D LP-систему используют, когда необходимо обеспечить защиту конфиденциальных данных от внутренних угроз. И если специалисты по информационной безопасности в достаточной мере освоили и применяют инструменты защиты от внешних нарушителей, то с внутренними дело обстоит не так гладко.

Использование в структуре информационной безопасности DLP-системы предполагает, что ИБ-специалист понимает:

• как сотрудники компании могут организовать утечку конфиденциальных данных;
• какую информацию следует защищать от угрозы нарушения конфиденциальности.

Всесторонние знания помогут специалисту лучше понять принципы работы технологии DLP и настроить защиту от утечек корректным образом.

DLP-система должна уметь отличать конфиденциальную информацию от неконфиденциальной. Если анализировать все данные внутри информационной системы организации, возникает проблема избыточной нагрузки на IT-ресурсы и персонал. DLP работает в основном «в связке» с ответственным специалистом, который не только «учит» систему корректно работать, вносит новые и удаляет неактуальные правила, но и проводит мониторинг текущих, заблокированных или подозрительных событий в информационной системе.

Для настройки «СёрчИнформ КИБ» используются - правила реагирования на ИБ-ицинденты. В системе есть 250 предустановленных политик, которые можно корректировать с учетом задач компании.

Функциональность DLP-системы строится вокруг «ядра» - программного алгоритма, который отвечает за обнаружение и категоризацию информации, нуждающейся в защите от утечек. В ядре большинства DLP-решений заложены две технологии: лингвистического анализа и технология, основанная на статистических методах. Также в ядре могут использоваться менее распространенные техники, например, применение меток или формальные методы анализа.

Разработчики систем противодействия утечкам дополняют уникальный программный алгоритм системными агентами, механизмами управления инцидентами, парсерами, анализаторами протоколов, перехватчиками и другими инструментами.

Ранние DLP-системы базировались на одном методе в ядре: либо лингвистическом, либо статистическом анализе. На практике недостатки двух технологий компенсировались сильными сторонами друг друга, и эволюция DLP привела к созданию систем, универсальных в плане «ядра».

Лингвистический метод анализа работает напрямую с содержанием файла и документа. Это позволяет игнорировать такие параметры, как имя файла, наличие либо отсутствие в документе грифа, кто и когда создал документа. Технология лингвистической аналитики включает:

• морфологический анализ - поиск по всем возможным словоформам информации, которую необходимо защитить от утечки;
• семантический анализ - поиск вхождений важной (ключевой) информации в содержимом файла, влияние вхождений на качественные характеристики файла, оценка контекста использования.

Лингвистический анализ показывает высокое качество работы с большим объемом информации. Для объемного текста DLP-система с алгоритмом лингвистического анализа более точно выберет корректный класс, отнесет к нужной категории и запустит настроенное правило. Для документов небольшого объема лучше использовать методику стоп-слов, которая эффективно зарекомендовала себя в борьбе со спамом.

Обучаемость в системах с лингвистическим алгоритмом анализа реализована на высоком уровне. У ранних DLP-комплексов были сложности с заданием категорий и другими этапами «обучения», однако в современных системах заложены отлаженные алгоритмы самообучения: выявления признаков категорий, возможности самостоятельно формировать и изменять правила реагирования. Для настройки в информационных системах подобных программных комплексов защиты данных уже не требуется привлекать лингвистов.

К недостаткам лингвистического анализа причисляют привязку к конкретному языку, когда нельзя использовать DLP-систему с «английским» ядром для анализа русскоязычных потоков информации и наоборот. Другой недостаток связан со сложностью четкой категоризации с использованием вероятностного подхода, что удерживает точность срабатывания в пределах 95%, тогда как для компании критичной может оказаться утечка любого объема конфиденциальной информации.

Статистические методы анализа , напротив, демонстрируют точность, близкую к 100-процентной. Недостаток статистического ядра связан с алгоритмом самого анализа.

