Задачи современных DLP-систем

Программное обеспечение для предупреждения утечек информации активно развивается последние 25 лет. С этим развитием связана и эволюция задач, которые решает данное ПО. Исследуются новые условия применения, инструментарий для противодействия самым актуальным угрозам, анализируется спрос. Сегодня в статье Falcongaze предлагаем исследовать эти изменения и определить, какие основные задачи решают современные DLP-системы.

История создания

Вот как все началось. Начиная с середины 90-х сформировалась четкая потребность в защите информации, безопасность данных начинает привлекать внимание специалистов, формируется запрос на создание специализированного программного обеспечения в этой области.

Тогда цифровые технологии только начали развиваться, и понятие «информационная безопасность» практически не существовало. Вскоре стало очевидно, что необходима какая-то система фильтрации, граница между продуктивным использованием и мошенничеством. Позже появилась новая угроза: где-то в начале 2000-х годов корпорации начали накапливать большие объемы цифровых данных о потребителях (разнообразные формы для заполнения персональных данных, цифровизация и перевод в Интернет банковских операций, реклама и маркетинг и другое). Данные, к сожалению, часто терялись, отправлялись не туда, участились кражи данных.

До этого времени основной задачей специалистов по информационной безопасности была защита сети от вирусов и спама. Когда пошел курс на хранение и обработку больших массивов данных в электронном виде, возник рынок DLP. Ведь если все хранится в электронном виде, то и похищаться будет в электронном виде. Поэтому индустрия безопасности предложила решение: категорию (с метким названием) «Предотвращение потери данных» – DLP-системы. Начали создаваться первые программные решения по защите от утечки данных.

Первые программы решали достаточно простые, стандартные для DLP-систем задачи:

• защита от кражи данных (злонамеренного хищения злоумышленниками, инсайдерами);

• блокировка ошибок сотрудников (непреднамеренное, небрежное обращение с данными);

• несоблюдение правил, разработанных для обеспечения безопасности данных и другие.

Примерно в 2006-2007 годах был придуман и популяризирован термин DLP.

Также первые этапы развития систем характеризуются появлением монополистов на рынке (крупных компаний-разработчиков, которые полностью захватили индустрию).

С развитием цифровой индустрии развивался и сектор DLP-систем. В 2013-2019 гг. ПО становилось более функциональным, оно решало большее количество практических задач:

• создавались пакеты для различных операционных систем (Linux, Mac OC);

• расширились возможности контентного анализа, мониторинг начал учитывать различные формы текста, с учетом ошибок и словоформ;

• развился персонализированный функционал, с акцентом на деятельность сотрудника (например, оповещения о нарушениях политик безопасности, постоянный мониторинг сетевого трафика и файлов);

• добавился функционал отчетности и аудита данных;

• стало популярным применение облачных систем.

В 2020-2023 гг. пандемия коронавируса в значительной степени расширила применение DLP-систем в мире, сделав это ПО одним из главных объектов обеспечения безопасности информации для удаленных рабочих мест и миграции конфиденциальных данных за пределы контура компании.

В этот период расширилось внимание к исследованию эффективности труда.  Добавилось большее количество социальных сетей, мессенджеров, которые может отслеживать DLP.

Расширилось количество форматов, доступных для анализа (не только текст, но и аудио, видеоизображения).

В список инструментов для предотвращения потери данных прочно вошли технологии машинного обучения.

К настоящему времени DLP-системы полностью готовы к использованию и решению своей первоочередной задачи – обеспечения безопасности данных. Программные решения обеспечивают комплексную защиту конфиденциальности по различным каналам, включая облачные хранилища, сетевой трафик, электронную почту, конечные точки и пользователей.

Рассмотрим существующий кейс: какие задачи решает DLP-система на примере Falcongaze SecureTower.

Основные задачи DLP-системы на примере SecureTower

DLP-система SecureTower Falcongaze с практической точки зрения решает поставленные задачи через комплекс предустановленных и пользовательских политик безопасности. Это специализированный модуль для информирования, автоматизации процесса анализа, формирования, коррекции правил безопасности, анализа инцидентов, работы с материалами и так далее.

