Three magic letters DLP over the past year have become very popular in the field of information technology and IT security. You can decrypt them in different ways.
Wikipedia presents as many as four decryption options, two of which - Digital Light Processing and Disneyland Paris - we dismiss for reasons of elementary logic, and the other two - Data Loss Prevention and Data Leak Prevention - take a closer look. In fact, both abbreviations describe the same thing - protecting information from being taken out of the company by an internal attacker or insider. Why might this be necessary?
Safety concerns everyone
Case 1. Offended salesman.
Ivan Aleksandrovich, director of a large distribution company, rightly (or unfairly?) Dismisses the head of the department, Petra. Offended Peter, in revenge for the decision of the management, decided to spoil the business for his ex-employer and share his client base with competitors. With one click, he sends the database to his familiar commercial director Sergey through a public email service, and after five minutes, just in case, transfers it to his flash drive along with documents on the purchase price of goods. As a result, ten minutes of his sabotage significantly spoil the previous few years of hard work throughout the company.
Case 2. Insider.
Ivan Aleksandrovich, already familiar to us, after all the consequences of Peter's act were successfully experienced, still continues to notice that the company's affairs are not striving for improvement. In 90 percent of tenders and competitions in which his company participates, competitors win, who seem to know the conditions under which Ivan's employees are declared. The consultants called by him conduct an audit using DLP technologies and find out that the favorite secretary of Chef Snezhan each time he receives tender documentation either sends it to the already familiar commercial director Sergey, or copies it to his flash drive. Plus, on her working computer, in a zipped folder, she found a full copy of documents about the bank transactions of the company over the past year. The secretary is fired, the consultants are rewarded, the company implements the DLP system.
Any crime is easier to prevent than to rake its consequences. The key word "prevention" is Prevention and characterizes the main objective of DLP systems - Data Leak / Loss Prevention (data protection against leakage / loss).
Based on the statement of the problem, we need to detect the prohibited actions of Peter or Snezhana and not allow them to be completed. How does a DLP system do this?
Big brother is watching you
Information protection is a complex of measures. We determine how Snezhana and Peter will take out the database, and take control of these areas of their activities or leakage channels using various elements of the complex. The base is small? In this case, the easiest way is to send it by e-mail - we begin to filter all calls to mail systems. Does database size make shipping difficult? We will increase attention to removable devices on working computers (it happens that flash drives are needed for work, you won’t forbid everything ...). Can a secret document be sent for printing? We will filter all calls to printers.
How do complexes determine whether a particular user action is allowed or not? As a rule, in exactly the same way as a person - based on the contents of the file-document-message.
The complex operator (and, ideally, a group of professional auditors) makes up a set of rules on the basis of which outgoing information will be analyzed. They can be either sets of words and phrases ("secret", "passport number", etc.), or data templates. For example, in any DLP system, there are rules that correctly recognize the presence of credit card numbers in the sent file or ICQ message.
In addition to checking for keywords, some systems allow you to check whether the sent text is not part of another document. Sending one paragraph of the contract will cause exactly the same chain of events, as if Snezhana tried to send the contract to Sergei as a whole.
In case the scanned document is sent, the DLP complex can be made to recognize the text in the images and check their contents for the presence of keywords or compliance with the protected documents entered in the database.
Iron curtain
In addition to controlling the sending of files and documents, DLP systems also have a number of areas for control. The trouble of modern offices, stealing time and concentration of employees, is social networks and instant messaging services (ICQ, QIP, Skype and other analogues). These services can also turn into a channel for the leak of important information, which nonetheless can be successfully combated. Just imagine the powerless anger of an insider who saw instead of the sent text “tomorrow my company’s shares soar in price” only a few stars ... Plus, the text of the message will go to the security administrator, and the source of the failed leak will become known here and now, and not a week after the incident.
Almost everything can be covered with filters. Letters, messages, FTP and HTTP traffic, printers and flash drives. Even archived “caches” created by cybercriminals just in case on file servers can be calculated using DLP. The number of blocked leakage channels and the quality of filtration are determined, as a rule, only by the company's budget and focus on results.
