Linkedin-in
Предотвращение утечек информации
DLP Понимание основ и эволюция решений по предотвращению потери данных - ICORE
_

DLP: Понимание основ и эволюция решений по предотвращению потери данных

Введение в DLP-Системы
DLP, что означает Data Loss Prevention – это специализированный класс решений, предназначенный для защиты компаний от утечки чувствительных данных. Подобного рода системы создают защищенный цифровой периметр вокруг организации, анализируя весь исходящий поток информации по таким каналам передачи данных как почтовые сообщения, веб выгрузки, копирование данных на съемные носители, печать на принтер, публикация в облачные сервисы и приложения.
В организациях используют два метода защиты конфиденциальных данных: организационно-правовой и технический. Организационно-правовой метод обеспечивается за счет разработки и внедрения пакета документов по соблюдению правил информационной безопасности, такие как политика информационной безопасности, правила обращения с информацией в зависимости от ее категорирования, система допуска должностных лиц к информации и т.д. К техническому обеспечению относятся системы класса Data Loss Prevention, антивирусные решения, системы шифрования и т.д.
Эффективным способом защиты конфиденциальной информации является организация комплексного подхода, организационно-правовой метод подкрепляется техническим обеспечением защиты.
DLP делятся на системы с активным и пассивным контролем, устанавливаемым над действиями пользователя. Активные имеют такую способность, пассивные нет. Первые более эффективные, так как предотвращают утечку информации, блокируя действие пользователя или работу ПО при обнаружении инцидента. С другой стороны, у них есть недостаток – технология может непроизвольно нарушить какой-либо критический процесс. С пассивным такого не происходит, они используются для профилактики систематических утечек с реагированием постфактум.
Лучшими практиками в использовании DLP-систем является подход сбора событий утечек, понять по каким каналам и какие данные перемещаются за периметр Организации и далее, выставить ограничения на передачу наиболее чувствительных данных в связке с группами конечных пользователей. Определить информацию, попадающую под категорию ограниченного распространения нам, поможет функционал классификации, позволяющий определить среди всего потока данных интересующую нас информацию, выделить ее в отдельную сущность и наложить соответствующие ограничения. При выборе DLP важным критерием является наличие богатого выбора методов определения классификации, по мимо сложных проверок по содержимому, эффективность показали классификации, работающие по контексту, например расположение файла, цифровые отпечатки, интеграция меток в свойства документов, расширение файлов и т.д.

