ-специалисты набираются опыта и лучше узнают возможности системы  — таким образом в компании совершенствуются подходы к обеспечению безопасности. 

    Обратная ситуация, когда правила настроены один раз и не изменяются с момента установки системы, может указывать на формализованный, неэффективный подход — «для галочки» — и в конечном итоге привести к утечке информации.

    В SecureTower можно применить новое или изменить существующее правило безопасности, чтобы осуществить поиск по данным, которые система перехватила с момента установки. Для этого нужно активировать всего один переключатель.

    Модули Поиск и Комбинированный поиск позволяют искать конкретную информацию об инцидентах, пользователях, событиях во всем массиве данных. 

    Для того чтобы ускорить процесс поиска в больших данных, рекомендуется ограничивать условия запроса конкретным диапазоном времени, областью поиска и группой интересующих пользователей.

    Факты нарушений, инцидентов и просто подозрительной активности сотрудников можно собирать в модуле Расследования и в дальнейшем использовать в качестве доказательной базы в случае судебного разбирательства.

    Оптимизация бизнес-процессов

    Информацию, которую собирает и обрабатывает система, можно использовать для анализа бизнес-процессов и их оптимизации. SecureTower наглядно визуализирует данные в отчетах и диаграммах за любой интересующий период времени.

    С помощью системы можно отслеживать соблюдение трудового распорядка, нагрузку на персонал, вовлеченность каждого конкретного сотрудника в выполнение задач, используемое программное обеспечение и так далее.

    Данные, собранные в течение длительного периода (12–24 месяцев), могут быть особенно полезны для выявления закономерностей. Это позволяет оценивать и при необходимости перераспределять нагрузку между сотрудниками и отделами, выявлять слабые места в цепочках коммуникаций, определять продуктивных и непродуктивных специалистов и так далее.

    Соблюдение требований регуляторов

    Некоторые законодательные акты обязывают организации хранить данные в течение определенного времени. Например, в России это Федеральные законы № 374-ФЗ и  № 375-ФЗ из пакета Яровой, ФЗ № 152 «О персональных данных». 

    Также хранить данные могут потребовать и иностранные регуляторы. Например, принцип подотчетности в GDPR обязывает организации собирать информацию, чтобы иметь возможность продемонстрировать следование принципам закона, если это запросит регулятор.

    Управление рисками

    Сбор и анализ больших данных позволяет выявлять неочевидные взаимосвязи и закономерности, которые могут указывать на возможные угрозы ИБ.

    По сути, информация, представленная в системе, позволяет специалистам ИБ-отдела предугадывать угрозы безопасности и действовать превентивно: проводить беседы с сотрудниками-нарушителями, привлекать их к ответственности, планировать приобретение программного обеспечения и оборудования для защиты информационных активов и проч.

    Вызовы и перспективы использования больших данных в области информационной безопасности

    Чем больше объемы данных, тем сложнее их защищать. Большие данные продолжат представлять большую ценность не только для организаций, но и для киберпреступников, которые хотят их заполучить. Таким образом, ситуация обязывает владельцев информации принимать дополнительные меры к обеспечению ее сохранности.

    В крупных организациях хорошо организована защита от внешних угроз, при этом часто не уделяется должное внимание внутренним. Так, сотрудники с доступом к конфиденциальной информации могут попытаться продать ее, часто за относительно небольшие деньги, и при этом подвести саму организацию под санкции и огромные штрафы.

    Из последних случаев можно вспомнить, как 53-летний житель Калининграда создал нелегальный агрегатор персональных данных и продавал доступ к информации о гражданах и юридических лицах различным организациям. Данные для агрегатора злоумышленник похищал с 2013 года, используя связи в правоохранительных органах.

    Различные примеры продажи данных внутренними сотрудниками организаций мы приводили в этой статье

    При планировании мер для обеспечения безопасности данных практически сразу обнаруживается очень ощутимая проблема.

    Дефицит навыков в сфере ИБ. К сожалению, сегодня мы можем наблюдать острый дефицит ИБ-специалистов.

