Российский рынок DLP-систем: обзор популярных решений

Российский рынок DLP-систем переживает период бурного роста. Этому отчасти способствовали события конца февраля и уход части зарубежных игроков, а отчасти – естественный рост спроса на эти системы среди российских предприятий.

DLP-системы – это аббревиатура, которая может расшифровываться двумя способами: Data Loss Prevention и Data Leakage Prevention. В первом случае речь идет о предотвращении потери данных, а во втором – утечки. То есть, независимо от выбранного варианта, имеется ввиду одно и то же.

В этом обзоре рассмотрены следующие DLP-системы:

1.  СерчИнформ КИБ;
2. InfoWatch Traffic Monitor;
3. Гарда Предприятие.

Все три продукта – значимые представители отечественных DLP, а потому заслуживают пристального внимания. Для сравнения использованы материалы, имеющиеся в открытых источниках.

Очевидные и неочевидные функции DLP

DLP-система – это комплексный инструмент безопасности, направленный на защиту от утечек. Он может размещаться и выполнять свою работу на серверах или рабочих станциях пользователей, то есть быть шлюзовым или хостовым решением. Но для большинства инструментов будет уместно не «или», а «и». То есть DLP-система комбинирует оба варианта и защищает, как сервера, так и рабочие станции. Этот вариант чаще выбирают из-за его более высокой эффективности.

Прямыми функциями DLP являются:

• анализ потока исходящих из компании данных (в некоторых случаях анализируется и входящая информация);
• определение уровня конфиденциальности документов путем анализа его содержимого или специальных маркеров, которые ему присвоены;
• блокировка ПО при обнаружении какого-либо инцидента до совершения необходимых действий администратором.

Последнюю функцию выполняют только так называемые DLP-системы активного контроля. Если выбран инструмент с пассивным контролем, он ограничится оповещением ответственного лица, но не заблокирует представляющие угрозу действия.

На этом прямые функции DLP-системы исчерпываются. Однако по мере развития инструментов выяснилось, что они могут выполнять немало побочных задач:

• контролировать рабочее время и использование ресурсов сотрудниками;
• выявлять попытки подделки ценных документов сотрудниками и неправомерного изготовления копий;
• информировать работодателя о рассылке сотрудником своего резюме, чтобы тот мог оперативно найти замену;
• отслеживать «климат» в рабочем коллективе, выявлять факты нездоровой конкуренции, которые могут нанести вред компании.

Многие компании выбирают DLP именно для выполнения второго набора функций. При этом в качестве ценного бонуса они получают усовершенствованную защиту корпоративных данных.

Что контролирует DLP-система

Большинство решений позволяют перехватывать трафик типового набора каналов передачи данных. Основные каналы показаны на схеме, хотя полный список ими не исчерпывается. DLP-системы также держат под контролем данные, передаваемые по любым типам протоколов, в частности, HTTP/HTTTPS и FTP.

Применительно к контролю сотрудников используются следующие опции:

• запись телефонных разговоров;
• запись переговоров сотрудников в офисе;
• скриншоты рабочего стола;
• отслеживание времени, проведенного в приложениях.

DLP и закон

Российское законодательство в сфере защиты информации не требует обязательного использования DLP-систем. При этом, если компании нужен менеджмент событий по ГОСТ 18044-2007, инструмент может сильно облегчить эту задачу.

Если цель – достичь соответствия международным стандартам защиты данных, DLP-система из рекомендованной фактически становится обязательной. Она необходима для соблюдения требований к защите данных платежных систем по международному стандарту PCI DSS. Использование инструмента также регламентировано рядом других международных отраслевых документов.

СерчИнформ КИБ

DLP-система «СерчИнформ КИБ» обеспечивает анализ данных сразу по двум направлениям:

• на рабочих устройствах сотрудников;
• передаваемых в глобальную сеть.

Такой широкий диапазон воздействия позволяет обеспечивать защиту данных, даже если персонал работает с ними за пределами офиса — на «удаленке» или в командировках. Для его осуществления инструмент размещается сразу на двух платформах: Network Controller и Endpoint Controller. Далее собранные данные поступают на сервер «СерчИнформ КИБ», откуда сотрудник службы информационной безопасности компании может получить их в виде отчетов, а также изменять настройки.

