Системы защиты от утечек информации – DLP чаще всего устанавливают банки, предприятия нефтяной отрасли, крупные ритейлеры. Однако не так важна сфера деятельности, как количество сотрудников. Обычно компании начинают интересоваться DLP-системами, когда штат превышает 50 человек. Тогда управленческий контроль становится сложнее, и руководство снаряжает технических специалистов присмотреться к тому, что предлагает рынок для автоматизации процесса. Сходу разобраться в обилии решений от разных вендоров бывает непросто. Вот краткий гайд, который поможет расставить точки над i.
Как и для чего работает DLP
Исторически системы DLP, как видно из названия (data loss prevention или data leak prevention), были направлены на защиту компании от утечек информации. Но с эволюцией программного обеспечения заказчики начали ставить перед ней несвойственные изначально задачи. Сейчас защита конфиденциальной информации — это только одна из больших функций, которые выполняет система.
Иногда компании достаточно вовремя получить сигнал и заблокировать утечку, но чаще требуется разобраться в причинах инцидента, чтобы найти виновных и понять, имел ли место недобрый умысел. Так что в идеале DLP должна не только собирать данные, но и систематизировать их для анализа и расследований зафиксированных нарушений.
Информация с компьютера сотрудника перехватывается через агентов – специальные программы, установленные на рабочих станциях. Они могут работать как в открытом режиме, так и в скрытом даже для продвинутых пользователей. Второй вариант перехвата информации – посредством сетевых платформ.
Чем меряемся
-
Количество каналов контроля
Контролировать максимум каналов информации (от веб-почты до мессенджеров) – главное требование к качеству программы. Ведущие DLP-системы отслеживают их все. Полезно, когда система обучена «ловить» нетипичные утечки, ведь конфиденциальные данные могут передаваться не только в переписке. Вариантов масса: снимки экрана, печать внутренних документов, копирование на флешку, даже устная беседа в Skype или передача файлов через Teamviewer.
-
Качество контроля
DLP должна уметь контролировать информацию, переданную в сетевых сервисах с разным методом подключения. Все популярные системы (Skype, Telegram, Viber и т.д.) сегодня дают выбор, работать в веб-интерфейсе или через приложение. В ИБ-системах такие вещи должны предусматриваться, иначе нельзя говорить о полноценной защите канала.
-
Надежность и скорость работы DLP
Устанавливаемые на ПК сотрудников агенты не должны перегружать систему, а сетевой DLP-компонент не должен приводить к задержкам коммуникации: DLP будет скомпрометирована, а руководитель всегда выберет бесперебойность бизнес-процессов, а не безопасность.
Часто система, которая хорошо работает на 200 машинах, не показывает результат на 1000. Поэтому важно разворачивать тестирование на максимально большом парке машин. Так можно оценить реальную нагрузку на инфраструктуру и технические возможности программы.
Убедитесь, что агент надежно «спрятан», чтобы сотрудники не могли случайно удалить или нарушить конфигурацию ПО. Некоторые вендоры не придают этому большого значения, в результате программу обнаруживает даже рядовой пользователь, не то что продвинутый системный администратор.
«Легкость» агента как правило означает, что большинство процессов в DLP происходит на серверах. При этом нужно удостовериться, что сбои в соединении не нарушат стабильность перехвата.
Вендоры по-разному решают этот вопрос, и нужно найти наиболее надежное решение. Например, наши агенты при отсутствии связи с сервером архивируют собранные данные – ничего не теряется. Как только подключение восстанавливается, данные передаются на дальнейший анализ.
-
Аналитические возможности
Правила «хорошего тона» для DLP таковы, что софт должен максимально «разгружать» ИБ-специалистов, выполняя основные задачи по структурированию инцидентов. Сегодня система должна уметь выявлять не только утечки, но и неспецифические угрозы:
- мошенническое поведение;
- использование служебного положения и ресурсов компании в своих целях;
- корпоративный шпионаж;
- откатчиков, факты продвижения интересов аффилированных лиц;
- группы риска среди сотрудников;
- неэффективную и непродуктивную работу, безделье.