    Согласно данным HeadHunter, число открытых ИБ-вакансий подскочило на 17% в 2024 году. При этом, по данным SuperJob, число резюме безопасников сократилось на 6%.

    Отсюда еще одна проблема: стараясь получить более опытного специалиста, компании вынуждены повышать предлагаемую зарплату, что ставит под удар небольшие организации, которые не могут выделить большой бюджет на обеспечение информационной безопасности.

    DLP-система позволяет автоматизировать многие процессы ИБ и, таким образом, становится необходимостью в компаниях, которые не могут позволить себе большой штат профильных специалистов.

    Мощность оборудования. Сбор, хранение и обработка больших данных — это банально дорого. Так, после введения пакета Яровой Mail.Ru Group оценила расходы на внедрение мер для соответствия законопроектам в 1,2–2 млрд $. Почта России оценила возможные расходы в 500 млрд рублей.

    Требования к оборудованию для использования DLP SecureTower описаны тут. В такой конфигурации можно осуществлять контроль небольшого количества сотрудников и таким образом познакомиться с возможностями автоматизированных систем по защите важных данных.

    Если планируется сбор, хранение и анализ больших объемов данных, нужно подобрать более мощное оборудование. Некоторым придет идея собрать собственный суперкомпьютер, но есть нюанс: все знают, что стоимость оборудования и мер по обеспечению ИБ не должна превышать стоимость информации, которую нужно защитить. Таким образом, нужно соблюсти баланс. 

    Получить рекомендацию по подбору оборудования для DLP-системы в соответствии с потребностями, возможностями организации и особенностями ее информационной системы можно у менеджеров Falcongaze — это будет быстрее и эффективнее, чем пытаться разобраться самостоятельно.

    Бесконтрольное накопление чувствительной информации. Сбор данных должен иметь конкретную цель и при этом не нарушать законодательство страны, в которой работает организация. Например, при перехвате данных с рабочих станций персонала стоит учитывать и тот факт, что сотрудники могут авторизовываться в личных учетных записях мессенджеров и электронной почты. Как правило, в компаниях вводится дополнительное соглашение к трудовому договору о том, что активность на программно-технических средствах работодателя может контролироваться. В таких системах контроля должна поддерживаться возможность удалять персональные данные, если они не имеют отношения к инцидентам.

    В заключение

    Формирование больших объемов данных — это неизбежный результат деятельности крупных и средних организаций. С одной стороны это риск, но с другой — анализ таких данных позволяет эффективнее настраивать бизнес-процессы, совершенствовать работу компании, предсказывать угрозы безопасности и предотвращать их.

    При этом чрезвычайно важно обеспечить надежную защиту данных: утечки и компрометация могут привести к серьезным материальным и репутационным рискам, санкциям со стороны ИБ-регуляторов. Поэтому важно защищать компанию не только от угроз снаружи, но и от угроз изнутри.