DLP is not a panacea
After reading this article, you might get the impression that DLP systems give you a 100% guarantee of protection against internal threats. This is not true. If you entrust a platoon missile system to a platoon that does not know how to handle it or simply drive it onto city streets, then its effectiveness will be zero. The situation is exactly the same with DLP-complexes. When using them, as well as when handling missiles, the working conditions and the ability to use the existing functionality are important.
The declaration "We have implemented DLP in the enterprise" is likely to cause only sports interest among those who want to circumvent protection. Its hidden implementation, which helps to increase the efficiency of information collection, may turn out to be much more effective. If you touch the filter settings, then without competent personnel, the security service will either plunge headlong into the stream of false or unimportant responses, or will live in a sweet ignorance and the illusion of the absence of incidents. The conclusion is simple: when choosing an expensive and effective weapon to protect your business, do not save on those people who will keep this barrel in their hands.
Wealth of choice
There are not many players in the DLP systems segment on the market. Moreover, each of the products sold is characterized by its pros and cons. For example, the Russian Infowatch Network Monitor perfectly works with the text of transmitted messages or forwarded documents, knows how to inflect keywords by cases, searches for text in scanned documents, but is not intended to protect workstations, but only network traffic.
Symantec DLP closes most of the "security holes" in the infrastructure - mail, network traffic, inspects actions performed at workstations, and searches for secret documents on network attached storage. But at the same time, his work with keyword word forms and the level of recognition of text documents lag behind the functionality of the Infowatch product, and he does not control screenshots at all. In addition, when you disconnect the laptop from the corporate network, it ceases to perform analysis on indexed files, and filters data only based on keywords.
Another sample system - McAfee Host DLP uses an alternative mechanism for searching for sensitive data. Using software, special marks are placed on files and folders at the file system level. In the event that information is being copied from one file to another, the source and destination files will be marked. Thus, the problem of protecting laptop computers is solved. The disadvantage of the approach used is the low coefficient of automation of the process of compiling a list of protected data. All operations on assigning a particular document to the number of "secret" should be performed by the operator.
In addition to the listed solution providers, we can mention the domestic Smart Line Inc. Device Lock and Searchinform, the Western Websense and TrendMicro, each of which has its own advantages and disadvantages. The choice of solution is always determined by the needs of the company, the tasks that are assigned to the security division, and the financial capabilities of the organization. There is a solution for each problem format and leakage scale. The only advice: trust professionals in the matter of its choice and customization.
Wikipedia presents as many as four decryption options, two of which - Digital Light Processing and Disneyland Paris - we dismiss for reasons of elementary logic, and the other two - Data Loss Prevention and Data Leak Prevention - take a closer look. In fact, both abbreviations describe the same thing - protecting information from being taken out of the company by an internal attacker or insider. Why might this be necessary?
Safety concerns everyone
Case 1. Offended salesman.
Ivan Aleksandrovich, director of a large distribution company, rightly (or unfairly?) Dismisses the head of the department, Petra. Offended Peter, in revenge for the decision of the management, decided to spoil the business for his ex-employer and share his client base with competitors. With one click, he sends the database to his familiar commercial director Sergey through a public email service, and after five minutes, just in case, transfers it to his flash drive along with documents on the purchase price of goods. As a result, ten minutes of his sabotage significantly spoil the previous few years of hard work throughout the company.
Case 2. Insider.
Ivan Aleksandrovich, already familiar to us, after all the consequences of Peter's act were successfully experienced, still continues to notice that the company's affairs are not striving for improvement. In 90 percent of tenders and competitions in which his company participates, competitors win, who seem to know the conditions under which Ivan's employees are declared. The consultants called by him conduct an audit using DLP technologies and find out that the favorite secretary of Chef Snezhan each time he receives tender documentation either sends it to the already familiar commercial director Sergey, or copies it to his flash drive. Plus, on her working computer, in a zipped folder, she found a full copy of documents about the bank transactions of the company over the past year. The secretary is fired, the consultants are rewarded, the company implements the DLP system.
Any crime is easier to prevent than to rake its consequences. The key word "prevention" is Prevention and characterizes the main objective of DLP systems - Data Leak / Loss Prevention (data protection against leakage / loss).
Based on the statement of the problem, we need to detect the prohibited actions of Peter or Snezhana and not allow them to be completed. How does a DLP system do this?
