Для чего служит dlp система выполняет функцию
Как заставить DLP-систему работать
DLP-системы завоевали определенное место на рынке средств защиты информации от утечек. Однако споры об их эффективности не умолкают. Причина — не только в завышенных ожиданиях, сформированных вендорами, но и в том, что каждая сложная система требует адекватной настройки.
Предлагаем ряд маркеров, которые помогут выжать максимум из любой системы DLP.
DLP-системы: что это такое
Напомним, что DLP-системы (Data Loss/Leak Prevention) позволяют контролировать все каналы сетевой коммуникации компании (почта, интернет, системы мгновенных сообщений, флешки, принтеры и т д.). Защита от утечки информации достигается за счет того, что на все компьютеры сотрудников ставятся агенты, которые собирают информацию и передают ее на сервер. Порой информация собирается через шлюз, с использованием SPAN-технологий. Информация анализируется, после чего системой или офицером безопасности принимаются решения по инциденту.
Итак, в вашей компании прошло внедрение DLP-системы. Какие шаги необходимо предпринять, чтобы система заработала эффективно?
1. Корректно настроить правила безопасности
Представим, что в системе, обслуживающей 100 компьютеров, создано правило «Фиксировать все переписки со словом «договор»». Такое правило спровоцирует огромное число инцидентов, в котором может затеряться настоящая утечка.
Кроме того, не каждая компания может позволить себе содержать целый штат сотрудников, отслеживающих инциденты.
Повысить коэффициент полезности правил поможет инструментарий по созданию эффективных правил и отслеживанию результатов их работы. В каждой DLP-системе есть функционал, который позволяет это сделать.
В целом методология предполагает анализ накопленной базы инцидентов и создание различных комбинаций правил, которые в идеале приводят к появлению 5–6 действительно неотложных инцидентов в день.
2. Актуализировать правила безопасности с определенной периодичностью
Резкое снижение или увеличение числа инцидентов — показатель того, что требуется корректировка правил. Причины могут быть в том, что правило потеряло актуальность (пользователи перестали обращаться к определенным файлам) либо сотрудники усвоили правило и больше не совершают действий, запрещенных системой (DLP — обучающая система). Однако практика показывает, что если одно правило усвоено, то в соседнем месте потенциальные риски утечки возросли.
Также следует обращать внимание на сезонность в работе предприятия. В течение года ключевые параметры, связанные со спецификой работы компании, могут меняться. Например, для оптового поставщика малой техники весной будут актуальны велосипеды, а осенью — снегокаты.
3. Продумать алгоритм реагирования на инциденты
Есть несколько подходов к реагированию на инциденты. При тестировании и обкатке DLP-систем чаще всего людей не оповещают об изменениях. За участниками инцидентов лишь наблюдают. При накоплении критической массы с ними общается представитель отдела безопасности или отдела кадров. В дальнейшем часто работу с пользователями отдают на откуп представителям отдела безопасности. Возникают мини-конфликты, в коллективе накапливается негатив. Он может выплеснуться в намеренном вредительстве сотрудников по отношению к компании. Важно соблюдать баланс между требованием дисциплины и поддержанием здоровой атмосферы в коллективе.
4. Проверить работу режима блокировки
Существует два режима реагирования на инцидент в системе — фиксация и блокировка. Если каждый факт пересылки письма или прикрепления вложенного файла на флэшку блокируется, это создает проблемы для пользователя. Часто сотрудники атакуют системного администратора просьбами разблокировать часть функций, руководство также может быть недовольно такими настройками. В итоге система DLP и компания получают негатив, система дискредитируется и демаскируется.
Рекомендуем режим блокировки подключать лишь на правила, которые в 100 % случаев являются истинными утечками. При условно-ложных срабатываниях рекомендуется подключать режим фиксации инцидентов.