На первом этапе документ (текст) делится на фрагменты приемлемой величины (не посимвольно, но достаточно, чтобы обеспечить точность срабатывания). С фрагментов снимается хеш (в DLP-системах встречается как термин Digital Fingerprint - «цифровой отпечаток»). Затем хеш сравнивается с хешем эталонного фрагмента, взятого из документа. При совпадении система помечает документ как конфиденциальный и действует в соответствии с политиками безопасности.

Недостаток статистического метода в том, что алгоритм не способен самостоятельно обучаться, формировать категории и типизировать. Как следствие - зависимость от компетенций специалиста и вероятность задания хеша такого размера, при котором анализ будет давать избыточное количество ложных срабатываний. Устранить недостаток несложно, если придерживаться рекомендаций разработчика по настройке системы.

С формированием хешей связан и другой недостаток. В развитых IT-системах, которые генерируют большие объемы данных, база отпечатков может достигать такого размера, что проверка трафика на совпадения с эталоном серьезно замедлит работу всей информационной системы.

Преимущество решений заключается в том, что результативность статистического анализа не зависит от языка и наличия в документе нетекстовой информации. Хеш одинаково хорошо снимается и с английской фразы, и с изображения, и с видеофрагмента.

Лингвистические и статистические методы не подходят для обнаружения данных определенного формата для любого документа, например, номера счетов или паспорта. Для выявления в массиве информации подобных типовых структур в ядро DLP-системы внедряют технологии анализа формальных структур.

В качественном DLP-решении используются все средства анализа, которые работают последовательно, дополняя друг друга.

Определить, какие технологии присутствуют в ядре, можно .

Не меньшее значение, чем функциональность ядра, имеют уровни контроля, на которых работает DLP-система. Их два:

Разработчики современных DLP-продуктов отказались от обособленной реализации защиты уровней, поскольку от утечки нужно защищать и конечные устройства, и сеть.

Сетевой уровень контроля при этом должен обеспечивать максимально возможный охват сетевых протоколов и сервисов. Речь идет не только о «традиционных» каналах ( , FTP, ), но и о более новых системах сетевого обмена (Instant Messengers, ). К сожалению, на сетевом уровне невозможно контролировать шифрованный трафик, но данная проблема в DLP-системах решена на уровне хоста.

Контроль на хостовом уровне позволяет решать больше задач по мониторингу и анализу. Фактически ИБ-служба получает инструмент полного контроля за действиями пользователя на рабочей станции. DLP с хостовой архитектурой позволяет отслеживать, что , какие документы , что набирается на клавиатуре, записывать аудиоматериалы, делать . На уровне конечной рабочей станции перехватывается шифрованный трафик (), а для проверки открыты данные, которые обрабатываются в текущий момент и которые длительное время хранятся на ПК пользователя.

Помимо решения обычных задач, DLP-системы с контролем на хостовом уровне обеспечивают дополнительные меры по обеспечению информационной безопасности: контроль установки и изменения ПО, блокировка портов ввода-вывода и т.п.

Минусы хостовой реализации в том, что системы с обширным набором функций сложнее администрировать, они более требовательны к ресурсам самой рабочей станции. Управляющий сервер регулярно обращается к модулю-«агенту» на конечном устройстве, чтобы проверить доступность и актуальность настроек. Кроме того, часть ресурсов пользовательской рабочей станции будет неизбежно «съедаться» модулем DLP. Поэтому еще на этапе подбора решения для предотвращения утечки важно обратить внимание на аппаратные требования.

Принцип разделения технологий в DLP-системах остался в прошлом. Современные программные решения для предотвращения утечек задействуют методы, которые компенсируют недостатки друг друга. Благодаря комплексному подходу конфиденциальные данные внутри периметра информационной безопасности становится более устойчивыми к угрозам.

Термин DLP часто расшифровывается как Data Loss Prevention или Data Leakage Prevention - предотвращение утечек данных. Соответственно, DLP-системы это программные и программно-аппаратные средства для решения задачи предотвращение утечек данных.

Противодействие утечкам информации по техническим каналам можно условно разделить на две задачи: борьба с внешней угрозой и борьба с внутренним нарушителем.

