Как вендоры пускают пыль в глаза. О каких нюансах могут умолчать разработчики DLP-решений

Автор – Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»

После ужесточения ФЗ-152 «О персональных данных» компаниям необходимо представлять регуляторам результаты внутреннего расследования в течение 72 часов с момента совершения инцидента. Упростить эту задачу, – выявить схему, хронологию и причастных, – помогают DLP-системы.

Однако не всегда они выполняют все свои задачи без нареканий. Бывает, контроль мессенджеров не сработает или блокировка ошибается. Случается и так, что заявленные в маркетинговых материалах функции и вовсе отсутствуют. Рассмотрим, какие нюансы могут всплыть при выборе защитного ПО, а также, какие из них характерны для всех DLP-систем, а какие свидетельствуют о недоработке со стороны вендора.

Функционала – кот наплакал

Функционал DLP-систем уже давно вышел за рамки одной задачи. Решения помогают не только в вопросах информационной, но и экономической и кадровой безопасности. DLP-решения должны предотвращать утечки информации, разоблачать мошеннические схемы и контролировать использование рабочего времени.  

Базовым для DLP является контроль максимального количества каналов передачи информации – от уже традиционных USB-носителей, внешних дисков и принтеров, до облачных хранилищ и мессенджеров. Хорошие системы не только отслеживают передачу информации по этим каналам, но и умеют находить инциденты в только набирающих популярность источниках (TrueConf, Bitrix, Dialog и проч.) или нестандартных способах подключения (TeamViewer, Radmin, клиенты сред виртаулизации и проч).

Блокировки – еще один важный функционал DLP, это проактивная защита данных. Они должны быть доступны для самых критичных каналов (почты, съемных устройств как минимум). При максимальной гибкости настроек в системе запреты не смогут затормозить бизнес-процессы.

Например, в системе могут быть реализованы запреты на передачу любых данных на флешку конкретным пользователям. Однако хорошо, если DLP позволяет принимать и более гибкие меры – ограничивать запись контента определенного содержания / типа файлов. Тогда пользователям не придется согласовывать с ИБ-отделом каждую запись документа на флешку.

Несмотря на обилие функций, заказчику может не хватить возможностей ПО. Одна из причин в том, что сами заказчики ожидают от DLP слишком многого. Например, частый запрос заказчиков – чтобы искусственный интеллект взял на себя работу по исключению из перехвата ложных сработок. Но доверять такую творческую и притом ответственную работу нейронкам готовы не все вендоры. Поэтому они делают ставку на развитие алгоритмов и поисковых возможностей, а не ИИ.

Но чаще проблема в вендорах, если они преувеличивают возможности своих решений, обещая то, что до конца не смогли реализовать.

Например, в компании заказчика все сотрудники используют Dialog для общения, поэтому ему нужна система, которая сможет поддерживать контроль мессенджеров. Многие вендоры в своих маркетинговых материалах заявляют о поддержке такого перехвата, но большинство умалчивает, что он касается только текстов из десктоп-версии приложения на ОС Windows. Поэтому заказчик может столкнуться с тем, что ни файлы, ни звонки, ни коммуникации через веб-приложение под контроль не попадут. 

Не всем вендорам в принципе под силу вносить важные функциональные улучшения. Одна из причин ограничения – сторонние разработки в DLP: движки, модули, платформы и whitelabeling, которые вендоры используют под видом своих. С уходом иностранных вендоров проблема может стать и вовсе неразрешимой. Поэтому, при выборе DLP-системы лучше рассматривать ПО, которое не зависит от других технологий. Это удобно, так как если потребуются доработки, исправление ошибок или техническая поддержка, вы их получите.

Аналитика всему голова

Продвинутая аналитика – залог эффективной работы с системой. При наличии развитого аналитического модуля ИБ-специалист сможет контролировать до 1500-2000 ПК сотрудников, что в условиях дефицита ИБ-кадров становится критически важно.

В хороших DLP-системах реализовано множество видов поиска и гибкая настройка политик – можно комбинировать поисковые запросы и создавать сложные условия поиска. При таких настройках системы точнее выявляют инциденты и реже выдают ложноположительный результат.