Big brother is watching you
Information protection is a complex of measures. We determine how Snezhana and Peter will take out the database, and take control of these areas of their activities or leakage channels using various elements of the complex. The base is small? In this case, the easiest way is to send it by e-mail - we begin to filter all calls to mail systems. Does database size make shipping difficult? We will increase attention to removable devices on working computers (it happens that flash drives are needed for work, you won’t forbid everything ...). Can a secret document be sent for printing? We will filter all calls to printers.
How do complexes determine whether a particular user action is allowed or not? As a rule, in exactly the same way as a person - based on the contents of the file-document-message.
The complex operator (and, ideally, a group of professional auditors) makes up a set of rules on the basis of which outgoing information will be analyzed. They can be either sets of words and phrases ("secret", "passport number", etc.), or data templates. For example, in any DLP system, there are rules that correctly recognize the presence of credit card numbers in the sent file or ICQ message.
In addition to checking for keywords, some systems allow you to check whether the sent text is not part of another document. Sending one paragraph of the contract will cause exactly the same chain of events, as if Snezhana tried to send the contract to Sergei as a whole.
In case the scanned document is sent, the DLP complex can be made to recognize the text in the images and check their contents for the presence of keywords or compliance with the protected documents entered in the database.
Iron curtain
In addition to controlling the sending of files and documents, DLP systems also have a number of areas for control. The trouble of modern offices, stealing time and concentration of employees, is social networks and instant messaging services (ICQ, QIP, Skype and other analogues). These services can also turn into a channel for the leak of important information, which nonetheless can be successfully combated. Just imagine the powerless anger of an insider who saw instead of the sent text “tomorrow my company’s shares soar in price” only a few stars ... Plus, the text of the message will go to the security administrator, and the source of the failed leak will become known here and now, and not a week after the incident.
Almost everything can be covered with filters. Letters, messages, FTP and HTTP traffic, printers and flash drives. Even archived “caches” created by cybercriminals just in case on file servers can be calculated using DLP. The number of blocked leakage channels and the quality of filtration are determined, as a rule, only by the company's budget and focus on results.
DLP is not a panacea
After reading this article, you might get the impression that DLP systems give you a 100% guarantee of protection against internal threats. This is not true. If you entrust a platoon missile system to a platoon that does not know how to handle it or simply drive it onto city streets, then its effectiveness will be zero. The situation is exactly the same with DLP-complexes. When using them, as well as when handling missiles, the working conditions and the ability to use the existing functionality are important.
The declaration "We have implemented DLP in the enterprise" is likely to cause only sports interest among those who want to circumvent protection. Its hidden implementation, which helps to increase the efficiency of information collection, may turn out to be much more effective. If you touch the filter settings, then without competent personnel, the security service will either plunge headlong into the stream of false or unimportant responses, or will live in a sweet ignorance and the illusion of the absence of incidents. The conclusion is simple: when choosing an expensive and effective weapon to protect your business, do not save on those people who will keep this barrel in their hands.
Wealth of choice
There are not many players in the DLP systems segment on the market. Moreover, each of the products sold is characterized by its pros and cons. For example, the Russian Infowatch Network Monitor perfectly works with the text of transmitted messages or forwarded documents, knows how to inflect keywords by cases, searches for text in scanned documents, but is not intended to protect workstations, but only network traffic.
Symantec DLP closes most of the "security holes" in the infrastructure - mail, network traffic, inspects actions performed at workstations, and searches for secret documents on network attached storage. But at the same time, his work with keyword word forms and the level of recognition of text documents lag behind the functionality of the Infowatch product, and he does not control screenshots at all. In addition, when you disconnect the laptop from the corporate network, it ceases to perform analysis on indexed files, and filters data only based on keywords.
Another sample system - McAfee Host DLP uses an alternative mechanism for searching for sensitive data. Using software, special marks are placed on files and folders at the file system level. In the event that information is being copied from one file to another, the source and destination files will be marked. Thus, the problem of protecting laptop computers is solved. The disadvantage of the approach used is the low coefficient of automation of the process of compiling a list of protected data. All operations on assigning a particular document to the number of "secret" should be performed by the operator.