Ценные корпоративные данные, которые ваша организация пытается защитить с помощью межсетевых экранов и паролей, буквально утекают сквозь пальцы инсайдеров. Это происходит как случайно, так и в результате умышленных действий – неправомерного копирования информации с рабочих компьютеров на флеш-накопители, смартфоны, планшетные компьютеры и другие носители данных. Кроме того, данные могут бесконтрольно передаваться инсайдерами через электронную почту, службы мгновенного обмена сообщениями, веб-формы, форумы и социальные сети. Беспроводные интерфейсы – Wi-Fi и Bluetooth– наравне с каналами локальной синхронизации данных с мобильными устройствами открывают дополнительные пути для утечек информации с пользовательских компьютеров организации.

Помимо инсайдерских угроз другой опасный сценарий утечек реализуется при заражении компьютеров вредоносными программами, которые могут записывать вводимый с клавиатуры текст или отдельные виды хранимых в оперативной памяти компьютера данных и впоследствии передавать их в Интернет.

Как DLP-система предотвращает утечки информации?

В то время, как ни одна из описанных выше уязвимостей не устраняется ни традиционными механизмами сетевой безопасности, ни встроенными средствами контроля ОС, программный комплекс DeviceLock DLP эффективно предотвращает утечки информации с корпоративных компьютеров, используя полный набор механизмов контекстного контроля операций с данными, а также технологии их контентной фильтрации.

Поддержка виртуальных и терминальных сред в системе DeviceLock DLP существенно расширяет возможности служб информационной безопасности в решении задачи предотвращения утечек информации при использовании различных решений виртуализации рабочих сред, созданных как в форме локальных виртуальных машин, так и терминальных сессий рабочих столов или опубликованных приложений на гипервизорах.

Для соответствия определению «полнофункциональная» (или полноценная) DLP-система должна отвечать следующим основным функциональным критериям:

1. Наличие функции избирательной блокировки локальных каналов передачи данных и каналов сетевых коммуникаций.
2. Развитая подсистема мониторинга всех каналов утечки информации во всех сценариях работы пользователя.
3. Инспекция содержимого перемещаемых данных в режиме реального времени с возможностью блокировки такой попытки или отправки тревожного оповещения.
4. Обнаружение документов с критическим содержимым в различных местах хранения данных.
5. Тревожные оповещения о значимых событиях в режиме реального времени.
6. Выполнение заданных политик в равной степени как внутри корпоративного периметра (в офисе), так и вне его.
7. Наличие аналитического инструментария для анализа предотвращенных попыток противоправных действий и случившихся инцидентов.
8. Защита от преднамеренных или случайных действий пользователя, направленных на вмешательство в работу DLP-системы.

Контекстный контроль и контентная фильтрация в DLP-системе

Эффективный подход к защите от утечек информации с компьютеров начинается с использования механизмов контекстного контроля – контроля передачи данных для конкретных пользователей в зависимости от форматов данных, типов интерфейсов и устройств, сетевых протоколов, направления передачи, времени суток и т.д.

Однако, во многих случаях требуется более глубокий уровень контроля – например, проверка содержимого передаваемых данных на наличие конфиденциальной информации в условиях, когда каналы передачи данных не должны блокироваться, чтобы не нарушать производственные процессы, но отдельные пользователи входят в «группу риска», поскольку подозреваются в причастности к нарушениям корпоративной политики. В подобных ситуациях дополнительно к контекстному контролю необходимо применение технологий контентного анализа, позволяющих выявить и предотвратить передачу неавторизованных данных, не препятствуя при этом информационному обмену в рамках служебных обязанностей сотрудников.

Программный комплекс DeviceLock DLP использует как контекстные, так и основанные на анализе контента методы контроля, обеспечивая надежную защиту от утечек информации с пользовательских компьютеров и серверов корпоративных ИС. Контекстные механизмы DeviceLock DLP реализуют гранулированный контроль доступа пользователей к широкому спектру периферийных устройств и каналов ввода-вывода, включая сетевые коммуникации.

