Задачи современных DLP-систем
24.05.2024
Программное обеспечение для предупреждения утечек информации активно развивается последние 25 лет. С этим развитием связана и эволюция задач, которые решает данное ПО. Исследуются новые условия применения, инструментарий для противодействия самым актуальным угрозам, анализируется спрос. Сегодня в статье Falcongaze предлагаем исследовать эти изменения и определить, какие основные задачи решают современные DLP-системы.
История создания
Вот как все началось. Начиная с середины 90-х сформировалась четкая потребность в защите информации, безопасность данных начинает привлекать внимание специалистов, формируется запрос на создание специализированного программного обеспечения в этой области.
Тогда цифровые технологии только начали развиваться, и понятие «информационная безопасность» практически не существовало. Вскоре стало очевидно, что необходима какая-то система фильтрации, граница между продуктивным использованием и мошенничеством. Позже появилась новая угроза: где-то в начале 2000-х годов корпорации начали накапливать большие объемы цифровых данных о потребителях (разнообразные формы для заполнения персональных данных, цифровизация и перевод в Интернет банковских операций, реклама и маркетинг и другое). Данные, к сожалению, часто терялись, отправлялись не туда, участились кражи данных.
До этого времени основной задачей специалистов по информационной безопасности была защита сети от вирусов и спама. Когда пошел курс на хранение и обработку больших массивов данных в электронном виде, возник рынок DLP. Ведь если все хранится в электронном виде, то и похищаться будет в электронном виде. Поэтому индустрия безопасности предложила решение: категорию (с метким названием) «Предотвращение потери данных» – DLP-системы. Начали создаваться первые программные решения по защите от утечки данных.
Первые программы решали достаточно простые, стандартные для DLP-систем задачи:
-
защита от кражи данных (злонамеренного хищения злоумышленниками, инсайдерами);
-
блокировка ошибок сотрудников (непреднамеренное, небрежное обращение с данными);
-
несоблюдение правил, разработанных для обеспечения безопасности данных и другие.
Примерно в 2006-2007 годах был придуман и популяризирован термин DLP.
Также первые этапы развития систем характеризуются появлением монополистов на рынке (крупных компаний-разработчиков, которые полностью захватили индустрию).
С развитием цифровой индустрии развивался и сектор DLP-систем. В 2013-2019 гг. ПО становилось более функциональным, оно решало большее количество практических задач:
-
создавались пакеты для различных операционных систем (Linux, Mac OC);
-
расширились возможности контентного анализа, мониторинг начал учитывать различные формы текста, с учетом ошибок и словоформ;
-
развился персонализированный функционал, с акцентом на деятельность сотрудника (например, оповещения о нарушениях политик безопасности, постоянный мониторинг сетевого трафика и файлов);
-
добавился функционал отчетности и аудита данных;
-
стало популярным применение облачных систем.
В 2020-2023 гг. пандемия коронавируса в значительной степени расширила применение DLP-систем в мире, сделав это ПО одним из главных объектов обеспечения безопасности информации для удаленных рабочих мест и миграции конфиденциальных данных за пределы контура компании.
В этот период расширилось внимание к исследованию эффективности труда. Добавилось большее количество социальных сетей, мессенджеров, которые может отслеживать DLP.
Расширилось количество форматов, доступных для анализа (не только текст, но и аудио, видеоизображения).
В список инструментов для предотвращения потери данных прочно вошли технологии машинного обучения.
К настоящему времени DLP-системы полностью готовы к использованию и решению своей первоочередной задачи – обеспечения безопасности данных. Программные решения обеспечивают комплексную защиту конфиденциальности по различным каналам, включая облачные хранилища, сетевой трафик, электронную почту, конечные точки и пользователей.
Рассмотрим существующий кейс: какие задачи решает DLP-система на примере Falcongaze SecureTower.
Основные задачи DLP-системы на примере SecureTower
DLP-система SecureTower Falcongaze с практической точки зрения решает поставленные задачи через комплекс предустановленных и пользовательских политик безопасности. Это специализированный модуль для информирования, автоматизации процесса анализа, формирования, коррекции правил безопасности, анализа инцидентов, работы с материалами и так далее.
