Особливості роботи з DLP-системами: опис, завдання, порівняння

Перед тим, як детально вивчати і обговорювати ринок DLP-систем, потрібно визначитися з тим, що під цим мається на увазі. Під DLP-системами зазвичай розуміють програмні продукти, які створені для захисту організацій і підприємств від витоків секретної інформації. Так і перекладається на російську мову сама абревіатура DLP (повністю - Data Leak Prevention) - "уникнення витоків даних". Такі системи здатні створювати цифровий захищений "периметр" для аналізу всієї вихідної або вхідної інформації. Контрольована даною системою інформація - інтернет-трафік і численні інформаційні потоки: документи, що виносяться за межі захищається "периметра" на зовнішніх носіях, які роздруковуються на принтері, відправляються на мобільні пристрої за допомогою Bluetooth. Оскільки у наші дні розсилка і обмін різного роду інформацією - неминуча необхідність, значення такого захисту очевидно. Чим більше цифрових і інтернет-технологій використовується, тим більші гарантії безпеки необхідні на щоденній основі, особливо в корпоративному середовищі.

Як це працює?

Так як DLP-система повинна протидіяти витоків конфіденційної корпоративної інформації, то вона, звичайно ж, володіє вбудованими механізмами діагностики ступеня конфіденційності будь-якого документа, що перебуває у перехопленому трафіку. Поширеними в даному випадку є два способи розпізнавання ступеня конфіденційності файлів: за допомогою перевірки спеціальних маркерів і шляхом аналізу вмісту. В нині актуальним є другий варіант. Він більш стійкий перед модифікаціями, які можуть бути внесені в файл напередодні його відправки, а також дає змогу легко розширювати кількість конфіденційних документів, з якими може працювати система.

Другорядні завдання DLP

Крім своєї основної функції, яка пов'язана з тим, щоб запобігти витоку інформації, DLP-системи також підходять для вирішення багатьох інших завдань, орієнтованих на контроль над діями персоналу. Найчастіше DLP-системами вирішується ряд наступних завдань:

повний контроль використання робочого часу, а також робочих ресурсів персоналом організації; моніторинг комунікацій співробітників з метою виявлення їх можливості заподіяти шкоду організації; контроль над діями співробітників у плані правомірності (запобігання виготовлення підроблених документів); виявлення співробітників, які розсилають резюме, для швидкого пошуку персоналу на посаду, що звільнилася.

Класифікація та порівняння DLP-систем

Всі існуючі DLP-системи можна розподілити за певними ознаками на кілька основних підтипів, кожний з яких буде виділятися і мати свої переваги в порівнянні з іншими. По можливості блокування інформації, яка розпізнається як конфіденційна, є системи з активним або пасивним постійним контролем дій користувачів. Перші системи вміють блокувати передається інформацію, на відміну від других. Також вони набагато краще можуть боротися з випадковими проходженнями інформації на бік, але при цьому можуть влаштувати зупинку поточних бізнес-процесів компанії, що є не найкращим якістю в порівнянні з другими. Інша класифікація DLP-систем може бути виконана, виходячи з їх мережної архітектури. Шлюзові DLP функціонують на проміжних серверах. На відміну від них хостовые застосовують агенти, які працюють конкретно на робочих станціях співробітників. На даний момент більш актуальним варіантом виступає одночасне застосування хостовых і шлюзових компонентів, але перші мають певні переваги.

Світовий сучасний ринок DLP

У даний момент головні місця на світовому ринку DLP-систем займають компанії, широко відомі в даній сфері. До них можна віднести Symantec, TrendMicro, McAffee, WebSense.

Symantec

Symantec зберігає лідируючі позиції на ринку DLP, хоча цей факт і дивує, так як багато хто інші компанії можуть замінити її. Рішення все так само складається з модульних компонентів, які дозволяють забезпечувати новітні можливості, розраховані на інтеграцію систем DLP найкращих технологіях. Дорожня технологічна карта на цей рік складалася з використанням інформації про своїх клієнтів і є сьогодні найбільш прогресивною з наявних на ринку. Разом з тим це далеко не найкращий вибір DLP-системи. Сильні сторони: значне поліпшення технології Content-Aware DLP для портативних пристроїв; удосконалення можливостей отримання контенту, внаслідок чого підтримується найбільш комплексний підхід; доробка інтеграції можливостей DLP з іншими продуктами Symantec (найбільш яскравим прикладом може виступити Data Insight). Те, на що необхідно звернути увагу (важливі мінуси в роботі, над якими варто задуматися): незважаючи на те що дорожня технологічна карта у Symantec вважається прогресивною, реалізація її часто відбувається із затримками; навіть при тому, що консоль управління є повною мірою функціональної, її конкурентоспроможність не так висока, як заявляють фахівці Symantec; нерідко клієнти цієї системи скаржаться на час реакції служби підтримки; ціна на дане рішення, як і раніше значно вище, ніж у розробок конкурентів, які з часом можуть зайняти провідне місце завдяки малим змінам у цій системі.