In addition to the listed solution providers, we can mention the domestic Smart Line Inc. Device Lock and Searchinform, the Western Websense and TrendMicro, each of which has its own advantages and disadvantages. The choice of solution is always determined by the needs of the company, the tasks that are assigned to the security division, and the financial capabilities of the organization. There is a solution for each problem format and leakage scale. The only advice: trust professionals in the matter of its choice and customization.
Original message
Три волшебные буквы DLP за последний год стали очень популярными в сфере информационных технологий и ИТ-безопасности. Расшифровать их можно по-разному.
"Википедия" представляет нам целых четыре варианта расшифровки, два из которых - Digital Light Processing и Disneyland Paris - мы отметаем из соображений элементарной логики, а к двум другим - Data Loss Prevention и Data Leak Prevention - присмотримся поподробнее. По сути обе аббревиатуры описывают одно и то же - защиту информации от выноса из компании внутренним злоумышленником или инсайдером. Для чего это может быть необходимо?
Безопасность касается каждого
Кейс 1. Обиженный продажник.
Иван Александрович, директор крупной дистрибьюторской компании, справедливо (или несправедливо?) увольняет руководителя отдела Петра. Обиженный Пётр в отместку за решение руководства решил подпортить бизнес своему экс-работодателю и поделиться клиентской базой с конкурентами. Одним кликом он отправляет базу своему знакомому коммерческому директору Сергею через общедоступный сервис электронной почты, а через пять минут на всякий случай перебрасывает её к себе на флэшку вместе с документами о закупочной стоимости товаров. В результате десять минут его вредительства существенно портят предыдущие несколько лет напряжённой работы всей компании.
Кейс 2. Инсайдер.
Уже знакомый нам Иван Александрович после того, как все последствия поступка Петра были успешно пережиты, всё равно продолжает замечать, что дела компании не стремятся к улучшению. В 90 процентах тендеров и конкурсов, в которых участвует его фирма, побеждают конкуренты, которые как будто знают условия, с которыми заявляются сотрудники Ивана. Вызванные им консультанты проводят аудит с использованием технологий DLP и обнаруживают, что любимая секретарша шефа Снежана каждый раз при попадании к ней тендерной документации либо отправляет её уже знакомому коммерческому директору Сергею, либо копирует к себе на флэш-диск. Плюс ко всему у неё на рабочем компьютере в заархивированной папке обнаружилась полная копия документов о банковских проводках компании за прошедший год. Секретарша уволена, консультанты вознаграждены, в компании внедряется DLP-система.
Любое преступление проще предотвратить, чем разгребать его последствия. Ключевое слово "предотвращение" - Prevention и характеризует основную задачу систем DLP - Data Leak/Loss Prevention (защита данных от утечки/потери).
Исходя из постановки задачи, нам необходимо обнаружить запрещённые действия Петра или Снежаны и не дать их совершить. Как это делает DLP-система?
Большой брат следит за тобой
Защита информации - это комплекс мер. Мы определяем, как Снежана и Пётр будут выносить базу данных, и берём под контроль эти сферы их деятельности или каналы утечки с помощью различных элементов комплекса. База невелика? В этом случае проще всего отправить её по электронной почте - начинаем фильтровать все обращения к почтовым системам. Размер базы данных затрудняет пересылку? Усилим внимание к съёмным устройствам на рабочих компьютерах (бывает же, что флэшки нужны для работы, все не запретишь...). Секретный документ можно отправить на печать? Будем фильтровать все обращения к принтерам.
Как комплексы определяют, разрешено или нет то или иное действие пользователя? Как правило, точно так же, как и человек - на основании содержания файла-документа-сообщения.
Оператор комплекса (а в идеальном случае - группа профессиональных аудиторов) составляет набор правил, на основании которых будет анализироваться исходящая информация. Ими могут быть как наборы слов и фраз ("секретно", "номер паспорта" и т.д.), так и шаблоны данных. Например, в любой DLP-системе существуют правила, которые безошибочно распознают наличие номеров кредитных карт в отправляемом файле или сообщении ICQ.
Кроме проверки на наличие ключевых слов, некоторые системы позволяют проверять, не является ли отправляемый текст частью другого документа. Отправка одного параграфа договора вызовет точно такую же цепочку событий, как если бы Снежана попыталась отправить договор Сергею целиком.