Контроль осуществляется в режиме реального времени. При этом результаты мониторинга «СерчИнформ КИБ» сохраняются в виде записи, что позволяет расследовать произошедший инцидент. Перехват вызывающей подозрение информации осуществляется с помощью модулей перехвата. Каждый из них специализируется на контроле своего канала передачи данных.

Политики безопасности и подключение

Определение уровня «подозрительности» файла или записи осуществляется на основе готовых политик безопасности. У «СёрчИнформ КИБ» их более 250. Можно выбрать универсальную политику, направленную на контроль откатов или взяточничества, а также других общих моментов.

Другая опция – отдать предпочтение отраслевой политике, которая разработана под конкретную сферу деятельности компании. Если ни одно из готовых решений не подошло, есть вариант создания индивидуальной политики безопасности. Специалисты «СёрчИнформ КИБ» разработают её с учетом всех требований заказчика.

Установка «СёрчИнформ КИБ» происходит без изменения существующей конфигурации локальной сети, поэтому к использованию приступить можно максимально быстро — уже через два-три часа. Оценить преимущества можно во время использования бесплатной пробной версии в течение 30 дней. Стоимость лицензии определяется, исходя из компонентов, которые необходимы заказчику.

InfoWatch Traffic Monitor

DLP-система InfoWatch Traffic Monitor, по заявлению разработчика, уже успешно интегрирована в две тысячи проектов. Решение входит в Реестр отечественного ПО, а потому может использоваться для создания систем информационной безопасности, которые соответствуют требованиям регуляторов. Это инструмент с активным контролем, который позволяет не только выявлять потенциальные угрозы, но и блокировать их, избегая инцидентов. Инструмент контролирует стандартный набор каналов передачи информации, описанный выше.

Выполнение всех задач DLP-системы обеспечивает её интеграция с другими используемыми компанией продуктами. В том числе возможна сонастройка с продукцией сторонних разработчиков. В частности, можно настроить передачу сведений об инцидентах в SIEM (Security information and event management) и IRM (Information rights management). Интеграция также позволяет обеспечить защиту данных ERP и CRM-систем в реальном времени. Защитить с помощью InfoWatch Traffic Monitor можно и систему электронного документооборота.

Как и предыдущий продукт, InfoWatch Traffic Monitor имеет модульную структуру. То есть под каждый канал передачи данных существует свой модуль для его мониторинга. Устанавливая только необходимые модули и приобретая на них лицензии, компания создает DLP-систему под свои потребности с минимальными затратами. При необходимости дополнительные модули можно подключить позднее. Инструмент подходит не только для анализа документации, но и позволяет записывать телефонные разговоры сотрудников, отслеживать рабочее время и факт запуска конкретных приложений.

Лингвистические технологии

В основе работы InfoWatch Traffic Monitor лежит лингвистический анализ. Технология разработана и запатентована компанией. Единицей лингвистического анализа служит не документ, а термин. Найденные идентичные термины объединяются в категории, а эти сведения попадают в базу контентной фильтрации, которая обеспечивает работу DLP.

Она будет существенно отличаться для сферы страхования и инженерно-производственной компании. В InfoWatch предлагают 29 готовых баз для разных сфер.

Чтобы создать свою базу контентной фильтрации, подойдет инструмент Автолингвист. На основе загруженных образцов документов решение автоматически выделит термины и классифицирует их в уникальные категории, которые будут максимально соответствовать потребностям компании.

К InfoWatch Traffic Monitor можно подключить рабочие станции сотрудников и их удаленные рабочие места, а также мобильные устройства. Данные поступают в DLP-систему, которая соединена с InfoWatch Vision. Последняя является специальным решением для визуализации данных DLP-системы и позволяет выгружать удобные варианты отчетов, а также наглядно представляет данные об инцидентах для их последующего анализа.