5. Проверить, введен ли режим коммерческой тайны
Режим коммерческой тайны дает возможность сделать определенную информацию конфиденциальной, а также обязует любое лицо, знающее об этом, нести полную юридическую ответственность за ее разглашение. В случае серьезной утечки информации при действующем на предприятии режиме коммерческой тайны с нарушителя можно взыскать сумму фактического и морального ущерба через суд в соответствии с 98-ФЗ «О коммерческой тайне».
Надеемся, что данные советы помогут снизить число непреднамеренных утечек в компаниях, ведь именно с ними призваны успешно бороться системы DLP. Однако не стоит забывать о комплексной системе информационной безопасности и о том, что намеренные утечки информации требуют отдельного пристального внимания. Существуют современные решения, которые позволяют дополнить функционал систем DLP и значительно снизить риск намеренных утечек. Например, один из разработчиков предлагает интересную технологию — при подозрительно частом обращении к конфиденциальным файлам автоматически включается веб-камера и начинает вести запись. Именно эта система позволила зафиксировать, как незадачливый похититель активно делал снимки экрана с помощью мобильной фотокамеры.
Защита данных от утечки
Олег Нечеухин, эксперт по защите информационных систем, «Контур.Безопасность»
Что такое DLP-системы, кому и когда они нужны
Что такое DLP-системы, кому и когда они нужны
DLP-система — специализированное программное обеспечение, предназначенное для защиты компании от утечек информации. Эта аббревиатура на английском расшифровывается как Data Loss Prevention (предотвращение потери данных) или Data Leakage Prevention (предотвращение утечки данных). Чаще всего для продуктов этого класса используется именно это сокращение. Но встречаются другие. Если вам попадается аббревиатура ILP, ILDP, EPS или CMF, скорее всего речь тоже идет о системе безопасности, обеспечивающей защиту от утечек.
Виды DLP-систем
Они делятся на системы с активным и пассивным контролем, устанавливаемым над действиями пользователя. Активные имеют такую способность, пассивные – нет. Первые более эффективны, так как предотвращают утечку информации, блокируя действия пользователей или работу ПО при обнаружении инцидента. С другой стороны, у них есть недостаток – технология может непроизвольно нарушить какой-либо критический бизнес-процесс. С пассивными такого не происходит, они используются для профилактики систематических утечек с реагированием постфактум.
По классификации, построенной на сетевой архитектуре, DLP решения бывают шлюзовыми и хостовыми. Первые функционируют на серверах, а вторые применяют на рабочих станциях пользователей. Многие современные DLP совмещают оба способа контроля — так удается достичь высоких показателей их эффективности.
Преимущества DLP систем
Кроме основной функции обеспечения ИБ, технология предотвращения утечек помогает решать и другие задачи по установлению контроля над действиями сотрудников предприятия. К примерам их применения относятся:
· учет рабочего времени, а также использования ресурсов;
· анализ правомерности действий работников в целях минимизации риска изготовления поддельных документов;
· выявление признаков так называемой «подковерной борьбы», которая может причинить вред компании, через мониторинг общения и взаимодействия между сослуживцами;
· вычисление сотрудников, планирующих смену работы, для быстрого поиска новых специалистов, минимизации риска утечки данных вместе с увольняющимися кадрами.
Некоторые компании используют DLP-системы именно для контроля рабочего времени и ресурсов, но это не значит, что в то же время продукт не работает над предотвращением утечки данных.
Эти решения позволяют решать множество важных задач: это полноценный инструмент, обеспечивающий информационную безопасность.
Есть программы, которые «заточены» именно на контроль, в них нет полноценных средств перехвата информации. Подобные настройки выставляются вручную. Такие системы подходят для небольших фирм, штат которых насчитывает до ста специалистов.
DLP-системы имеют широкие возможности. Они используют службы экономической безопасности для мониторинга ключевых сделок, коммуникации с поставщиками и контрагентами, проведения служебных расследований, сбора доказательств.
Solar Dozor помогает в борьбе с коррупцией, контролируя передачу и хранение данных, позволяя выявлять конфликты интересов и факторы превышения полномочий сотрудниками.