В этом модуле есть комплекс предустановленных правил, а также возможность создать новые правила по пятью типам:
-
обычные правила (с использованием поиска на основании комбинации условий поискового запроса, объединенных логическими операторами (при необходимости);
-
правила «Контроль по словарю» (анализируется весь объем данных в автоматическом режиме словам, принадлежащим к интересующей предметной области);
-
правила «Статистические» (анализ про количеству событий в выбранном периоде, которое выше или ниже указанного уровня значений);
-
правила «По цифровым отпечаткам» (сравнивается пересылаемый документ с документом-копией конфиденциальных данных, и при определенном проценте совпадений отправка будет обнаружена/заблокирована);
-
правила «По банкам хэшей» (исследуется изменение данных на основе сверки хэш-суммы).
На практике предустановленные и пользовательские правила решают задачи:
-
Предотвращение утечки информации.
DLP-система согласно установленным правилам ищет во всем объеме информации совпадение условиям и фиксирует инцидент в системе. Например, для предотвращения утечки информации заранее создано несколько правил безопасности:
-
контроль использования почты (контроль исходящей почты на внешние почтовые адреса, контроль писем со скрытой копией);
-
контроль утечки банковской информации (SWIFT, IBAN, номеров банковского счета, номеров банковских карт);
-
контроль прямой утечки информации через загрузку в облако (Google, iCloud, Yandex, Mail.ru, Dropbox), использования клавиши мгновенного фотографирования, отправки файлов в мессенджерах, утечку договоров и других документов, в том числе с печатями (информации о тендерах и закупках, нормативно-технической документации, чертежей и другое);
-
контроль утечки логинов и паролей, в том числе для почт и мессенджеров;
-
контроль утечки персональных данных (данных паспортов, идентификационного номера налогоплательщика, персональных данных налогоплательщика);
-
контроль утечки банковской и управленческой документации (ведомостей оплаты труда, выписки ЕГРЮЛ, отчетов о движении средств, состоянии счетов, планов платежей и другое).
-
Борьба с коррупцией.
Коррупция – это заранее продуманное использование своих должностных возможностей с целью получения выгоды от третьих лиц. Мотивация потенциального коррупционера может быть разной (личная выгода, затруднительное материальное положение). Подробнее мы исследовали этот процесс в статье «Как победить коррупцию в компании». Коррупционер, как правило, за деньги лоббирует чьи-то интересы. С точки зрения мониторинга этого процесса в компании с помощью DLP-системы можно использовать уже установленные правила (по группе риска «Долги и кредиты», «Общение с прессой»), либо создание собственного правила безопасности с мониторингом заданных действий.
- Борьба с инсайдерами.
Инсайдеры, так же, как и коррупционеры, имеют различные мотивы своих действий. Смысл, правда, один – из контура безопасности компании вытекают конфиденциальные данные, что приводит к репутационному и материальному ущербу. Подробнее мы эту тему исследовали в статье «Шпион, выйди вон! Или защита от инсайдерских рисков». С помощью DLP-системы может осуществляться контроль переписок и звонков в мессенджере (по качеству и количеству разговоров, сообщений), контроль за утечкой информации через подключение USB-накопителей и мобильных устройств, утечку исходных кодов, документов с печатями и другое.
-
Задача управления эффективностью персонала и контроль за лояльностью сотрудников.
Каждая организация стремится создать максимально эффективно работающий коллектив. Однако по ряду личных или внешних причин даже работник, который хорошо выполняет свои обязанности, может впасть в прокрастинацию или потерять мотивацию к труду. DLP-системы могут помочь решить и эту задачу. Заранее предустановлены правила безопасности по параметрам «Контроль лояльности сотрудников – Негативное настроение в коллективе», «Неэффективное использование рабочего времени – Видеоигры, Криптовалюта, Недвижимость, Посещение сайтов знакомств, киносайтов, видео-хостингов, социальных сетей» и другие модули. В каждом из этих правил заранее учтена необходимость учета посещений этих категорий сайтов/осуществления действий для получения аналитики и принятия решений о дальнейших действиях.
-
Соблюдение норм законодательства, трудового распорядка.
Мониторинг обеспечивается специализированными правилами безопасности (см. изобр.).