Дальнейшее повышение уровня защиты достигается за счет применения методов контентного анализа и фильтрации данных, что позволяет предотвратить их несанкционированное копирование на внешние накопители и Plug-and-Play устройства, а также передачу по сетевым протоколам за пределы корпоративной сети.

Как администрировать и управлять DLP-системой?

Наряду с методами активного контроля эффективность применения DeviceLock DLP обеспечивается за счет детального протоколирования действий пользователей и административного персонала, а также селективного теневого копирования передаваемых данных для их последующего анализа, в том числе с использованием методов полнотекстового поиска.

Для администраторов информационной безопасности DeviceLock DLP предлагает наиболее рациональный и удобный подход к управлению DLP-системой – с использованием объектов групповых политик домена Microsoft Active Directory и интегрированной в редактор групповых политик Windows. При этом политики DeviceLock DLP автоматически распространяются средствами директории как интегральная часть ее групповых политик на все компьютеры домена, а также виртуальные среды. Такое решение позволяет службе информационной безопасности централизованно и оперативно управлять DLP-политиками в масштабах всей организации, а их исполнение распределенными агентами DeviceLock обеспечивает точное соответствие между бизнес-функциями пользователей и их правами на передачу и хранение информации на рабочих компьютерах.

С егодня рынок DLP-систем является одним из самых быстрорастущих среди всех средств обеспечения информационной безопасности. Впрочем, отечественная ИБ-сфера пока не совсем успевает за мировыми тенденциями, в связи с чем у рынка DLP-систем в нашей стране есть свои особенности.

Что такое DLP и как они работают?

Прежде чем говорить о рынке DLP-систем, необходимо определиться с тем, что, собственно говоря, подразумевается, когда речь идёт о подобных решениях. Под DLP-системами принято понимать программные продукты, защищающие организации от утечек конфиденциальной информации. Сама аббревиатура DLP расшифровывается как Data Leak Prevention, то есть, предотвращение утечек данных.

Подобного рода системы создают защищенный цифровой «периметр» вокруг организации, анализируя всю исходящую, а в ряде случаев и входящую информацию. Контролируемой информацией должен быть не только интернет-трафик, но и ряд других информационных потоков: документы, которые выносятся за пределы защищаемого контура безопасности на внешних носителях, распечатываемые на принтере, отправляемые на мобильные носители через Bluetooth и т.д.

Поскольку DLP-система должна препятствовать утечкам конфиденциальной информации, то она в обязательном порядке имеет встроенные механизмы определения степени конфиденциальности документа, обнаруженного в перехваченном трафике. Как правило, наиболее распространены два способа: путём анализа специальных маркеров документа и путём анализа содержимого документа. В настоящее время более распространен второй вариант, поскольку он устойчив перед модификациями, вносимыми в документ перед его отправкой, а также позволяет легко расширять число конфиденциальных документов, с которыми может работать система.

«Побочные» задачи DLP

Помимо своей основной задачи, связанной с предотвращением утечек информации, DLP-системы также хорошо подходят для решения ряда других задач, связанных с контролем действий персонала.

Наиболее часто DLP-системы применяются для решения следующих неосновных для себя задач:

• контроль использования рабочего времени и рабочих ресурсов сотрудниками;
• мониторинг общения сотрудников с целью выявления «подковерной» борьбы, которая может навредить организации;
• контроль правомерности действий сотрудников (предотвращение печати поддельных документов и пр.);
• выявление сотрудников, рассылающих резюме, для оперативного поиска специалистов на освободившуюся должность.

За счет того, что многие организации полагают ряд этих задач (особенно контроль использования рабочего времени) более приоритетными, чем защита от утечек информации, возник целый ряд программ, предназначенных именно для этого, однако способных в ряде случаев работать и как средство защиты организации от утечек. От полноценных DLP-систем такие программы отличает отсутствие развитых средств анализа перехваченных данных, который должен производиться специалистом по информационной безопасности вручную, что удобно только для совсем небольших организаций (до десяти контролируемых сотрудников).