При выборе защитного решения важно проверить, какие виды поиска реализованы в ПО, есть ли анализ графики и аудио. Анализ текста может осуществляться по регулярным выражениям, цифровым отпечаткам, словам, словарям и т.д. При анализе графики система должна уметь проверять содержимое изображений разных типов (фотографии, PDF-файлы, сканы) и находить в них персональные, финансовые и любые другие чувствительные данные, чтобы вовремя предотвратить утечку. Анализ аудио помогает проверять важные переговоры – система исследует расшифровку перехваченных аудиозаписей на соответствие политикам безопасности.

На удобство с системой также влияет то, какие отчеты позволяет строить DLP. Это «сводки» по статистике инцидентов, связи пользователей между собой, контентном маршруте документов, информация о дисциплине и продуктивности сотрудников, а также о работоспособности самой системы и др. Оцените, насколько информативны отчеты в системе, есть ли те, которые вам обязательно необходимы и можно ли создать свои.

Интеграция со смежными решениями

При выборе системы нужно узнать о возможностях ее интеграции с другими решениями, созданными для предотвращения различных ИБ-угроз. DLP сейчас – центральный элемент в цепочке защиты от инсайдерских рисков, но возможность бесшовного использования системы с другими решениями существенно увеличит возможности защиты.

Например, DCAP, которые проводят аудит файловых хранилищ,
контролируют, кому доступен тот или иной файл, и отслеживают изменения в
критически важных данных. Если в линейке разработчика DLP нет других
защитных решений, заказчик может столкнуться с проблемой интеграции
сторонних программ. Часто это сложная и даже нерешаемая задача.

Заказчик получит немало пользы, если DLP сможет передавать данные в используемую им SIEM-систему. Это заметно сократит время реагирования на инциденты и позволит оценить событие в комплексе с событиями смежных систем безопасности.

DLP требовательна к железу

Разработчики по-разному подходят к оптимизации работы DLP-систем, поэтому программы сильно отличаются по требованиям к оборудованию. Из-за этого во время внедрения стоимость проекта может увеличится на 20-30-40%.

Система не должна перегружать инфраструктуру заказчика, однако некоторые компании сталкиваются с такой проблемой. И чем больше объем внедрения, тем больше рисков. Часто система, которая хорошо работает на 200 машинах, не показывает результат на 1000.

Некоторые DLP-системы – это не одно решение, они состоят из нескольких отдельных платформ. Например, контроль за продуктивностью сотрудников может быть вынесен в отдельную платформу. Такая реализация также влияет на требовательность к оборудованию, надежность и скорость работы.

Без поддержки будет тяжело

При внедрении обратите внимание на скорость – процесс типового внедрения не должен занимать несколько недель и тем более месяцев. Причины, по которой процесс может затянуться – заказчик ограничивает доступ к части инфраструктуры или у него нет технического специалиста. Также внедрение может затянуться, если у заказчика сложная инфраструктура с большим объемом ПК. У DLP-вендора может не быть опыта работы с крупными компаниями или технических специалистов. Наконец, его решение может в принципе плохо работать на большой инфраструктуре.

Работа отдела технической поддержки важна не только на этапе внедрения. Во время использования системы придется периодически пересматривать политики безопасности, проводить расследования. И если у компании не хватит опыта или рук, на помощь придут специалисты техподдержки.

Вендоры по-разному подходят к вопросу поддержки клиентов. Бывает так, что заказчик не сможет получить ответы или научиться работать системой, так как специалисты техподдержки либо не предусмотрены, либо ведут клиента только на этапе установки ПО, либо разбираются исключительно в своем продукте и не берутся подсказать настройки смежной ИТ инфраструктуры, необходимой для верной работы DLP.

Тестировать и расспрашивать

Как видите, DLP-системы могут сильно отличаться по множеству параметров. Для грамотного выбора выпишите задачи, которые необходимо решать, а после проводите тестирование систем разных вендоров. Создавайте сравнительную таблицу с оценками, решает ли система задачи и насколько хорошо это делает. В период пробного тестирование давайте на ПО предельную нагрузку по максимальному числу каналов. Если же полноценное тестирование провести не удается, найдите того, кто уже использует систему на схожей ИТ-инфраструктуре и решает с помощью DLP схожие задачи.

Сколько бы обзоров вы ни прочитали, настоящее знакомство с системой произойдет только во время ее тестирования. Только так вы выявите достоинства, недостатки, адаптивность софта именно к вашей ИТ-инфраструктуре, «отзывчивость» техподдержки.