-
Предотвращение намеренной порчи, изменения, подделки документов и иной информации.
Может быть реализовано с помощью новых пользовательских правил безопасности «По цифровым отпечаткам» и «Контроль по банкам хешей». Внутри каждого правила пользователь может выбрать (загрузить и выбрать) необходимый банк хешей или базу данных цифровых отпечатков, с которыми будут сверяться данные в процессе анализа.
-
Контроль использования принтеров.
Пресечение использования нецелевого использования офисной техники и траты ресурсов на осуществление «левых» операций. Обеспечивается с помощью правил безопасности «Контроль использования принтера – Определенного принтера, принтера за день (в учете по документам, по страницам), за неделю, за час.
-
Мониторинг сотрудников по группам рисков.
Исследуются отдельно выделенные рисковые группы сотрудников («Азартные игроки», «Алкогольная зависимость», «Наркотическая зависимость», «Проблемы с законом» и другое).
Задача DLP-систем: инвентаризация и аудит оборудования
Реализуется с помощью модуля «Оборудование и программы». С его помощью исследуется актуальность списка учета оборудования и ПО с фактически установленным на рабочие машины компании. Это обеспечивает безопасное использование и предупреждение мошенничества в этой сфере. В DLP-систему заранее вводится информация о конфигурации каждого объекта в виде карточки учета (о мониторах, процессорах, видеокартах, блоках питания, накопителях о флоппи-дисках и другое), введенные данные сравниваются с фактическими, и при несовпадении (или при обнаружении неучтенного оборудования) система информирует пользователей.
Какие задачи будут решать DLP-системы в будущем?
Разработчики DLP-систем постоянно ищут новые способы улучшения своих продуктов, чтобы предложить более эффективную защиту информации в меняющемся цифровом мире. Расширяются возможности анализа, функционал, появляются новые преимущества этого ПО. Уже сейчас можно определить, какие инновации в области DLP-систем будут реализованы в скором времени.
-
Интеграция с искусственным интеллектом (ИИ) и расширение использования машинного обучения (МО).
Это обязательный этап эволюции большинства современных цифровых продуктов, и DLP-системы, конечно, не станут исключением. ИИ может значительно увеличить возможности для защиты информации, предоставляя более глубокий анализ поведения пользователей и трафика данных. Это позволит системам предсказывать потенциальные утечки до их возникновения с большей вероятностью и автоматически применять меры защиты данных.
Машинное обучение сделает DLP-системы практически автономными. Увеличится скорость реагирования на риски безопасности при минимальном участии администраторов в процессе.
-
Улучшенная интеграция с облачными сервисами.
Поскольку все больше компаний используют облачные хранилища для работы с данными, DLP-системы будут предлагать более тесную интеграцию с облачными платформами, обеспечивая защиту данных вне зависимости от их местоположения. Эта функция останется востребованной, поскольку в мире сохраняется тренд удаленного доступа к сервисам и быстрого масштабирования в любую сторону.
-
Автоматизация отчетности и управления инцидентами.
DLP-системы продолжат автоматически генерировать отчеты о безопасности по заранее утвержденным параметрам, что позволит IT-специалистам быстрее реагировать на инциденты и получать свежие и достоверные данные.
- Расширение функционала для мобильных устройств.
Ежегодно фиксируется рост использования мобильных устройств в бизнес-процессах. Этот факт учитывают в планировании нового функционала и разработчики DLP-систем. Системы для защиты данных на смартфонах и планшетах смогут контролировать передачу файлов и информации через мобильные приложения, обеспечивая конфиденциальность информации на них.
- Криптография в DLP-системах.
DLP-системы уже сегодня интегрируют элементы криптографии (шифрование данных в реальном времени), чтобы обеспечить дополнительный уровень защиты информации.
- Блокчейн и смарт-контракты для защиты информации.
Блокчейн-технологии и смарт-контракты предоставляют новые возможности для защиты информации. Разработчики DLP-систем могут использовать блокчейн для создания децентрализованных и неподдающихся взлому реестров транзакций данных, что поможет в отслеживании перемещения каждого фрагмента данных, а также структурирует их и гарантирует целостность.