Эффективность бизнеса во многих случаях зависит от сохранения конфиденциальности, целостности и доступности информации. В настоящее время одной из наиболее актуальных угроз в области информационной безопасности (ИБ) является защита конфиденциальных данных от несанкционированных действий пользователей.
Это обусловлено тем, что большая часть традиционных средств защиты таких как антивирусы, межсетевые экраны (Firewall) и системы предотвращения вторжений (IPS) не способны обеспечить эффективную защиту от внутренних нарушителей (инсайдеров), целью которых может являться передача информации за пределы компании для последующего использования – продажи, передачи третьим лицам, опубликования в открытом доступе и т.д. Решить проблему случайных и умышленных утечек конфиденциальных данных, призваны системы предотвращения утечек данных (DLP — Data Loss Prevention) .
Подобного рода системы создают защищенный «цифровой периметр» вокруг организации, анализируя всю исходящую, а в ряде случаев и входящую информацию. Контролируемой информацией выступает не только интернет-трафик, но и ряд других информационных потоков: документы, которые выносятся за пределы защищаемого контура безопасности на внешних носителях, распечатываемые на принтере, отправляемые на мобильные носители через Bluetooth, WiFi и т.д.
DLP-системы осуществляют анализ потоков данных, пересекающих периметр защищаемой информационной системы. При обнаружении в этом потоке конфиденциальной информации срабатывает активная компонента системы и передача сообщения (пакета, потока, сессии) блокируется. Выявление конфиденциальной информации в потоках данных осуществляется путем анализа содержания и выявления специальных признаков: грифа документа, специально введённых меток, значений хэш-функции из определенного множества и т.д.
Современные DLP-системы обладают огромным количеством параметров и характеристик, которые обязательно необходимо учитывать при выборе решения для организации защиты конфиденциальной информации от утечек. Пожалуй, самым важным из них является используемая сетевая архитектура. Согласно этому параметру продукты рассматриваемого класса подразделяются на две большие группы: шлюзовые (рис. 1) и хостовые (рис. 2).
В первой группе используется единый сервер, на который направляется весь исходящий сетевой трафик корпоративной информационной системы. Этот шлюз занимается его обработкой в целях выявления возможных утечек конфиденциальных данных.

Рис. 1. Функциональная схема шлюзового DLP-решения

Второй вариант основан на использовании специальных программ – агентов, которые устанавливаются на конечных узлах сети – рабочих станциях, серверах приложений и пр.

Рис. 2. Функциональная схема хостового DLP решения

В последнее время наблюдается стойкая тенденция к универсализации DLP-систем. На рынке уже не осталось или почти не осталось решений, которые можно было бы назвать сугубо хостовыми или шлюзовыми. Даже те разработчики, которые долгое время развивали исключительно какое-то одно направление, добавляют к своим решениям модули второго типа.
Причины перехода к универсализации DLP-решений две. Первая из них – разные области применения у систем разных типов. Как было сказано выше, хостовые DLP-решения позволяют контролировать всевозможные локальные, а сетевые – интернет-каналы утечки конфиденциальной информации. Основываясь на том, что в подавляющем большинстве случаев организация нуждается в полной защите, то ей нужно и то, и другое. Второй причиной универсализации являются некоторые технологические особенности и ограничения, которые не позволяют сугубо шлюзовым DLP-системам полностью контролировать все необходимые интернет-каналы.
Поскольку полностью запретить использование потенциально опасных каналов передачи данных не представляется возможным, то можно поставить их под контроль. Суть контроля заключается в мониторинге всей передаваемой информации, выявлении среди нее конфиденциальной и выполнение тех или иных операций, заданных политикой безопасности организации. Очевидно, что основной, наиболее важной и трудоемкой задачей является анализ данных. Именно от его качества зависит эффективность работы всей DLP-системы.