В этом модуле есть комплекс предустановленных правил, а также возможность создать новые правила по пятью типам:

• обычные правила (с использованием поиска на основании комбинации условий поискового запроса, объединенных логическими операторами (при необходимости);

• правила «Контроль по словарю» (анализируется весь объем данных в автоматическом режиме словам, принадлежащим к интересующей предметной области);

• правила «Статистические» (анализ про количеству событий в выбранном периоде, которое выше или ниже указанного уровня значений);

• правила «По цифровым отпечаткам» (сравнивается пересылаемый документ с документом-копией конфиденциальных данных, и при определенном проценте совпадений отправка будет обнаружена/заблокирована);

• правила «По банкам хэшей» (исследуется изменение данных на основе сверки хэш-суммы).

На практике предустановленные и пользовательские правила решают задачи:

1. Предотвращение утечки информации.

DLP-система согласно установленным правилам ищет во всем объеме информации совпадение условиям и фиксирует инцидент в системе. Например, для предотвращения утечки информации заранее создано несколько правил безопасности:

• контроль использования почты (контроль исходящей почты на внешние почтовые адреса, контроль писем со скрытой копией);

• контроль утечки банковской информации (SWIFT, IBAN, номеров банковского счета, номеров банковских карт);

• контроль прямой утечки информации через загрузку в облако (Google, iCloud, Yandex, Mail.ru, Dropbox), использования клавиши мгновенного фотографирования, отправки файлов в мессенджерах, утечку договоров и других документов, в том числе с печатями (информации о тендерах и закупках, нормативно-технической документации, чертежей и другое);

• контроль утечки логинов и паролей, в том числе для почт и мессенджеров;

• контроль утечки персональных данных (данных паспортов, идентификационного номера налогоплательщика, персональных данных налогоплательщика);

• контроль утечки банковской и управленческой документации (ведомостей оплаты труда, выписки ЕГРЮЛ, отчетов о движении средств, состоянии счетов, планов платежей и другое).

2. Борьба с коррупцией.

Коррупция – это заранее продуманное использование своих должностных возможностей с целью получения выгоды от третьих лиц. Мотивация потенциального коррупционера может быть разной (личная выгода, затруднительное материальное положение). Подробнее мы исследовали этот процесс в статье «Как победить коррупцию в компании». Коррупционер, как правило, за деньги лоббирует чьи-то интересы. С точки зрения мониторинга этого процесса в компании с помощью DLP-системы можно использовать уже установленные правила (по группе риска «Долги и кредиты», «Общение с прессой»), либо создание собственного правила безопасности с мониторингом заданных действий.

3. Борьба с инсайдерами.

Инсайдеры, так же, как и коррупционеры, имеют различные мотивы своих действий. Смысл, правда, один – из контура безопасности компании вытекают конфиденциальные данные, что приводит к репутационному и материальному ущербу. Подробнее мы эту тему исследовали в статье «Шпион, выйди вон! Или защита от инсайдерских рисков». С помощью DLP-системы может осуществляться контроль переписок и звонков в мессенджере (по качеству и количеству разговоров, сообщений), контроль за утечкой информации через подключение USB-накопителей и мобильных устройств, утечку исходных кодов, документов с печатями и другое.

4. Задача управления эффективностью персонала и контроль за лояльностью сотрудников.

Каждая организация стремится создать максимально эффективно работающий коллектив. Однако по ряду личных или внешних причин даже работник, который хорошо выполняет свои обязанности, может впасть в прокрастинацию или потерять мотивацию к труду. DLP-системы могут помочь решить и эту задачу. Заранее предустановлены правила безопасности по параметрам «Контроль лояльности сотрудников – Негативное настроение в коллективе», «Неэффективное использование рабочего времени – Видеоигры, Криптовалюта, Недвижимость, Посещение сайтов знакомств, киносайтов, видео-хостингов, социальных сетей» и другие модули. В каждом из этих правил заранее учтена необходимость учета посещений этих категорий сайтов/осуществления действий для получения аналитики и принятия решений о дальнейших действиях.

5. Соблюдение норм законодательства, трудового распорядка.

Мониторинг обеспечивается специализированными правилами безопасности (см. изобр.).