DLP-технология внедряется в работу службы собственной безопасности: с ее помощью можно определить распространителей слухов, выявить сотрудников с компрометирующими связями, случаи сокрытия нарушений режима труда и т. д.
Перспективы развития и использования DLP-систем
Такое решение — инструмент для предотвращения утечек любой защищаемой информации, который развивается сообразно с потребностями рынка, приобретая новые функции или выделяя их в качестве отдельных продуктов. DLP-системы не только защищают информационные активы, но и анализируют поведение пользователей или помогают управлять продуктивностью их работы. Это расширяет список сценариев применения, заставляя задуматься о внедрении тем, кто ни с ущербом, ни с вероятностью инцидентов, ни с хищением персональных данных до этого не сталкивался.
DLP решения от Ростелеком Солар внедряются как в крупный, так и малый и средний бизнес, предотвращая изменение хода рабочих процессов и обеспечивая защиту ИБ.
Появляются компании, которые сталкивались с перечисленным в полном объеме, ввиду чего стараются быстрее внедрять DLP-решения. К ним относятся финансовые учреждения и бюджетные организации — компании уровня enterprise. Они в первую очередь чувствуют увеличение объема угроз, осознают бессмысленность традиционных методов реагирования. Предположительно через некоторое время повышение количества и критичности инцидентов затронет также компании меньшего размера, а значит, ответ на вопрос «когда и кому нужна DLP-система?» будет «всем и всегда».
Кому и когда нужна DLP-система
Обязательных требований по их использованию в организациях нет. Но в ряде нормативных документов описаны рекомендации и механизмы обеспечения безопасности конфиденциальных, реализовать которые можно как раз с помощью систем предотвращения утечек информации.
Системы DLP позволяют реализовать в компании менеджмент событий / инцидентов в соответствии с требованиями и рекомендациями ГОСТ 18044-2007. Кроме того, с помощью таких решений вы сможете выполнить требования и рекомендации по защите информации, указанные в международных, национальных, отраслевых документах (стандартах). Из международных стандартов, которым поможет соответствовать DLP-система, можно выделить, например PCI DSS, определяющий требования платежных систем к защите информации.
Из национальных нормативно-правовых актов, на которые можно опираться при внедрении DLP-решения, стоит выделить:
· 152-ФЗ. Касается всех, кто работает с персональными данными, не только клиентскими, но также с информацией о сотрудниках;
· 161-ФЗ. Применяется к банковским, финансовым и иным организациям, работающим с национальной платежной системой;
· Положение Банка России № 382-П. Регламентирует вопросы безопасности при переводе денежных средств;
· 98-ФЗ. Касается практически всех субъектов хозяйствования, определяет требования по защите коммерческой тайны;
· Приказы ФСТЭК 21, 17. В этих документах присутствует ряд мер по защите информации, которые можно реализовать как раз только с помощью DLP-решений.
Система DLP безопасности позволит избежать репутационных, а также и финансовых рисков, которые могут быть очень серьезными. Около 2/3 малых и средних компаний закрываются в течение 6-12 месяцев после утечек важных данных. Они просто не выдерживают последствий таких инцидентов: обязательства по оплате ущерба потерпевшим, потеря доли рынка, авторитета среди клиентов, партнеров. Крупные компании в большинстве случаев оправляются от таких ситуаций. Но все-равно серьёзные потери при этом имеют место.
Подумать о необходимости внедрения таких решений стоит компаниям, IT-инфраструктура которых насчитывает от 100 компьютеров. Чаще всего утечки возникают в организациях, работающих в финансовой и банковской сфере, в производственных компаниях, разрабатывающих новые продукты, у тех, кто обрабатывает большие объемы персональных данных, работает с платежной информацией клиентов.
Показаниями к внедрению DLP-решения могут служить:
· утечки информации, касающиеся новых продуктов / услуг до момента публикации сведения о них;
· манипуляции с отчётностью (в частности, частые изменения задним числом, корректировки уже утвержденных документов);
· массовый переход сотрудников к конкурентам;
· появление в открытом доступе персональных, а также других данных, к обработке которых ваша компания имеет отношение;
· частые проигрыши на тендерах и в конкурсах с заведомо выгодными предложениями (когда конкурент на ходу меняет условия, получает победу).
