Алексей Калинников, специалист по информационной безопасности, Leta

Введение

DLP-решения давно заняли свою нишу на рынке систем информационной безопасности. В настоящее время  стандартов, напрямую обязывающих предприятия использовать решения такого рода, не существует, тем не менее большинство крупных компаний видят для себя преимущества использования подобных средств. Рынок DLP, как и ИБ в целом, растет, одни компании уже используют средства тех или иных производителей, другие активно ими интересуются. В данной статье представлен основной функционал решений для защиты от утечек информации в целом, рассказывается о том, какие решения имеются на российском рынке сегодня, о преимуществах продуктов ведущих вендоров, тенденциях развития, а также о том, какое место в структуре корпоративной системы информационной безопасности занимают решения такого класса.

Обзор функционала

Функционал DLP-решений охватывает работу с тремя классическими категориями информации, которые выделяются практически всеми производителями DLP-решений. Это Data-in-motion – передаваемая информация, Data-at-rest – хранимая информация и Data-in-use – используемая информация.

Data-in-motion

На этом уровне потоки информации контролируются при помощи шлюзовых компонентов DLP-системы, устанавливаемых в корпоративной сети предприятия. Обычно выделяют отдельные серверы для контроля почтового и веб-трафика. Модуль контроля почты интегрируется с почтовым шлюзом, модуль для контроля веб-трафика – с прокси-сервером (чаще всего по протоколу ICAP). Это значит, что наличие вышеперечисленных компонентов в инфраструктуре предприятия является необходимым условием для внедрения модулей DLP. На данном уровне возможен контроль зашифрованного трафика при условии, что прокси, с которым будет настроена интеграция, способен расшифровывать https. Плюсом данного метода контроля информационных потоков является отсутствие необходимости установки агентов на рабочие станции, что обеспечивает сразу несколько преимуществ, например: контроль любых ОС (большинство вендоров предлагают только Windows-агенты), нагрузки на рабочие станции, а также необходимости дополнительного администрирования агентов при установке и сопровождении. К преимуществам можно отнести и то, что каналы почты и веб-трафика на уровне агента чаще всего контролируются при помощи плагинов для браузера или почтового клиента, в случае применения шлюзового решения зависимость от версии ПО пропадает.

Data-at-rest

Хранимые данные отслеживаются DLP-системой при помощи периодического сканирования файловых ресурсов. На рабочих станциях это может осуществлять агентский модуль, для остальных видов ресурсов служит сетевой модуль DLP. Сканироваться могут файловые хранилища, почтовые серверы, системы документооборота, базы данных. При создании инцидента возможен автоматический перенос найденных файлов в карантин, удаление либо выполнение скрипта.

Data-in-use

Используемые данные контролируются на уровне агента, установленного на локальной станции. Только при помощи агента возможен контроль записи на съемные носители, печати (сетевой и локальной), записи на сетевые ресурсы, доступа приложений к файлам, снимков экрана, буфера обмена. Некоторые вендоры также предлагают достаточно обширный функционал контроля устройств, поддерживающий создание белых списков, разграничение доступа к устройствам и т. п. При наличии на рабочей станции агента DLP-системы появляется возможность запроса подтверждения того или иного действия. Кроме того, наличие графического интерфейса на рабочей станции позволяет дополнительно оповещать сотрудников при создании инцидента или при необходимости сделать запрос офицеру ИБ на временный обход правил защиты. Стоит также отметить, что чаще всего агент защищен от удаления и может работать в скрытом режиме.

Большинство вендоров предлагают отдельное лицензирование различных модулей, что позволяет приобрести только те компоненты, которые реально необходимы, либо внедрять их постепенно, по мере необходимости.

Основные вендоры и преимущества их продуктов

На российском рынке представлено довольно много решений для защиты от утечек информации, как отечественных, так и западных. Если говорить о функционале в целом, то  он схож у большинства решений, поэтому мы постараемся выделить только ключевые особенности и преимущества. Рассмотрим четыре решения, три из которых давно занимают ведущие позиции в мире и обладают наиболее полным функционалом по мониторингу и блокировке передачи информации, а четвертое является одним из лидеров рынка в России.

 McAfee

К преимуществам DLP от McAfee можно отнести достаточно обширный функционал на уровне агента, который от версии к версии приобретает все новые преимущества, востребованные покупателями, и обладает широкими возможностями по контролю устройств. Сетевые компоненты отличает возможность сохранения всего трафика, что позволяет применять эти модули без настройки политик и гибко настраивать правила реагирования на основе накопленной информации. Сетевые компоненты используют свою операционную систему и базу данных, что обеспечивает оптимизацию работы программного обеспечения и, как следствие, стабильную и быструю работу с большими объемами данных.

Symantec

DLP от Symantec отличают удобная консоль управления, гибкая настройка контролируемых каналов и наличие модуля Data Insight, который позволяет осуществлять аудит файловых хранилищ с возможностью создания уведомлений при повышенной активности пользователей при работе с тем или иным файловым ресурсом. Помимо этого Symantec DLP обладает механизмом интеллектуального самообучения Vector Machine Learning, предназначенным для защиты неструктурированных данных, который более эффективен по сравнению с традиционным подходом к анализу документов по цифровым отпечаткам.