6. Предотвращение намеренной порчи, изменения, подделки документов и иной информации.

Может быть реализовано с помощью новых пользовательских правил безопасности «По цифровым отпечаткам» и «Контроль по банкам хешей». Внутри каждого правила пользователь может выбрать (загрузить и выбрать) необходимый банк хешей или базу данных цифровых отпечатков, с которыми будут сверяться данные в процессе анализа.

7. Контроль использования принтеров.

Пресечение использования нецелевого использования офисной техники и траты ресурсов на осуществление «левых» операций. Обеспечивается с помощью правил безопасности «Контроль использования принтера – Определенного принтера, принтера за день (в учете по документам, по страницам), за неделю, за час.

8. Мониторинг сотрудников по группам рисков.

Исследуются отдельно выделенные рисковые группы сотрудников («Азартные игроки», «Алкогольная зависимость», «Наркотическая зависимость», «Проблемы с законом» и другое).

Задача DLP-систем: инвентаризация и аудит оборудования

Реализуется с помощью модуля «Оборудование и программы». С его помощью исследуется актуальность списка учета оборудования и ПО с фактически установленным на рабочие машины компании. Это обеспечивает безопасное использование и предупреждение мошенничества в этой сфере. В DLP-систему заранее вводится информация о конфигурации каждого объекта в виде карточки учета (о мониторах, процессорах, видеокартах, блоках питания, накопителях о флоппи-дисках и другое), введенные данные сравниваются с фактическими, и при несовпадении (или при обнаружении неучтенного оборудования) система информирует пользователей.

Какие задачи будут решать DLP-системы в будущем?

Разработчики DLP-систем постоянно ищут новые способы улучшения своих продуктов, чтобы предложить более эффективную защиту информации в меняющемся цифровом мире. Расширяются возможности анализа, функционал, появляются новые преимущества этого ПО. Уже сейчас можно определить, какие инновации в области DLP-систем будут реализованы в скором времени.

1. Интеграция с искусственным интеллектом (ИИ) и расширение использования машинного обучения (МО).

Это обязательный этап эволюции большинства современных цифровых продуктов, и DLP-системы, конечно, не станут исключением. ИИ может значительно увеличить возможности для защиты информации, предоставляя более глубокий анализ поведения пользователей и трафика данных. Это позволит системам предсказывать потенциальные утечки до их возникновения с большей вероятностью и автоматически применять меры защиты данных.

Машинное обучение сделает DLP-системы практически автономными. Увеличится скорость реагирования на риски безопасности при минимальном участии администраторов в процессе.

2. Улучшенная интеграция с облачными сервисами.

Поскольку все больше компаний используют облачные хранилища для работы с данными, DLP-системы будут предлагать более тесную интеграцию с облачными платформами, обеспечивая защиту данных вне зависимости от их местоположения. Эта функция останется востребованной, поскольку в мире сохраняется тренд удаленного доступа к сервисам и быстрого масштабирования в любую сторону.

3. Автоматизация отчетности и управления инцидентами.

DLP-системы продолжат автоматически генерировать отчеты о безопасности по заранее утвержденным параметрам, что позволит IT-специалистам быстрее реагировать на инциденты и получать свежие и достоверные данные.

4. Расширение функционала для мобильных устройств.

Ежегодно фиксируется рост использования мобильных устройств в бизнес-процессах. Этот факт учитывают в планировании нового функционала и разработчики DLP-систем. Системы для защиты данных на смартфонах и планшетах смогут контролировать передачу файлов и информации через мобильные приложения, обеспечивая конфиденциальность информации на них.

5. Криптография в DLP-системах.

DLP-системы уже сегодня интегрируют элементы криптографии (шифрование данных в реальном времени), чтобы обеспечить дополнительный уровень защиты информации.

6. Блокчейн и смарт-контракты для защиты информации.

Блокчейн-технологии и смарт-контракты предоставляют новые возможности для защиты информации. Разработчики DLP-систем могут использовать блокчейн для создания децентрализованных и неподдающихся взлому реестров транзакций данных, что поможет в отслеживании перемещения каждого фрагмента данных, а также структурирует их и гарантирует целостность.