История DLP-Системы
В начале 2000-х годов, крупнейшие организации осознали, что им необходимо защищаться от утечек. Кроме организаций, это понимание пришло и к различным чиновникам, решившим «штамповать» многочисленные нормативы, направленные на обеспечение безопасности персональных данных. Спрос на решения, которые позже перерастут в рынок DLP, подогревался возрастающими объемами информации, а также рядом конкретных инцидентов с далеко идущими последствиями.
Видение в перспективности решений по защите от утечек стала окончательно ясна уже к 2003 году. А для некоторых особо прозорливых деятелей — и того раньше. Именно они и создали сразу несколько стартапов, которые впоследствии стали базой для еще молодого рынка DLP.
Примерно в 2005-2006 годах этот рынок вступил в фазу уверенного роста. Именно тогда сформировались основные подходы DLP, которые, впрочем, существенно отличались друг от друга. В то время рынок был довольно перспективным, но все еще не осознавал свое предназначение.
В конце 2006 года в сознании этого направления начался перелом. Рынок стал выбирать себе институт, в роли которого выступали крупнейшие разработчики решений по безопасности. За следующие два года ИБ институты выкупили практические все значимые стартапы, которые занимались реализацией данного направления с привлечением больших инвестиций. Общий объем выделенных грантов действительно впечатляет — по оценкам аналитического центра компании Perimetrix, он превышает 2 млрд долл.
Между прочим, ИБ-институты оценивали стартапы DLP-систем весьма высоко. По нашим оценкам, эта сумма в 10-16 раз больше, чем суммарный годовой оборот поглощенных стартапов по другим направлениям. Обычно при покупке ИТ-компаний применяются гораздо более низкие мультипликаторы — в большинстве случаев стоимость покупки не превышает пяти годовых оборотов.
Теперь каждому из поглощенных стартапов предстоит пройти интеграцию с крупной корпорации и определиться со своим будущим. На данный момент у этого будущего просматривается несколько вариантов: влиться в ряды разработчиков корпорации, возглавить отдельный бизнес в рамках корпорации или не выдержать испытания и закрыть направление. В первом случае из текущих наработок получится функция какой-либо комплексной системы, во втором — отдельная система, а в третьем — не получится вообще ничего. По сути, будущее всего рынка DLP определяется успешностью того сможет пройти поглощенный стартап адаптацию внутри корпораций.
Однако не стоит забывать и о тех, кто не сумел влиться в корпорации. В мире существует сразу несколько серьезных поставщиков DLP-систем, которые и по сей день остаются независимыми стартапами: Vericept, Verdasys, Reconnex, Orchestria и ряд других.
Фактически период массовой скупки стартапов привел к временной стагнации лидеров рынка DLP-систем. Как следствие, у их основных конкурентов появилась прекрасная возможность для саморазвития. Пока бывшие лидеры интегрируются, более слабые могут подтянуть собственную подготовку. И далеко не факт, что после этого они станут продаваться крупным корпорациям.
К тому же и бюджеты крупных корпораций на покупку стартапов все-таки ограниченны. Даже компания Symantec, имеющая историческую предрасположенность к шопингу, редко покупает больше двух производителей одного класса решений. Как бы ни старались крупные игроки, поглотить все стартапы они никогда не смогут. Более того — они вполне в состоянии просмотреть настоящий бриллиант, который впоследствии принесет баснословные доходы, а потому вряд ли будет кому-либо продан. В индустрии информационных технологий таких примеров полным-полно.
Исходя из этого вполне реальной представляется и вторая перспектива, которая предполагает, что DLP сохранится в качестве отдельного рынка. Потенциальные заказчики DLP — крупные корпорации — обычно предпочитают качество цене, а тем более — интегрированности. А это дает дополнительные преимущества различным нишевым игрокам, которые могут добиться уникальных технологических преимуществ.
Добавим, что в пользу версии «рынок» говорит и некоторая специфика решений, принадлежащих к классу DLP. А именно — их абсолютная нетиражируемость и важность предпроектно-консалтингово-внедренческих работ. По определению решения класса DLP должны производить фильтрацию сведений, а качественная фильтрация невозможна без тщательной предпроектной подготовки. Именно эта подготовка часто становится основным фактором успешности проекта.
Кроме того, защита от утечек и внутренних угроз требует серьезной работы с персоналом, а в некоторых случаях даже изменения бизнес-процессов. Следовательно, поставщик системы должен обладать серьезной компетенцией в области консалтинга и обучения. Для других классов решений по безопасности такая ситуация не слишком характерна — обычно они внедряются внутри департаментов ИТ (ИБ) и никак не влияют на жизнь обычных пользователей.

Современные DLP-Системы
Тезис о том, что современные DLP-системы растворятся в функциональности комплексных решений по безопасности, безусловно, имеет право на жизнь. В пользу этой версии, в частности, говорит общее текущее предложение ИБ-решений, а также их абсолютная неоднородность. Действительно, сегодня трудно найти отдельно существующий антивирус или межсетевой экран — крупнейшие производители предпочитают выпускать комплексные наборы, поддерживающие множество различных функций с единым интерфейсом управления.
И это логично, ведь «комплексность» позволяет снизить не только начальные расходы на приобретение защитной системы, но и издержки на ее внедрение и поддержку. Понятно, что чем больше составляющих упаковано в единый пакет, тем ниже будет стоимость владения отдельной составляющей.
События последних двух лет наглядно показали, что эти соображения близки не только авторам данного материала, но и руководителям ведущих корпораций в области безопасности. Зачем Symatec, WebSense, Trellix и EMC приобретали стартапы, переплачивая за них в три раза? Даже учитывая перспективность DLP, трудно предположить, что эти покупки напрямую окупятся уже в ближайшем будущем. Дело в другом: покупая производителей DLP-систем, корпорации будут стремиться сохранить свою конкурентоспособность, интегрировав функциональность DLP в стандартные решения. Ведь если у всех остальных конкурентов такая функциональность будет присутствовать, корпорация рискует потерять свой основной, давно насиженный и окученный рынок.
Именно поэтому после покупки стартапов обычно запускается долгий и довольно нудный процесс под названием «интеграция». Основная задача корпорации — инкапсулировать поглощенную функциональность в уже существующие комплексные системы безопасности. Несмотря на кажущуюся простоту, это довольно трудоемкий процесс, требующий серьезных затрат на разработку и тестирование того, что в итоге получилось. При этом никаких радикально новых DLP-функций в продукте, естественно, не появляется; на них попросту не хватает времени.