Будущее рынка DLP-технологий
Многие системы обеспечения информационной безопасности состоят из компонентов разных изготовителей, но уже сейчас существует высокий спрос на полноценные интегрированные программные комплексы. Именно они позволяют решить множество проблем, связанных, к примеру, с переносом информации из одного блока в другой, изменениями настроек оборудования и т. д.
В то же время современные программные комплексы постепенно приобретают модульную структуру, что позволяет заказчику самостоятельно выбирать необходимые компоненты. На развитие сферы ИБ также влияет отраслевая специфика. Вероятно, что скоро появятся отдельные версии популярных систем, созданные специально для государственных учреждений, банков, медицины и т. д., в которых будут учтены запросы этих организаций.
Все больше компаний понимают, что защищаться от утечек важно. И лучше делать это при помощи специализированных решений, которые отлично справляются с такой задачей, предотвращая финансовые репутационные и другие виды потерь.
Что такое DLP система? Зачем она нужна и где используется.
Data Leak Prevention (DLP) система – это специальное программное обеспечение, предназначенное для защиты данных. Используется зачастую в различных компаниях и организациях для обеспечения безопасности. Подобная технология – это прекрасная возможность блокировки передачи личной информации по самым разным каналам. Но при этом DLP – решение проблем наблюдения за работой персонала, тем самым благодаря ПО можно найти и устранить все слабые места в безопасности, а это в свою очередь позволяет предотвратить инцидент и избежать проблем.
Для чего используется DLP система?
Практически все крупные компании уделяют должное внимание внешним угрозам, и это касается не только спама, но и фишинг-атак, вирусам, подмене страниц разных интернет порталов, даже рекламе и шпионским программам. Но стоит отметить, что не нужно забывать о внутренних угрозах, которые могут причинить куда больший ущерб в сравнении с вешними угрозами.
И по факту, любой сотрудник компании может выступать в качестве потенциального инсайдера и тем самым может поставить под угрозу информационную безопасность предприятия. Это может быть не злой умысел, а банальная неосторожность или оплошность, от этого никто не застрахован ни рядовой сотрудник, ни менеджер, ни руководство. То есть внедрение DLP системы станет верным решением и поможет избежать проблем.
Суть работы системы предельно простая, и она заключается в том, что нужно проводить анализ всей информации, которая исходит или входит, а также циркулирует внутри предприятия. Данная система с использованием алгоритмов анализирует данные, и не дает критичной информации проникнуть, куда ей не положено. То есть осуществляется блокировка передачи данных и информирует о подозрительной деятельности.
В основе DLP системы лежит набор правил, которые могут отличаться свой сложностью и затрагивать конкретные аспекты работы. И при нарушении ответственный сотрудник получает соответствующее уведомление.
К примеру, в определенной компании выявили работника, который занимался, скажем, майнингом, с целью получения криптовалюты и личной выгоды. В этом помог специальный модуль активности пользователей, и отчет говорит о том, что рабочая станция в ночное время не отключалась. Разумеется, в этом случае следует запустить анализ запущенных процессов, и тут будет видно, какие процедуры выполнял тот или иной сотрудник.
Система следит не только за временем работы, но и выявляется активность используемых программ на ПК. В целом, это касается практически любой информации, какие данные вводились с клавиатуры, переписки, передача данных по электронной почте, обмен файлами в социальных сетях и разного рода мессенджерах. Перечень задач, которые отслеживает система, обширен, это даже включает в себя список документов, отправленных на печать, SIP-телефонию и даже активность на сторонних сайтах.
Как перехватывают данные?
Для анализа информации система в первую очередь их должна получить. И имеется пара способов перехвата данных:
Первый вариант подразумевает контроль системой сетевого трафика непосредственно на сервере. В другой ситуации стороннее, агентское ПО устанавливается на каждый отдельный компьютер сотрудника, и данная программа ответственна за анализ информации.