Гарда Предприятие

Инструмент «Гарда Предприятие» также отличается комплексным характером защиты. Мониторинг данных ведется как на рабочих местах сотрудников, так и в корпоративной сети. В первом случае для мониторинга используется DLP-агент, который устанавливается на рабочее место сотрудника, оставаясь незамеченным для него. В сети перехват ведет модуль проксирования шифрованных соединений.

Решение анализирует все перечисленные выше каналы передачи данных. При этом «Гарда Предприятие» особенно избирательна к документам. В частности, можно выявлять передачу чертежей в формате CAD, документов с печатью, а также сканированные копии водительских удостоверений, паспортов или банковских карт.

Мониторинг данных на всех каналах информации ведется в непрерывном режиме. Все данные сохраняются и могут быть в дальнейшем использованы для расследования инцидентов, связанных с информационной безопасностью.

Особенности мониторинга и анализа данных

Как и у InfoWatch Traffic Monitor, в основе мониторинга документов лежит лингвистический анализ. Данные категоризируются по словарям, что облегчает анализ результатов.

Вторая техника, которая применяется для отслеживания документооборота, – критериальный поиск. Анализировать файлы можно по любым нетекстовым критериям: типу или объему данных, использованных для передачи протокола и учетной записи. Этот метод также позволяет распознавать текст и его фрагменты на пересылаемых изображениях. Файлам также можно присвоить метки с учетом уровня их секретности.

Выявление представляющих угрозу сведений ведется на основе политик безопасности. В момент установки DLP-инструмент работает на основе предустановленного варианта. Далее эксперты компании «Гарда Технологии» составляют для заказчика собственную политику безопасности на основе анализа информационного потока и актуальных задач безопасности.

Работа с данными из DLP-системы

«Гарда Предприятие» особенно удобна для крупных компаний с разветвленной сетью филиалов. В каждом можно установить собственную DLP-систему, а управление организовать централизовано из головного офиса.

Ориентирование в больших объемах данных облегчает поиск, который можно вести для любого типа файлов. Возможен так называемый ретроспективный поиск по заданным параметрам. Данные визуализируются в виде наглядных отчетов. Также возможно составление маршрута утечки данных или досье на сотрудника, позволяющего оценить среднее количество рабочего времени и другие показатели.

DLP-система «Гарда Предприятие» входит в реестр отечественного ПО. Она также соответствует европейскому регламенту защиты персональных данных GDPR.

Заключение

Все три системы позволяют эффективно решать стоящие перед DLP задачи. Они обеспечивают контроль данных и на рабочих местах, и попадающих за пределы корпоративной сети. Системы также можно использовать для контроля за действиями сотрудников, успешно предотвращая связанные с человеческим факторам угрозы безопасности компании.

Рассмотренные решения имеют модульную структуру, когда для перехвата информации в каждом конкретном канале информации используется отдельный модуль. У «СёрчИнформ КИБ» и InfoWatch Traffic Monitor заявлена возможность выбора только нужных компонентов. У «Гарда Предприятие» данных по такой возможности нет.

Анализ данных решения осуществляют на основе политик безопасности, выявляя несоответствующие им файлы и документы, а также отмечая их как опасные. При этом блокировка представляющих опасность процессов заявлена только у InfoWatch Traffic Monitor, остальные передают администратору данные для принятия решения в ручном режиме, а также расследования инцидента. Разработчик InfoWatch Traffic Monitor уточняет, что инструмент с активным контролем не влияет на общую работу всех систем. Важное преимущество, поскольку многие пользователи DLP по всему миру называют проблемой ложные срабатывания и блокировку процессов из-за выявления в них предполагаемых угроз и отмечают связанное с ними снижение темпа работы в компании.

Рассмотренные в данном обзоре DLP-системы предлагают своим пользователям готовые политики безопасности, как основу для их работы. У «СерчИнформ КИБ» есть возможность выбрать общую, специализированную или создать свою. «Гарда Предприятие» предлагает опцию разработки индивидуальной политики безопасности как базовый этап внедрения системы. InfoWatch Traffic Monitor дает возможность разработать собственный словарь для лингвистического анализа документов при помощи инструмента Автолингвист.