Как выбрать DLP-систему?

Выбор любой корпоративной системы информационной безопасности зачастую является настолько же трудоёмким, насколько внедрение и последующая эксплуатация. DLP-системы лишь подтверждают это: на рынке сейчас существует несколько десятков различных продуктов с более чем сотней различных параметров, усложняющих выбор. В этой статье речь пойдёт о наиболее важных критериях, на которые стоит обратить пристальное внимание, если перед вами стоит задача выбора корпоративной системы для защиты от утечек данных.

Основное назначение DLP (Data Loss Prevention) — предотвращение утечек конфиденциальной информации изнутри организации. Классические DLP с помощью специальных технологий тщательно анализируют всю информацию, отсылаемую и выносимую сотрудниками за пределы организации, и принимают решение о разрешении или запрете их передачи. В некоторых продуктах все данные дополнительно архивируются.

В реальности далеко не все DLP способны в одиночку противостоять утечкам. Большинство DLP контролирует лишь часть потенциальных каналов утечки и использует ограниченное число технологий обнаружения несанкционированной передачи данных. Выбор еще больше осложняется тем, что многие разработчики архивов или систем контентной фильтрации относят свои продукты к классу DLP, хотя в большинстве случаев такие решения не могут ни заблокировать утечку, ни даже обнаружить передачу защищаемых данных. Ниже приведены вопросы, ответы на которые существенно упростят составление требований и выбор подходящей для организации DLP-системы.

1. Основные задачи DLP

Кроме непосредственной задачи обнаружения и блокировки утечек DLP позволяет решать множество задач: заблаговременно выявлять нелояльных сотрудников и потенциально опасные каналы коммуникаций, вести архив корпоративной электронной почты, распечатываемых документов и других данных. Также DLP может использоваться для приведения системы внутреннего контроля в соответствие с требованиями 152-ФЗ “О персональных данных”, ЦБ РФ, PCI DSS, SOX и других отраслевых стандартов и нормативно-правовых актов и повышения привлекательности организации в глазах клиентов, партнёров инвесторов и СМИ. Как у любых ИТ-решений, у всех DLP есть свои плюсы и минусы, поэтому правильное определение приоритетности решаемых задач — важный шаг к выбору наиболее подходящего продукта.

2. Объем и структура защищаемых данных

Объём данных влияет на выбор типа DLP и сценария работы. Отличия сетевых, смешанных и хостовых DLP будут подробно рассмотрены в главе масштабируемость, а на сценарии работы хотелось бы остановиться подробнее. Обычно при внедрении DLP встаёт вопрос выбора между активным и пассивным режимом работы. В первом случае DLP ставится “в разрыв” всех проходящих через границы сети данных и активно блокирует неразрешенную передачу информации, во втором система работает строго в уведомительном режиме, т. е. не блокирует передачу, а лишь сообщает о подозрительных инцидентах, занося всю информацию о каждом в журнал событий.

Существует и смешанный режим, когда DLP ставится “в разрыв”, но политики настраиваются таким образом, что предотвращаются только самые явные нарушения, а остальной трафик пропускается без какой-либо модификации. Кроме того, в активном режиме у большинства систем имеется возможность ручной проверки, т. е. подозрительные данные помещаются в “карантин” и ожидают ручной проверки сотрудником безопасности. Сценарий внедрения влияет на совокупную стоимость владения — в долгосрочной перспективе пассивный режим требует больших трудозатрат на анализ трафика и расследование, в то время как в активном режиме DLP автоматически блокирует большую часть утечек. При этом требования к оборудованию для всех сценариев примерно одинаковые — как минимум один производительный сервер, хотя при небольшой нагрузке можно установить DLP прямо на прокси-, почтовый или любой другой действующий сервер.

Структура и перечень защищаемых данных в первую очередь влияют на набор технологий обнаружения утечек, которым должна обладать DLP-система. Общий перечень возможных технологий включает в себя сигнатурный и лингвистический анализ, поиск по базам регулярных выражений и “цифровых отпечатков”, OCR (обнаружение текста на пересылаемых изображениях) и самообучающиеся технологии. К сожалению, пока далеко не каждая DLP-система предлагает хотя бы половину из приведенных технологий.

Каждая технология оптимальна лишь для определенного типа данных. “Цифровые отпечатки”— одна из наиболее популярных и простых в применении технологий, однако она эффективна для обнаружения довольно объёмных документов, редко подвергающихся изменениям. “Регулярные выражения” идеальны для обнаружения передачи персональных данных и информации с типовой структурой — номеров счетов, телефонов, адресов и т. д. Лингвистические технологии (морфология и стемминг) хорошо работают с большинством типов данных, однако их эффективность зависит от тщательности настройки, которую, как правило, могут обеспечить лишь профессиональные лингвисты.

3. Контролируемые каналы коммуникаций

Несмотря на то что под защитой от утечек в большинстве организаций по-прежнему подразумевают лишь контроль внешних устройств, принтеров и электронной почты, полноценные DLP-системы также должны контролировать и другие каналы коммуникаций . В первую очередь сюда относится интернет-трафик: интернет-пейджеры, веб-почта, социальные сети, блоги, форумы, файлообменники, FTP, пиринговые сети , сервисы отправки SMS/MMS и т. д.