    Важные публикации

    DLP-система - что это такое и зачем нужна?
    DLP-система
    DLP-система - что это такое и зачем нужна?
    DLP-система (от англ. Data Leak Prevention) это специализированное ПО, которое защищает организацию от утечек данных. Данная технология – это не только возможность блокировать передачу конфиденциальной информации по различным каналам, но и инструмент для наблюдения за ежедневной работой сотрудников, который позволяет найти слабые места в безопасности до наступления инцидента.
    Основы информационной безопасности: что такое информационная безопасность?
    Информационная безопасность
    Основы информационной безопасности: что такое информационная безопасность?
    Специалисты аналитического центра Falcongaze SecureTower подготовили статью, в которой объясняются основы информационной безопасности. Она будет полезна всем, кто хочет разобраться, с чего начать знакомство с этой сферой деятельности. Прочитав статью, вы узнаете: точное определение понятия «информационная безопасность»; свойства и способности, которыми должны обладать информация и средства ее обработки; пошаговый перечень общих действий, которые позволят обеспечить информационную безопасность в организации.
    Вышла новая версия DLP-системы Falcongaze SecureTower 7 Helium
    Обновления SecureTower
    Вышла новая версия DLP-системы Falcongaze SecureTower 7 Helium
    5 ноября 2024 года мы выпустили обновленную версию DLP-системы SecureTower 7 Helium, в которой была усовершенствована система защиты информации и предотвращения утечек конфиденциальных и персональных данных, а также добавлены новые полезные функции — все для удобства пользователей.
    Дайджест SecureTower: обновления августа 2024 года
    Новости Falcongaze
    Дайджест SecureTower: обновления августа 2024 года
    Перед вами дайджест улучшений системы Falcongaze SecureTower за август 2024 года. Приятного просмотра!
    DLP-системы – что это такое и как это работает
    DLP-система
    DLP-системы – что это такое и как это работает
    Информатизация и цифровизация всех процессов жизнедеятельности – это основной тренд последних лет. При условии, что каждая из областей переходит в цифровой формат и становится более мобильной, возникает необходимость в обеспечении такого же мобильного, современного, подходящего под требование времени контура защиты информации. Одним из представителей такого продвинутого подхода к информационной безопасности являются DLP-системы.
    Информационная безопасность предприятия: что это такое и зачем нужна компании
    Информационная безопасность
    Информационная безопасность предприятия: что это такое и зачем нужна компании
    Современное предприятие является обладателем огромного пула информации в разных вариациях. Как обеспечить ее защиту? В какой форме контур безопасности информации в компании будет обеспечен полностью? И в общем: что такое информационная безопасность предприятия? Об этом в статье.
    Профайлинг
    Управление персоналом
    Профайлинг
    Психология внедрена в корпоративную жизнь достаточно плотно. Есть задачи, которые решаются только с помощью таких приемов. И даже используются специальные методы определения личности – профайлинг, когда анализируют психологический портрет окружения. Что такое профайлинг и как он применяется?
    Угрозы информационной безопасности
    Информационная безопасность
    Угрозы информационной безопасности
    Угрозы информационной безопасности решаются комплексом мер по предупреждению, выявлению и обнаружению, локализации и смягчении последствий от наступивших угроз ИБ. Об этом подробнее в статье Falcongaze.
    Документы по информационной безопасности: общие и частные примеры
    Информационная безопасность
    Документы по информационной безопасности: общие и частные примеры
    Информационная безопасность – важная тема для многих. О мерах ИБ задумываются в какой-то мере все участники общества: и частные лица, и организации, и само государство в целом. При таком разнообразии подходов и необходимости адаптации процессов под каждый отдельный случай важно создать четкий план действий. Для этого и созданы документы по информационной безопасности. Предлагаем сегодня рассмотреть эту тему.
    Информационная безопасность: определение, требования, модели и этапы
    Информационная безопасность
    Информационная безопасность: определение, требования, модели и этапы
    Информационная безопасность – это одно из основных направлений защиты бизнеса каждой современной компании. Сегодня, в эпоху всесторонней цифровизации, именно информация становится главным оружием в конкурентной гонке.
    Защита персональных данных
    Защита информации
    Защита персональных данных
    Персональные сведения представляют собой информацию, которая позволяет определить личность определенного человека или сделать его узнаваемым. Эти сведения включают такие данные, как ФИО, адреса, телефоны, финансовую информацию и др. В данной статье мы рассмотрим суть защиты персональных данных и их конфиденциальности, а также различия между ними. Кроме того, мы ознакомимся с основными требованиями законодательства в отношении защиты персональных данных и методами их соблюдения.
    Что такое CRM-системы управления клиентскими отношениями
    Технологии
    Что такое CRM-системы управления клиентскими отношениями
    CRM (Customer Relationship Management) — это системы управления отношениями, которые помогают компаниям налаживать эффективную коммуникацию с клиентами, повышать уровень обслуживания, усиливать лояльность и увеличивать доходы. Использование CRM в комбинации с DLP – это инвестиция в мощный инструмент в качестве системы управления компанией.
    Показать больше

    DLP-система SecureTower

    • Защита от утечек данных по вине сотрудников
    • Контроль работы сотрудников на компьютерах
    • Выявление потенциально опасных сотрудников
    • Ведение архива бизнес-коммуникации