На тот случай, если будет производиться отправка отсканированного документа, DLP-комплекс можно заставить распознавать текст в изображениях и проверять их содержание на предмет наличия ключевых слов или соответствия внесённым в базу защищаемым документам.
Железный занавес
Кроме контроля за отправкой файлов и документов у DLP-систем присутствует ещё ряд сфер для контроля. Беда современных офисов, крадущая время и концентрацию внимания сотрудников, - это социальные сети и службы мгновенных сообщений (ICQ, QIP, Skype и прочие аналоги). Эти службы также могут превратиться в канал утечки важных сведений, с чем тем не менее можно успешно бороться. Только представьте себе бессильную злобу инсайдера, увидевшего вместо отправленного текста "завтра акции моей компании должны резко взлететь в цене" лишь ряд звёздочек... Плюс ко всему текст сообщения попадёт к администратору безопасности, и источник неудавшейся утечки сведений станет известен здесь и сейчас, а не спустя недели после инцидента.
Перекрыть фильтрами можно практически всё. Письма, сообщения, FTP и HTTP-трафик, принтеры и флэшки. Даже создаваемые злоумышленниками заархивированные "схроны" на всякий случай на файловых серверах могут быть вычислены с помощью DLP. Число перекрываемых каналов утечки и качество фильтрации определяются, как правило, только бюджетом компании и нацеленностью на результат.
DLP не панацея
После прочтения этой статьи может сложиться впечатление, что DLP-системы дают стопроцентную гарантию защиты от внутренних угроз. Это не так. Если доверить ракетную систему залпового огня не умеющему обращаться с ней взводу или просто загнать её на городские улицы, то её эффективность будет равна нулю. Точно так же дело обстоит и с DLP-комплексами. При их использовании, как и при обращении с ракетами, важны условия работы и умение применять имеющийся функционал.
Декларация "Мы внедрили DLP на предприятии", скорее всего, вызовет только спортивный интерес у желающих обойти защиту. Гораздо более эффективным может оказаться её скрытое внедрение, помогающее увеличить результативность сбора информации. Если же коснуться настройки фильтров, то без грамотного персонала служба безопасности либо с головой погрузится в поток ложных или маловажных срабатываний, либо будет жить в сладком неведении и иллюзии отсутствия инцидентов. Вывод прост: выбирая дорогое и эффективное оружие для защиты бизнеса, не экономьте на тех людях, которые будут держать этот ствол в руках.
Богатство выбора
На рынке присутствует не так много игроков в сегменте DLP-систем. При этом каждый из продаваемых продуктов характеризуется своими плюсами и минусами. Например, российский Infowatch Network Monitor великолепно работает с текстом передаваемых сообщений или пересылаемых документов, умеет склонять по падежам ключевые слова, ищет текст в отсканированных документах, но не предназначен для защиты рабочих станций, а только сетевого трафика.
Symantec DLP закрывает большинство "дырок" в безопасности инфраструктуры - почтовый, сетевой трафик, инспектирует действия, производимые на рабочих станциях, и ищет секретные документы по сетевым хранилищам. Но при этом его работа со словоформами ключевых слов и уровень распознавания текстовых документов отстают от функционала продукта Infowatch, а снимки экрана он не контролирует вообще. Кроме того, при отключении ноутбука от корпоративной сети он перестает производить анализ по индексированным файлам, а фильтрует данные только на основании ключевых слов.
Ещё один образец системы - McAfee Host DLP использует альтернативный механизм поиска секретных данных. С помощью программного обеспечения на файлах и папках ставятся специальные метки на уровне файловой системы. В том случае, если производится копирование информации из одного файла в другой, то помеченным окажется как исходный, так и конечный файл. Таким образом решается проблема защиты переносных компьютеров. Недостаток применяемого подхода - низкий коэффициент автоматизации процесса составления перечня защищаемых данных. Все операции по причислению конкретного документа к числу "секретных" должен выполнять оператор.
Кроме перечисленных поставщиков решений можно упомянуть отечественные Смарт Лайн Инк Device Lock и Searchinform, западные Websense и TrendMicro, каждый из которых обладает своими достоинствами и недостатками. Выбор решения всегда обуславливается потребностями компании, задачами, которые ставятся перед подразделением безопасности, и финансовыми возможностями организации. Для каждого формата задач и масштаба утечек найдётся своё решение. Единственный совет: доверьтесь профессионалам в вопросе его выбора и настройки.