Методы анализа потоков данных для DLP

Задачу анализа потока данных с целью выявления конфиденциальной информации можно смело назвать нетривиальной. Поскольку поиск нужных данных осложнен множеством факторов, требующих учета. Поэтому, на сегодняшний день разработано несколько технологий для детектирования попыток передачи конфиденциальных данных. Каждая из них отличается от других своим принципом работы.
Условно все способы обнаружения утечек можно разделить на две группы. К первой относятся те технологии, которые основаны на анализе непосредственно самих текстов передаваемых сообщений или документов (морфологический и статистический анализы, шаблоны). По аналогии с антивирусной защитой их можно назвать проактивными. Вторую группу составляют реактивные способы (цифровые отпечатки и метки). Они определяют утечки по свойствам документов или наличию в них специальных меток.

Морфологический анализ

Морфологический анализ является одним из самых распространенных контентных способов обнаружения утечек конфиденциальной информации. Суть этого метода заключается в поиске в передаваемом тексте определенных слов и/или словосочетаний.
Главным преимуществом рассматриваемого метода является его универсальность. С одной стороны, морфологический анализ может использоваться для контроля любых каналов связи, начиная с файлов, копируемых на съемные накопители, и заканчивая сообщениями в ICQ, Skype, социальных сетях, а с другой – с его помощью могут анализироваться любые тексты и отслеживаться любая информация. При этом конфиденциальные документы не нуждаются в какой-либо предварительной обработке. А защита начинает действовать сразу после включения правил обработки и распространяется на все заданные каналы связи.
Основным недостатком морфологического анализа является относительно низкая эффективность определения конфиденциальной информации. Причем зависит она как от используемых в системе защиты алгоритмов, так и от качества семантического ядра, применяющегося для описания защищаемых данных.

Статистический анализ

Принцип работы статистических методов заключается в вероятностном анализе текста, который позволяет предположить его конфиденциальность или открытость. Для их работы обычно требуется предварительное обучение алгоритма. В ходе него вычисляется вероятность нахождения тех или иных слов, а также словосочетаний в конфиденциальных документах.
Преимуществом статистического анализа является его универсальность. При этом стоит отметить, что данная технология работает в штатном режиме только в рамках поддержания постоянного обучения алгоритма. Так, например, если в процессе обучения системе было предложено недостаточное количество договоров, то она не сможет определять факт их передачи. То есть качество работы статистического анализа зависит от корректности его настройки. При этом необходимо учитывать вероятностный характер данной технологии.

Регулярные выражения (шаблоны)

Суть метода такова: администратор безопасности определяет строковый шаблон конфиденциальных данных: количество символов и их тип (буква или цифра). После этого система начинает искать в анализируемых текстах сочетания, удовлетворяющие ему, и применять к найденным файлам или сообщениям указанные в правилах действия.
Главным преимуществом шаблонов является высокая эффективность обнаружения передачи конфиденциальной информации. Применительно к инцидентам случайных утечек она стремится к 100%. Случаи с преднамеренными пересылками сложнее. Зная о возможностях используемой DLP-системы, злоумышленник может противодействовать ей, в частности, разделяя символы различными символами. Поэтому используемые методы защиты конфиденциальной информации должны держаться в секрете.
К недостаткам шаблонов относится, в первую очередь, ограниченная сфера их применения. Они могут использоваться только для стандартизованной информации, например, для защиты персональных данных. Ещё одним минусом рассматриваемого метода является относительно высокая частота ложных срабатываний. Например, номер паспорта состоит из шести цифр. Но, если задать такой шаблон, то он будет срабатывать каждый раз, когда встретится 6 цифр подряд. А это может быть номер договора, отсылаемый клиенту, сумма и т.п.

Цифровые отпечатки

Под цифровым отпечатком в данном случае понимается целый набор характерных элементов документа, по которому его можно с высокой достоверностью определить в будущем. Современные DLP-решения способны детектировать не только целые файлы, но и их фрагменты. При этом можно даже рассчитать степень соответствия. Такие решения позволяют создавать дифференцированные правила, в которых описаны разные действия для разных процентов совпадения.
Важной особенностью цифровых отпечатков является то, что они могут использоваться не только для текстовых, но и для табличных документов, а также для изображений. Это открывает широкое поле для применения рассматриваемой технологии.