Websense

Останні кілька років розробники регулярно покращують DLP-пропозиція Websense. Його сміливо можна вважати повнофункціональним рішенням. Websense забезпечив сучасного користувача розширеними можливостями. Виграшні сторони: З боку Websense висувається пропозиція, пов'язане із застосуванням повнофункціонального рішення DLP-системами, що підтримує кінцеві точки і виявлення даних. За допомогою функції drip DLP можливе виявлення поступових витоків інформації, досить довго триваючих у часі. Що заслуговує особливої уваги: Редагувати дані можна тільки в спокої. Технологічна карта характеризується слабкою потужністю.

McAfee DLP

Встигла зазнати багатьох змін позитивного характеру і DLP-система безпеки McAfee. Їй не властиво наявність особливих функцій, однак реалізація базових можливостей організована на високому рівні. Ключова відмінність, якщо не вважати інтеграцію з іншими продуктами консолі McAfee ePolicy Orchestrator (EPO), полягає у застосуванні технології зберігання в централізованій базі захоплених даних. За допомогою такої бази можна домогтися їх застосування для оптимізації нових правил з метою проведення тестування на предмет ймовірності помилкових спрацьовувань і для того, щоб скоротити час розгортання.

Що найбільше приваблює в даному рішенні?

Організацію управління інцидентами сміливо можна назвати сильною стороною рішення McAfee. З його допомогою здійснюється прикріплення документів і коментарів, що обіцяють користь при опрацюванні на будь-якому рівні. Дане рішення здатне виявити нетекстової контент, наприклад, картинку. Можливий варіант розгортання DLP-системами від цього розробника нового рішення з метою захисту кінцевих точок, наприклад, stand-alone.

Досить добре показали себе функції, націлені на розвиваються платформи, представлені у формі пристроїв мобільного зв'язку та соціальних мереж. Це дозволяє їм обійти конкурентні рішення. За допомогою бази даних, яка містить захоплену інформацію, здійснюється аналіз нових правил, що сприяє зниженню числа помилкових спрацьовувань і прискоренню впровадження правил. Рішення McAfee DLP наділене базовими функціями у віртуальному середовищі. Плани, що стосуються їх розвитку, ще не зовсім чітко сформульовані.

Перспективи і сучасні DLP-системи

Огляд різних рішень, представлений вище, показує, що всі вони працюють однаковим чином. На думку експертів, головна тенденція розвитку полягає в тому, що «заплаточные» системи, що містять компоненти від декількох виробників, які займаються вирішенням певних завдань, зміняться інтегрованим програмним комплексом. Цей перехід буде здійснено через потреби в позбавленні фахівців від рішення деяких проблем. Крім того, будуть постійно вдосконалюватися наявні DLP-системи, аналоги яких не можуть забезпечити той же рівень захисту. Наприклад, за допомогою комплексних інтегрованих систем буде визначатися сумісність компонентів «заплаточной» системи різного роду між собою. Це посприяє легкій зміні налаштувань для масивів величезного масштабу клієнтських станцій в організаціях і одночасно відсутності труднощів з перенесенням даних компонентами єдиної інтегрованої системи один в одного. Розробники інтегрованих систем підсилюють специфіку завдань, спрямованих на забезпечення інформаційної безпеки. Жоден канал не можна залишати без контролю, адже на нього часто відбувається ймовірна витік інформації.

Що буде найближчим часом?

Західним виробникам, які намагаються зайняти ринок DLP-систем у державах СНД, довелося зіткнутися з проблемами, що стосуються підтримки національних мов. Вони досить активно цікавляться нашим ринком, тому прагнуть підтримувати російську мову. У сфері DLP спостерігається перехід до використання модульної структури. Замовнику буде надана можливість вибору в самостійному порядку потрібних саме йому компонентів системи. Також розвиток і впровадження DLP-систем залежить від галузевої специфіки. Найімовірніше, з'являться спеціальні версії відомих систем, адаптація яких буде підпорядкована роботи в банківській сфері або ж держустановах. Тут будуть враховані відповідні запити конкретних організацій.

Корпоративна безпека

Безпосередній вплив на напрямок розвитку DLP-систем має використання в корпоративному середовищі ноутбуків. Цей вид портативних комп'ютерів має набагато більше вразливостей, через що потрібно посилення захисту. Із-за специфіки лептопів (можливості крадіжки інформації і самого пристрою) виробники DLP-систем займаються розробкою нових підходів до забезпечення безпеки портативних комп'ютерів.