"Википедия" представляет нам целых четыре варианта расшифровки, два из которых - Digital Light Processing и Disneyland Paris - мы отметаем из соображений элементарной логики, а к двум другим - Data Loss Prevention и Data Leak Prevention - присмотримся поподробнее. По сути обе аббревиатуры описывают одно и то же - защиту информации от выноса из компании внутренним злоумышленником или инсайдером. Для чего это может быть необходимо?
Безопасность касается каждого
Кейс 1. Обиженный продажник.
Иван Александрович, директор крупной дистрибьюторской компании, справедливо (или несправедливо?) увольняет руководителя отдела Петра. Обиженный Пётр в отместку за решение руководства решил подпортить бизнес своему экс-работодателю и поделиться клиентской базой с конкурентами. Одним кликом он отправляет базу своему знакомому коммерческому директору Сергею через общедоступный сервис электронной почты, а через пять минут на всякий случай перебрасывает её к себе на флэшку вместе с документами о закупочной стоимости товаров. В результате десять минут его вредительства существенно портят предыдущие несколько лет напряжённой работы всей компании.
Кейс 2. Инсайдер.
Уже знакомый нам Иван Александрович после того, как все последствия поступка Петра были успешно пережиты, всё равно продолжает замечать, что дела компании не стремятся к улучшению. В 90 процентах тендеров и конкурсов, в которых участвует его фирма, побеждают конкуренты, которые как будто знают условия, с которыми заявляются сотрудники Ивана. Вызванные им консультанты проводят аудит с использованием технологий DLP и обнаруживают, что любимая секретарша шефа Снежана каждый раз при попадании к ней тендерной документации либо отправляет её уже знакомому коммерческому директору Сергею, либо копирует к себе на флэш-диск. Плюс ко всему у неё на рабочем компьютере в заархивированной папке обнаружилась полная копия документов о банковских проводках компании за прошедший год. Секретарша уволена, консультанты вознаграждены, в компании внедряется DLP-система.
Любое преступление проще предотвратить, чем разгребать его последствия. Ключевое слово "предотвращение" - Prevention и характеризует основную задачу систем DLP - Data Leak/Loss Prevention (защита данных от утечки/потери).
Исходя из постановки задачи, нам необходимо обнаружить запрещённые действия Петра или Снежаны и не дать их совершить. Как это делает DLP-система?
Большой брат следит за тобой
Защита информации - это комплекс мер. Мы определяем, как Снежана и Пётр будут выносить базу данных, и берём под контроль эти сферы их деятельности или каналы утечки с помощью различных элементов комплекса. База невелика? В этом случае проще всего отправить её по электронной почте - начинаем фильтровать все обращения к почтовым системам. Размер базы данных затрудняет пересылку? Усилим внимание к съёмным устройствам на рабочих компьютерах (бывает же, что флэшки нужны для работы, все не запретишь...). Секретный документ можно отправить на печать? Будем фильтровать все обращения к принтерам.
Как комплексы определяют, разрешено или нет то или иное действие пользователя? Как правило, точно так же, как и человек - на основании содержания файла-документа-сообщения.
Оператор комплекса (а в идеальном случае - группа профессиональных аудиторов) составляет набор правил, на основании которых будет анализироваться исходящая информация. Ими могут быть как наборы слов и фраз ("секретно", "номер паспорта" и т.д.), так и шаблоны данных. Например, в любой DLP-системе существуют правила, которые безошибочно распознают наличие номеров кредитных карт в отправляемом файле или сообщении ICQ.
Кроме проверки на наличие ключевых слов, некоторые системы позволяют проверять, не является ли отправляемый текст частью другого документа. Отправка одного параграфа договора вызовет точно такую же цепочку событий, как если бы Снежана попыталась отправить договор Сергею целиком.
На тот случай, если будет производиться отправка отсканированного документа, DLP-комплекс можно заставить распознавать текст в изображениях и проверять их содержание на предмет наличия ключевых слов или соответствия внесённым в базу защищаемым документам.