Цифровые метки

Принцип данного метода следующий: на выбранные документы накладываются специальные метки, которые видны только клиентским модулям используемого DLP-решения. В зависимости от их наличия система разрешает или запрещает те или иные действия с файлами. Это позволяет не только предотвратить утечку конфиденциальных документов, но и ограничить работу с ними пользователей, что является несомненным преимуществом данной технологии.
К недостаткам данной технологии относится, в первую очередь, ограниченность сферы её применения. Защитить с ее помощью можно только текстовые документы, причем уже существующие. На вновь создаваемые документы это не распространяется. Частично этот недостаток нивелируется способами автоматического создания меток, например, на основе набора ключевых слов. Однако данный аспект сводит технологию цифровых меток к технологии морфологического анализа, то есть, по сути, к дублированию технологий.
Другим недостатком технологии цифровых меток является легкость ее обхода. Достаточно вручную набрать текст документа в письме (не скопировать через буфер обмена, а именно набрать), и данный способ будет бессилен. Поэтому он хорош только в сочетании с другими методами защиты.

Основные функции DLP-систем:

Основный функции DLP-систем визуализированы на рисунке ниже (рис. 3)

• контроль передачи информации через Интернет с использованием E-Mail, HTTP, HTTPS, FTP, Skype, ICQ и других приложений и протоколов;
• контроль сохранения информации на внешние носители — CD, DVD, flash, мобильные телефоны и т.п.;
• защита информации от утечки путем контроля вывода данных на печать;
• блокирование попыток пересылки/сохранения конфиденциальных данных, информирование администраторов ИБ об инцидентах, создание теневых копий, использование карантинной папки;
• поиск конфиденциальной информации на рабочих станциях и файловых серверах по ключевым словам, меткам документов, атрибутам файлов и цифровым отпечаткам;
• предотвращение утечек информации путем контроля жизненного цикла и движения конфиденциальных сведений.

Рис. 3. Основные функции DLP систем

Защита конфиденциальной информации в DLP-системе осуществляется на трех уровнях:

1 уровень — Data-in-Motion – данные, передаваемые по сетевым каналам:

• web (HTTP/HTTPS протоколы);
• службы мгновенного обмена сообщениями (ICQ, QIP, Skype, MSN и т.д.);
• корпоративная и личная почта (POP, SMTP, IMAP и т.д.);
• беспроводные системы (WiFi, Bluetooth, 3G и т.д.);
• ftp – соединения.

2 уровень — Data-at-Rest – данные, статично хранящиеся на:

• серверах;
• рабочих станциях;
• ноутбуках;
• системах хранения данных (СХД).

3 уровень — Data-in-Use – данные, используемые на рабочих станциях.

Система класса DLP включает в себя следующие компоненты:

• центр управления и мониторинга;
• агенты на рабочих станциях пользователей;
• сетевой шлюз DLP, устанавливаемый на Интернет-периметр.

В DLP-системах конфиденциальная информация может определяться по ряду различных признаков, а также различными способами, основными из них являются:

• морфологический анализ информации;
• статистический анализ информации;
• регулярные выражения (шаблоны);
• метод цифровых отпечатков;
• метод цифровых меток.

Внедрение DLP-систем давно стало уже не просто модой, а необходимостью, ведь утечка конфиденциальных данных может привести к огромному ущербу для компании, а главное оказать не одномоментное, а длительное влияние на бизнес компании. При этом ущерб может носить не только прямой, но и косвенный характер. Потому что помимо основного ущерба, особенно в случае разглашения сведений об инциденте, Ваша компания «теряет лицо». Ущерб от потери репутации оценить в деньгах весьма и весьма сложно! А ведь конечной целью создания системы обеспечения безопасности информационных технологий, является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, ее носители и процессы обработки.

Предлагаем ряд маркеров, которые помогут выжать максимум из любой системы DLP.

DLP -системы: что это такое

Напомним, что DLP-системы (Data Loss/Leak Prevention) позволяют контролировать все каналы сетевой коммуникации компании (почта, интернет, системы мгновенных сообщений, флешки, принтеры и т д.). Защита от утечки информации достигается за счет того, что на все компьютеры сотрудников ставятся агенты, которые собирают информацию и передают ее на сервер. Порой информация собирается через шлюз, с использованием SPAN-технологий. Информация анализируется, после чего системой или офицером безопасности принимаются решения по инциденту.