Последний вариант на данный момент считается наиболее распространенным, так как благодаря агентам можно получить самые разные данным с использованием различных каналов коммуникации, то есть это прекрасная возможность предотвратить любые утечки.
Требуется ли DLP система в компании?
Конечно, данная система имеет массу преимуществ, и способна предупредить утечку. В любой фирме есть важная и ценная информация, которая не должна разглашаться. К примеру, не следует разглашать клиентскую базу, особенности технологического процесса, отдельные чертежи и планы. В целом, любую информацию может использовать конкурент, что может навредить компании.
Как подобрать DLP?
Если система для защиты персональной информации действительно нужна, то возникает логичный вопрос, каким образом выбрать подходящий вариант, ведь сегодня имеется большой разнообразие система на рынке. В первую очередь нужно ответить на несколько вопросов:
Для того чтобы понять, какой вариант лучше всего подойдет, нужно выбрать несколько программ и запросить демонстрационную версию. То есть наглядная демонстрация поможет решить все проблемы и ответит на все вопросы. Именно тестовый период покажет, насколько качественный продукт и соответствует ли он поставленным задачам.
На видео: Что такое DLP система? DeviceLock DLP Обзор основные функции
Использование DLP системы
Как уже говорилось выше, данная система следит за передачей данных и предотвращает утечки, но есть в ней и другие особенности и функции.
На видео: DLP-системы и расследование инцидентов
Функции и возможности DLP-систем
Функции и возможности DLP-систем
Согласно статистике, примерно 2/3 мелких и средних компаний закрываются в течение 6-12 месяцев после серьезных инцидентов, связанных с утечками информации. Среди субъектов крупного бизнеса картина лучше — в большинстве случаев компании остаются на плаву. Но при этом могут терпеть серьезные убытки, вызванные репутационными, финансовыми и иными потерями, спровоцированными утечками. Немало времени после этого тратится на восстановление прежних показателей.
Ключевая задача DLP-систем — предотвращение утечек информации. Она решается путем реализации в таких системах комплекса функций по контролю за потоками информации, а также за персоналом. С каждой из функций DLP-систем стоит разобраться по-отдельности.
Контроль коммуникаций и целостности информации
Современные DLP-системы выполняют функции контроля:
· электронной почты. Для обеспечения высокого уровня защиты информации в системе предотвращения утечек должен быть реализован контроль таких протоколов веб-почты, как SMTP, POP3, MAPI, IMAP, S/MIME, NNTP. DLP-решение в режиме реального времени анализирует содержимое писем, а также прикрепленных к ним файлов;
· сетевого трафика и доступа в интернет. Поддерживаются протоколы HTTP, HTTPS, FTP, передача по UDP- и TCP-портам. Также не лишней будет функция контроля P2P-протоколов, таких как E-Mule, Direct Connect Protocol, Gnutella;
· операций с файлами на рабочих станциях и серверах. DLP-решения контролируют изменения, вносимые в файлы, их перемещение между папками на компьютере, копирование на съемные носители. Также среди функций систем предотвращения утечек информации — контроль файлов, отправляемых на печать;
· ввода с клавиатуры (кейлоггер), добавления информации в буфер обмена, выгрузки из него.
В любой современной DLP-системе реализован функционал индексации и инвентаризации рабочих станций, файловых хранилищ. Благодаря ему обнаруживаются документы, хранящиеся на жестких дисках, NAS, а также в других системах, с нарушениями установленных в организации политики безопасности.
Анализ поведения пользователей
Функция анализа поведения пользователей в DLP-системах реализуется за счет использования технологии User Behavior Analytics (UBA). Она базируется на 3 теориях: вероятности, случайных процессов, графов. Благодаря UBA обеспечивается фокусирование на сотрудниках (большинство утечек происходят как раз из-за их умышленных или неумышленных действий).