Websense

Продукт Websense DSS тесно интегрирован с решениями почтовой и веб-фильтрации. Имеет модуль распознавания изображений, что безусловно является конкурентным преимуществом. Агентский модуль работает и на Windows, и на Linux, а также Mac OS X, что среди производителей DLP-решений встречается довольно редко. Решение от Websense обладает запатентованным функционалом Precise ID для снятия цифровых отпечатков с документов, которые затем распространяются на контролируемые рабочие станции. Это позволяет осуществлять контроль на основе цифровых отпечатков даже в режиме офлайн.

Infowatch

Infowatch Traffic Monitor обладает расширенным функционалом для анализа текста, а также умеет определять тематику текста на основе присутствующих в документе терминов. Как и у Websense, присутствует поддержка оптического распознавания текста. Большое количество преднастроенных политик, разработанных специально для российского рынка, могут существенно сократить трудозатраты на внедрение решения. Infowatch является единственным из отечественных вендоров, представленным в квадрате Gartner. В части контроля возможных каналов утечки Infowatch отличает возможность перехвата сообщений Skype через Windows API, тогда как у большинства вендоров (прежде всего западных) возможен лишь контроль передачи файлов с помощью Skype.

Место DLP в системе ИБ

Если говорить о месте DLP в системе корпоративной информационной безопасности в целом, то следует отметить, что решения данного класса предназначены для компаний с качественно поставленным процессом обеспечения ИБ. Грамотная настройка системы возможна при проведении полноценного консалтингового проекта по анализу информационных потоков в организации. При внедрении решения процесс сопровождения не менее важен, чем непосредственно установка и настройка. Трудоемкость процесса сопровождения частично решается наличием преднастроенных политик, шаблонов данных, регулярных выражений и т. п. При принятии решения о приобретении и внедрении важно понимать, что DLP-система предназначена прежде всего для мониторинга и контроля движения конфиденциальной информации и не обеспечит стопроцентной защиты от потери данных при наличии технически подготовленного нелояльного сотрудника. Следует учитывать, что без такой системы контроль потоков информации осуществляется преимущественно организационными мерами, а внедрение DLP не только позволит предотвратить утечку конфиденциальной информации, но и покажет, какие данные обрабатываются в организации, где хранятся и куда передаются.

 Тенденции развития

Если говорить о тенденциях, то нельзя не отметить появление поддержки мобильных платформ у ведущих вендоров. Такие продукты пользуются спросом и активно развиваются. Кроме того, все более востребована поддержка виртуализации и служб терминального доступа.

Многие крупные компании уже внедрили DLP-решения, в настоящее время отмечается повышение интереса к ним со стороны среднего и малого бизнеса. Традиционные DLP-решения являются довольно дорогими, и не каждая компания может их себе позволить. В этом случае нишевые игроки получают преимущество за счет цены и специфических особенностей, которые не всегда востребованы крупным бизнесом. Драйвером продаж может послужить появление стандартов, в той или иной степени регулирующих применение средств защиты от утечек.

К тенденциям можно отнести и все более тесную интеграцию DLP и шлюзовых решений по фильтрации почты и веб-трафика, которая уже реализована у некоторых вендоров и продолжает активно развиваться. Возможна также интеграция с решениями для классификации данных, например Titus. Это позволит существенно повысить эффективность DLP-системы.

Функционал контроля голосовых сообщений становится все более популярным среди российских разработчиков. Компания Infowatch активно сотрудничает с Центром речевых технологий в области распознавания речи, компания Falcongaze предлагает в рамках своей системы контроля передачи конфиденциальной информации запись переговоров Skype. Пока рано говорить о практической пользе от применения таких средств, но в будущем это может стать одним из конкурентных преимуществ.

Решения отечественных вендоров обладают обширным функционалом по контролю за действиями пользователей, который выходит за рамки классического DLP-решения. По сравнению с популярными продуктами для мониторинга сотрудников, такими как Spector360 или StaffCop, DLP-решения обладают более полным инструментарием для контроля и автоматической блокировки передачи информации и потому могут быть более выгодными с экономической точки зрения.

Заключение

Отчет компании Infowatch за первый квартал 2013 г. свидетельствует об увеличении количества инцидентов, связанных с утечками конфиденциальной информации. Данных становится все больше, и они нуждаются в защите. Это касается практически всех отраслей, но особенно актуально для медицинских учреждений, банковской сферы, промышленности. На российском рынке решений DLP представлены как мировые лидеры, так и нишевые игроки, поэтому выбор для потенциальных покупателей достаточно широк. Вложиться в приобретение такого продукта и действовать проактивно по отношению к возможному нарушителю, ждать появления инцидентов внутри компании для обоснования необходимости внедрения DLP для руководства либо минимизировать возможные риски за счет организационных мер – это вопрос для конечного потребителя. На данный момент многие известные компании уже имеют опыт использования решений. Довольно большое количество отзывов доступно в открытом виде, что может облегчить принятие решения о необходимости покупки и внедрения продуктов для защиты от утечки конфиденциальных данных.