Будущее DLP-Систем
Пройдя этап инкапсуляции и закрепление основных игроков на рынке, производители плавно перейдут на увеличение функциональных возможностей подключая адаптивную аналитику и искусственный интеллект.
Уже сейчас мы наблюдаем объединение функций контроля пользователей с классическим функционалом DLP.
Из новых достижений можно выделить аналитику поведения пользователей, где фокус перемещается от информации к человеку, а именно, фокус на его фактической роли в коллективе, характере коммуникаций, особенностях работы с защищаемой информацией. Такой подход наиболее эффективный традиционного мониторинга разрозненных данных и низкоуровневых событий. С помощью методов машинного обучения в реальном времени анализирует историю коммуникаций каждого сотрудника и автоматически формирует личный профиль его нормального поведения. На основе собранной информации система выявляет аномалии в поведении сотрудника. Одновременно модуль ищет работников, попадающих под значимые для безопасности паттерны поведения (комбинации поведенческих особенностей и аномалий). Индикаторы, которые фиксируют аномальное поведение работника, позволяет акцентировать внимание только на явные действия нарушителя и не тратить время на обработку ложно положительных срабатываний.
Расширение функционала для использования DLP систем смежными подразделениями, например HR-службы, которые могут получить доступ к системе и статистику рабочего времени в разрезе каждого работника. В простой и наглядной форме DLP-система покажет, как сотрудник проводит рабочее время за компьютером, фактическое активное время, сколько времени провел за тем или иным приложением, фиксирует посещение интернет ресурсов, выводит наглядные отчеты для принятия стратегических мер со стороны заинтересованных подразделений.
Таким образом инструмент предотвращения утечки конфиденциальных данных развивается сообразно с потребностями рынка, приобретая новые функции или выделяя их в качестве отдельных продуктов. DLP-системы не только защищают информационные активы, но и анализируют поведение пользователей или помогают управлять продуктивностью их работы. Это расширяет список сценариев применения, заставляя задуматься о внедрении тем, кто ни с ущербом, ни с вероятностью инцидентов, ни с хищением персональных данных до этого не сталкивался.

Заключение
Все больше компаний понимают, что защищаться от утечек важно. И лучше делать это при помощи специализированных решений, которые отлично справляются с такой задачей, предотвращая финансовые репутационные и другие виды потерь.
DLP решения внедряются как в крупный, так и малый и средний бизнес, предотвращая изменение хода рабочих процессов и обеспечивая защиту ИБ.
Появляются компании, которые сталкивались с перечисленным в полном объеме, ввиду чего стараются быстрее внедрять DLP-решения. К ним относятся финансовые учреждения и бюджетные организации — компании уровня enterprise. Они в первую очередь чувствуют увеличение объема угроз, осознают бессмысленность традиционных методов реагирования.
Предположительно через некоторое время повышение количества и критичности инцидентов затронет также компании меньшего размера, а значит, ответ на вопрос «когда и кому нужна DLP-система?» будет «всем и всегда».

Источник
https://www.trellix.com/
https://www.anti-malware.ru/
https://compress.ru/article.aspx?id=20504

Автор:
Мухаметжанов Д.А.