Железный занавес
Кроме контроля за отправкой файлов и документов у DLP-систем присутствует ещё ряд сфер для контроля. Беда современных офисов, крадущая время и концентрацию внимания сотрудников, - это социальные сети и службы мгновенных сообщений (ICQ, QIP, Skype и прочие аналоги). Эти службы также могут превратиться в канал утечки важных сведений, с чем тем не менее можно успешно бороться. Только представьте себе бессильную злобу инсайдера, увидевшего вместо отправленного текста "завтра акции моей компании должны резко взлететь в цене" лишь ряд звёздочек... Плюс ко всему текст сообщения попадёт к администратору безопасности, и источник неудавшейся утечки сведений станет известен здесь и сейчас, а не спустя недели после инцидента.
Перекрыть фильтрами можно практически всё. Письма, сообщения, FTP и HTTP-трафик, принтеры и флэшки. Даже создаваемые злоумышленниками заархивированные "схроны" на всякий случай на файловых серверах могут быть вычислены с помощью DLP. Число перекрываемых каналов утечки и качество фильтрации определяются, как правило, только бюджетом компании и нацеленностью на результат.
DLP не панацея
После прочтения этой статьи может сложиться впечатление, что DLP-системы дают стопроцентную гарантию защиты от внутренних угроз. Это не так. Если доверить ракетную систему залпового огня не умеющему обращаться с ней взводу или просто загнать её на городские улицы, то её эффективность будет равна нулю. Точно так же дело обстоит и с DLP-комплексами. При их использовании, как и при обращении с ракетами, важны условия работы и умение применять имеющийся функционал.
Декларация "Мы внедрили DLP на предприятии", скорее всего, вызовет только спортивный интерес у желающих обойти защиту. Гораздо более эффективным может оказаться её скрытое внедрение, помогающее увеличить результативность сбора информации. Если же коснуться настройки фильтров, то без грамотного персонала служба безопасности либо с головой погрузится в поток ложных или маловажных срабатываний, либо будет жить в сладком неведении и иллюзии отсутствия инцидентов. Вывод прост: выбирая дорогое и эффективное оружие для защиты бизнеса, не экономьте на тех людях, которые будут держать этот ствол в руках.
Богатство выбора
На рынке присутствует не так много игроков в сегменте DLP-систем. При этом каждый из продаваемых продуктов характеризуется своими плюсами и минусами. Например, российский Infowatch Network Monitor великолепно работает с текстом передаваемых сообщений или пересылаемых документов, умеет склонять по падежам ключевые слова, ищет текст в отсканированных документах, но не предназначен для защиты рабочих станций, а только сетевого трафика.
Symantec DLP закрывает большинство "дырок" в безопасности инфраструктуры - почтовый, сетевой трафик, инспектирует действия, производимые на рабочих станциях, и ищет секретные документы по сетевым хранилищам. Но при этом его работа со словоформами ключевых слов и уровень распознавания текстовых документов отстают от функционала продукта Infowatch, а снимки экрана он не контролирует вообще. Кроме того, при отключении ноутбука от корпоративной сети он перестает производить анализ по индексированным файлам, а фильтрует данные только на основании ключевых слов.
Ещё один образец системы - McAfee Host DLP использует альтернативный механизм поиска секретных данных. С помощью программного обеспечения на файлах и папках ставятся специальные метки на уровне файловой системы. В том случае, если производится копирование информации из одного файла в другой, то помеченным окажется как исходный, так и конечный файл. Таким образом решается проблема защиты переносных компьютеров. Недостаток применяемого подхода - низкий коэффициент автоматизации процесса составления перечня защищаемых данных. Все операции по причислению конкретного документа к числу "секретных" должен выполнять оператор.
Кроме перечисленных поставщиков решений можно упомянуть отечественные Смарт Лайн Инк Device Lock и Searchinform, западные Websense и TrendMicro, каждый из которых обладает своими достоинствами и недостатками. Выбор решения всегда обуславливается потребностями компании, задачами, которые ставятся перед подразделением безопасности, и финансовыми возможностями организации. Для каждого формата задач и масштаба утечек найдётся своё решение. Единственный совет: доверьтесь профессионалам в вопросе его выбора и настройки.