Далеко не все решения умеют контролировать весь перечень потенциальных каналов утечки. Так, у большей части западных DLP-решений контроль популярных в России и СНГ каналов коммуникаций пока вызывает серьезные проблемы. Например, передаваемые через интернет-пейджеры ICQ и Mail.Ru Агент данные могут анализировать лишь несколько DLP-решений на рынке. Кроме того, стоит обратить внимание на чисто российские веб-сервисы и поддерживаемые протоколы, в частности HTTPS, через который работает множество современных веб-сайтов.

4. Необходимость расследования инцидентов

Расследование инцидентов — важная часть любой системы защиты от утечек данных. Зачастую на практике необходимо не только обнаруживать и блокировать утечки, но и проводить служебное расследование по каждому инциденту. Такое расследование может включать в себя как анализ непосредственно обнаруженных конфиденциальных данных, так и ретроспективный анализ активности пользователя или группы пользователей. К сожалению, многие DLP не только не позволяют произвольно архивировать перехватываемые данные, но и не сохраняют заблокированную информацию. В таком случае невозможно понять, что на самом деле было заблокировано, ведь даже самая технологичная DLP-система может ошибиться.

5. Защита данных при хранении

В последнее время потерю конфиденциальных данных всё чаще относят к DLP, и многие ведущие решения уже давно оснащаются системами криптографической защиты. На первый взгляд вероятность потери важных данных кажется куда меньшей, чем, например, вероятность копирования конфиденциальных файлов на USB-накопитель, однако всё больше утечек происходит именно вследствие потери магнитных лент, флэшек и ноутбуков. Некоторые DLP-решения имеют встроенный функционал для надежной защиты данных при хранении с помощью современных алгоритмов шифрования — AES, AES-XTS и ГОСТ 28147-89.

6. Масштабируемость

Как и любое ИТ-решение, любая DLP-система изначально ориентирована на определенный размер сети и объём трафика. Каждый продукт рассчитан на определенный размер сети, объем и структуру данных, которые ему необходимо анализировать. Хотя некоторые DLP позиционируются на крупные организации с более чем 500 рабочими станциями, их применение почти всегда предпочтительно и для средних компаний с парком от 100 до 500 компьютеров.

Формально можно разделить DLP на хостовые, устанавливаемые на конечные точки сети — настольные компьютеры и ноутбуки, сетевые и смешанные. Чисто хостовые DLP, т. е. контролирующие на уровне агентов как внешние устройства и принтеры, так и все сетевые каналы утечки, в последнее время получают всё большее распространения. Их несомненные преимущества — простота и относительная дешевизна, однако хостовые DLP имеют ряд существенных недостатков: низкие производительность, масштабируемость, отказоустойчивость, высокие стоимость последующей поддержки и требования к характеристикам конечных точек сети. Практика показывает, что безболезненно использовать такие DLP можно лишь в небольших организациях.

Подобных недостатков лишены сетевые DLP, они переносят основную нагрузку — сетевой трафик и его архивирование — в единую точку, которую можно довольно легко масштабировать, а само решение интегрировать с существующими продуктами — прокси-серверами, файрволами и антивирусами. При этом чисто сетевые DLP для защиты от утечек через конечные точки сети требуют применения сторонних продуктов для контроля внешних устройств и сетевых принтеров, однако почти все лидирующие решения имеют свои облегченные агенты. Такие агенты в отличие от чисто хостовых DLP практически не нагружают рабочие станции и ноутбуки и зачастую имеют куда более обширный функционал, чем рассчитанные на малые сети продукты “всё в одном”. Комбинация производительного и масштабируемого сетевого DLP и облегченных агентов является оптимальной для средних и крупных организаций.

7. Бюджет

Ценовой разброс на DLP-рынке достаточно широк: от бюджетных стоимостью около 1000 руб. за лицензию до серьёзных корпоративных продуктов ценой около 10 000 руб. за рабочее место. Продукты стоимостью до 3000 руб. за лицензию в большинстве случаев будут иметь крайне ограниченные возможности и, как показывает практика, высокую стоимость владения, так как почти все они относятся к классу чисто хостовым DLP. За 3000—7000 руб. уже можно купить довольно неплохой продукт, а за более 7000 руб. за одну лицензию — топовое решение с “цифровыми отпечатками”, морфологией, контролем интернет-мессенджеров, полноценным архивом и прочими “вкусностями”. Почти у всех вендоров довольно гибкая ценовая политика, и крупные заказчики с несколькими тысячами рабочих мест могут смело рассчитывать на снижение первоначальной цены лицензии в полтора, а то и в два раза.

Кроме непосредственной стоимости лицензий необходимо планировать расходы на предпроектный консалтинг и последующую эксплуатацию. В отличие от тех же антивирусов эффективное использование DLP требует тщательной подготовки и поддержки. Конечно, существуют DLP, которые работают по принципу черного ящика — после установки и первичной настройки продукт начинает что-то блокировать и генерировать красивые отчеты о зафиксированных и предотвращённых утечках, однако такие продукты крайне слабо защищают от реальных утечек. Эффективное использование DLP подразумевает очень тщательную первичную настройку, в рамках которой, как минимум, определяется и фиксируется перечень конфиденциальных данных и реакций системы для их защиты, и последующий аудит всех возникающих инцидентов. Для такого анализа требуется не только возможности архивирования всех данных, но и выделенные специалисты, проверяющие и предупреждающие утечки информации.

Автор статьи — директор по маркетингу компании SECURIT.