Итак, в вашей компании прошло внедрение DLP-системы. Какие шаги необходимо предпринять, чтобы система заработала эффективно?

1. Корректно настроить правила безопасности

Представим, что в системе, обслуживающей 100 компьютеров, создано правило «Фиксировать все переписки со словом «договор"». Такое правило спровоцирует огромное число инцидентов, в котором может затеряться настоящая утечка.

Кроме того, не каждая компания может позволить себе содержать целый штат сотрудников, отслеживающих инциденты.

Повысить коэффициент полезности правил поможет инструментарий по созданию эффективных правил и отслеживанию результатов их работы. В каждой DLP-системе есть функционал, который позволяет это сделать.

В целом методология предполагает анализ накопленной базы инцидентов и создание различных комбинаций правил, которые в идеале приводят к появлению 5-6 действительно неотложных инцидентов в день.

2. Актуализировать правила безопасности с определенной периодичностью

Резкое снижение или увеличение числа инцидентов — показатель того, что требуется корректировка правил. Причины могут быть в том, что правило потеряло актуальность (пользователи перестали обращаться к определенным файлам) либо сотрудники усвоили правило и больше не совершают действий, запрещенных системой (DLP — обучающая система). Однако практика показывает, что если одно правило усвоено, то в соседнем месте потенциальные риски утечки возросли.

Также следует обращать внимание на сезонность в работе предприятия. В течение года ключевые параметры, связанные со спецификой работы компании, могут меняться. Например, для оптового поставщика малой техники весной будут актуальны велосипеды, а осенью — снегокаты.

3. Продумать алгоритм реагирования на инциденты

Есть несколько подходов к реагированию на инциденты. При тестировании и обкатке DLP-систем чаще всего людей не оповещают об изменениях. За участниками инцидентов лишь наблюдают. При накоплении критической массы с ними общается представитель отдела безопасности или отдела кадров. В дальнейшем часто работу с пользователями отдают на откуп представителям отдела безопасности. Возникают мини-конфликты, в коллективе накапливается негатив. Он может выплеснуться в намеренном вредительстве сотрудников по отношению к компании. Важно соблюдать баланс между требованием дисциплины и поддержанием здоровой атмосферы в коллективе.

4. Проверить работу режима блокировки

Существует два режима реагирования на инцидент в системе — фиксация и блокировка. Если каждый факт пересылки письма или прикрепления вложенного файла на флэшку блокируется, это создает проблемы для пользователя. Часто сотрудники атакуют системного администратора просьбами разблокировать часть функций, руководство также может быть недовольно такими настройками. В итоге система DLP и компания получают негатив, система дискредитируется и демаскируется.

5. Проверить, введен ли режим коммерческой тайны

Дает возможность сделать определенную информацию конфиденциальной, а также обязует любое лицо, знающее об этом, нести полную юридическую ответственность за ее разглашение. В случае серьезной утечки информации при действующем на предприятии режиме коммерческой тайны с нарушителя можно взыскать сумму фактического и морального ущерба через суд в соответствии с 98-ФЗ «О коммерческой тайне».

Надеемся, что данные советы помогут снизить число непреднамеренных утечек в компаниях, ведь именно с ними призваны успешно бороться системы DLP. Однако не стоит забывать о комплексной системе информационной безопасности и о том, что намеренные утечки информации требуют отдельного пристального внимания. Существуют современные решения, которые позволяют дополнить функционал систем DLP и значительно снизить риск намеренных утечек. Например, один из разработчиков предлагает интересную технологию — при подозрительно частом обращении к конфиденциальным файлам автоматически включается веб-камера и начинает вести запись. Именно эта система позволила зафиксировать, как незадачливый похититель активно делал снимки экрана с помощью мобильной фотокамеры.

Олег Нечеухин , эксперт по защите информационных систем, «Контур.Безопасность»