Среди функций DLP-систем, в которых реализована технология User Behavior Analytics:
· выявление аномалий в поведении сотрудников. Система замечает малейшие отклонения от нормального поведения, которые не всегда удается обнаружить «невооруженным глазом»;
· определение рисков снижения бдительности работника, признаков выгорания;
· поиск нетипичных и подозрительных связей (как внутри компании, так и вне ее);
· выявление изменений активности пользователя;
· обнаружение фактов нетипичного финансового поведения;
· определение признаков подготовки к увольнению, фактов поиска сотрудником работы или подработки на стороне.
При обнаружении отклонений в поведении DLP-система оповещает специалиста по информационной безопасности о том, что на сотрудника следует обратить внимание. Находящихся под наблюдением работников можно распределять по группам для удобства наблюдения за ними.
Контроль рабочего времени сотрудников
В его основе лежит информация о действиях пользователей на рабочих компьютерах. На основании данных с модуля формируется картина, позволяющая оценить эффективность использования рабочего времени отдельными сотрудниками или целыми подразделениями.
Функция контроля рабочего времени позволяет получать информацию:
· о временных промежутках активности и «простоя» пользователя на рабочем месте;
· о приложениях, которые используются сотрудником на служебном компьютере;
· о характере данных, с которыми работает сотрудник.
На основе данных из модуля контроля рабочего времени вы сможете анализировать эффективность работников и подразделений, сравнивать их друг с другом, что помогает принимать кадровые и управленческие решения.
Проведение расследований
DLP-система выполняет функцию вспомогательного инструмента при проведении расследований в области информационной безопасности. Такие решения накапливают архив коммуникаций и сведений о событиях. Благодаря ретроспективному анализу с помощью DLP-систем строятся диаграммы взаимосвязей сотрудников, позволяющие отследить цепочки событий, приведших к инцидентам, и выявить сотрудников, замешанных в них. С помощью такого решения строятся схемы распространения информации, позволяющие отследить движение данных от момента их создания документа до возникновения инцидента. Модуль ретроспективного анализа создает различные виды статистических отчетов. С их помощью выявляются аномальные события (а также цепочки событий), что будет полезным при расследовании утечек.
Контроль удаленных сотрудников и другие функции
С помощью endpoint-агентов обеспечивается защита от утечек, контроль мобильных и удаленных пользователей. Возможности практически те же, что и в случае со стационарными рабочими станциями из состава локальной вычислительной сети (контроль почты, общения в мессенджерах, загрузки файлов на съемные носители и так далее).
В некоторых случаях DLP-система может выполнять функции резервного копирования. Конечно, профильные решения, предназначенные специально для этого, она не заменит. Но при соответствующих настройках можно создавать бэкап некоторых важных данных.
Можно возложить на DLP функции контроля привилегий. Благодаря гибкости современных систем здесь можно настраивать блокировку определенных действий (доступ к файлам, изменение, копирование, отправка по различным каналам) для отдельных сотрудников или групп.
Бизнес выбирает DLP-решения
DLP-система Solar Dozor может работать в режиме мониторинга и блокирования утечек информации. Эта система:
· контролирует информацию по большому количеству каналов (электронная почта, веб-почта, мессенджеры, Skype) и параллельно закрывает все потенциальные «воронки», через которые могут просочиться данные. Обеспечивается контроль веб-трафика, сообщений на форумах, публикаций в блогах и сайтах по поиску вакансий;
· имеет несколько уникальных функций, например визуализирует данные, представляя их в виде тепловых карт коммуникаций или графа связей, позволяет буквально в несколько кликов получить подробный отчет по конкретному сотруднику, выявляет его круг общения и связи;
· имеет мощный аналитический потенциал, ее инструменты помогают проводить объективные расследования инцидентов путем выявления косвенных признаков угроз. DLP-система Solar Dozor накапливает архив переписки сотрудников организации, формируют отчеты по активности персональных компьютеров.
Возможностей и перспектив применения DLP-систем, и Solar Dozor, в частности, очень много. За счет многофункциональности их можно использовать в разных сферах бизнеса, для обеспечения информационной безопасности.