Но полная автоматизация контроля – это все-таки утопическая задача, и сотрудникам службы ИБ все равно приходится перепроверять результаты некоторых «сработок» вручную. Для нивелирования этого фактора DLP-системы движутся к тому, чтобы вести профилактику нарушений, анализируя пользовательское поведение. Одно из направлений – UEBA, но здесь не появилось работающих инструментов.
Мы решаем этот вопрос через автоматизированный профайлинг. Он позволяет анализировать получаемую из DLP информацию и определять личностные качества сотрудников и динамику их изменений. Это позволяет существенно сузить круг поиска инцидентов и находить их там, где нарушитель не оставляет следов.
Сколько это стоит
DLP обычно собирается как конструктор, поэтому удобно масштабируется и легко разворачивается даже в компаниях с очень разветвленной структурой. Но из-за этого сложно рассчитать цену внедрения навскидку.
Чаще всего цена состоит из таких переменных:
- стоимость лицензий (на 1 рабочее место);
- стоимости внедрения;
- стоимость техподдержки;
- стоимость получения новых версий;
- стоимость оборудования и стороннего ПО;
- зарплаты ИБ и IТ специалистов.
Чем более сильные аналитические возможности заложены в DLP, тем ниже стоимость владения системой. Для анализа ситуации в компании с помощью хорошей DLP-системы на 2000 сотрудников бывает достаточно одного ИБ-специалиста. Один из наших клиентов контролировал 25 тысяч машин в компании силами всего 7 сотрудников.
Эти затраты имеет смысл рассматривать как инвестиции со сроком возврата 3-5 лет, хотя на практике часто выходит быстрее. В нашей практике только выявление боковых схем с помощью DLP отыгрывало затраты на ее покупку за полгода.
А вендор кто?
Весомый аргумент «за» или «против» того или иного предложения – его автор. При выборе DLP, как и любого другого продукта, нужно составить представление о его производителе: насколько это опытный и надежный вендор. Сложность в том, что со стороны, при первом знакомстве со сферой, оценить это можно только по косвенным признакам: количество офисов, штат технического персонала, число клиентов и разнообразие представляемых ими сфер.
Также для DLP является обязательным наличие сертификация ФСТЭК на систему. Это говорит о безопасности продукта, гарантирует отсутствие не декларируемых возможностей, дает право системе работать с конфиденциальными группами данных. Крайне желательно, чтобы у самой компании-разработчика была лицензия ФСБ. Это будет говорить о квалификации и надежности вендора, официально подтверждать его право на разработку средств ИБ.
Но не верьте тому, что сам вендор говорит о себе, ставьте программу на триал и проверяйте его слова об опыте на практике. Мы, например, отдаем систему на тестирование в полном функционале бесплатно, советуем дать на ПО предельную нагрузку по максимальному числу каналов. Так можно оценить, насколько полезна и надежна система. Вот еще советы, как на старте определиться, не подведет ли вас вендор:
- Ставьте на тест последовательно несколько систем. Так будет проще оценить как плюсы/минусы самого программного обеспечения, так и качество техподдержки.
- Сравните объем перехвата по нескольким DLP. Если он слишком разный, скорее всего, одна из систем что-то пропускает. Что касается оценки аналитических возможностей, то стоит обратить внимание на информативность отчетов и наличие полной базы перехвата. Важно, чтобы DLP-система собирала всю переданную по выбранным каналам информацию, а не только инциденты. Эти данные могут оказаться бесценными, если придется проводить ретроспективное расследование.
- Обратите внимание, просто ли вам найти информацию по базе, проанализировать данные. Это особенно важно, когда в компании нет выделенной службы безопасности или все информационные потоки контролирует один специалист. В частности, у нас в компании ситуацию по нескольким сотням сотрудников, работающих в десятках филиалов, мониторит один человек.
- Поработайте с программой как минимум 2 недели, чтобы как следует разобраться в возможностях. Лучше при этом постоянно держать контакт с техподдержкой. Обращайте внимание на то, насколько специалисты легко ориентируется в программном обеспечении.
И последнее. Чтобы взглянуть на ПО без «розовых очков», попросите разработчика познакомить вас с действующим клиентом. Задайте ему вопросы о стабильности работы системы, возможностях контроля, плюсах и минусах работы ПО.
Компания «СёрчИнформ» – ведущий российский разработчик средств информационной безопасности.