DLP по-русски - больше, чем просто DLP

Кирилл Викторов
Заместитель директора
по развитию бизнеса
компании "Инфосистемы Джет"

Тон задает региональный компонент

Общая картина на рынке востребованных средств контроля отнюдь не статична: компании закупают технику и софт для контроля рисков, отлаживают политики, адаптируются к новым подходам (таким, к примеру, как концепция Bring Your Own Device или задачи обеспечения ИБ в условиях повального использования мобильных устройств). Откликаясь на потребности рынка, производители наращивали (и продолжают это делать сейчас) функционал DLP-систем, обладающий высоким уровнем эффективности в рамках новых парадигм и позволяющий контролировать все большее число информационных потоков - социальных сетей, онлайн-мессенджеров (в том числе Skype, Mail.ru Агент) и т.д.

При этом учитывается и специфика расследования ИБ-инцидентов, характерная для российской действительности. Например, характерным требованием,предъявляемым российскими компаниями к DLP-решениям, является своевременное информирование офицера ИБ или руководителя соответствующего подразделения об утечке, а также предоставление возможности поднять нужные данные из системы хранения постфактум (например, спустя 1-2 года). В данном случае можно привести известные отечественные примеры возбуждения уголовных дел по фактам утечек в отношении сотрудников, которые уже не работают в компании. Таким образом, ожидания российского рынка от предлагаемых DLP-решений значительно шире, нежели их классический функционал. Службы ИБ стремятся оперативно проводить расследования инцидентов, что напрямую связано с возможностью быстро и удобно получать нужные данные. А для этого требуется организовать доступ к максимальному числу систем - источников информации. При этом особое внимание уделяется контексту той или иной фразы или сообщения, выходящих за периметр контролируемого информационного поля (должность автора, его стандартный профиль общения и т.д.). Такие подробности позволяют точнее определить, чем являются эти факты - обычным выполнением должностных обязанностей или утечкой. Данный подход позволяет сформировать некий набор идентификаторов, определяющих сотрудника в цифровом мире. В этом смысле киберпространство в бизнес-среде существует уже несколько лет. И разработчики DLP-систем это учитывают. Кроме того, сегодня деятельность и результаты работы служб ИБ все чаще попадают в сферу внимания топ-менеджмента компаний, что ставит офицера ИБ перед задачей оперативного предоставления информативных и наглядных отчетов по запросу бизнес-руководства. В этом случае роль аналитической системы, позволяющей создавать такую отчетность за приемлемое время, часто измеряющееся минутами, также может выполнить система DLP. Данный функционал на текущий момент не входит в число основных возможностей DLP-систем, но в ближайшее время станет одним из ключевых направлений их развития.

"Дозор-Джет" - что новенького?

Аналогичным образом развивалось и первое отечественное DLP-решение "Дозор-Джет". На момент своего появления в 2000 г. "Дозор-Джет" использовался преимущественно как система, позволяющая реализовать политику использования электронной почты и контролировать доступ в Интернет. На сегодняшний день "Дозор-Джет", помимо прочего, может играть роль эффективного средства для анализа лояльности сотрудников компании, проводя зависимость между предпринятыми компанией действиями в отношении своих сотрудников и малейшими изменениями в их информационной активности. Вторым моментом, иллюстрирующим тенденцию к "очеловечиванию" DLP-системы, является разработка удобного, интуитивно понятного интерфейса, который не требует значительного времени на освоение у тех, кто уже знаком с предыдущими версиями решения. Но полностью обновленная технология работы с интерфейсом, которая в том числе позволяет офицеру ИБ быстро сравнивать результаты нескольких запросов и оценивать состояние всего комплекса в онлайн-режиме - это лишь вершина того айсберга изменений, которые реализованы в новой версии.

Во главе угла - пожелания пользователей

Подавляющее большинство подсистем "Дозор-Джет" 5.0 модернизированы с ориентацией на ожидания компаний и инженеров, работающих с комплексом. В частности, подсистема фильтрации теперь отличает сообщения из разных источников и автоматически выполняет ряд действий (например, определяет направления передачи), которые ранее требовали описания в политике. Появилась возможность интеграции средств фильтрации и внешних источников данных: от интеграции с SIEM-системами, например с HP ArcSight за счет разработки собственного коннектора, до создания штатных интерфейсов взаимодействия с базами данных, например со СКУД. В ближайшее время станут доступны механизм интеграции с новыми для DLP-систем средствами хранения данных и более точная работа с политикой ИБ компании. В ряде сценариев новая версия "Дозор-Джет" способна накапливать и анализировать информацию и при контакте с мобильными устройствами: контролирует протокол МТР для Android и активность iTunes, регистрирует работу ряда облачных сервисов по сети.

Единая точка входа при управлении, эффективное хранение и...

Управление распределенными системами комплекса теперь производится из единой точки с обеспечением непрерывного мониторинга работоспособности всех сервисов и их автоматического рестарта. За счет чего значительно сокращается время, затрачиваемое на обслуживание системы, повышаются ее управляемость и надежность. Подсистема поиска и работы с архивом позволяет работать с отчетностью с большим комфортом: увеличилось число возможных отчетных форм, при этом уменьшились трудозатраты на их создание за счет дополнительных, быстрых форм поиска.

Значительная работа была проведена в части повышения эффективности и мощности подсистемы хранения - за счет автоматического сжатия и использования специально разработанных средств в новой версии "Дозор-Джет" ощутимо увеличена плотность хранения информации. При этом по сравнению с версией 4.0 снижена нагрузка на серверы фильтрации и базы данных, увеличены пиковая и средняя производительности архивации. Для облегчения работы по обслуживанию системы реализованы средства ротации данных в архиве в автоматическом режиме, а также получена обратная совместимость по формату хранения без ограничений, которые накладывают СУБД.

Контроль новых горизонтов

Современная версия комплекса предлагает и решение задачи по интеграции контроля разных источников информации в рамках единой системы: все возможные типы событий теперь можно обрабатывать в одном архиве. Офицер безопасности, в свою очередь, получает удобный инструмент контроля содержимого (в том числе СНИЛС, номера паспортов, кредитных карт и пр.), цифровых отпечатков и необходимые средства разделения полномочий по доступу к данным архива. Кроме того, система способна учитывать морфологические особенности русского языка: использование методов глубокого анализа содержимого позволило дополнить функционал такими возможностями, как поиск похожих документов в архиве или работа политики по ключевым фразам и выражениям.

Также в 2012 г. реализован компонент, которого ранее в "Дозор-Джет" не было, - агент на рабочих станциях. Ранее он заменялся интеграцией с решениями третьих производителей. Его появление позволяет взять под контроль современные, актуальные для сотрудников ИБ-отделов каналы утечек (Skype, системы обмена файлами - Dropbox и др.) и https-соединения. Если говорить о вариантах применения "Дозор-Джет", то увеличилось разнообразие возможных сценариев его использования. Версия 5.0 позволяет работать в режимах облачного сервиса, системы по требованию, системы для расследования инцидентов.

Прогнозы: DLP в ожидании аналитического фронта

За 13 лет, прошедших с момента выхода на рынок первой версии комплекса "Дозор-Джет", было выполнено более 400 инсталляций продукта и выпущено несколько официальных релизов системы. Это позволило накопить опыт внедрений и обширную базу пожеланий компаний к решениям подобного класса. Зачастую требования пользователей ОТК к функционалу "Дозор-Джет" превышают стандартные возможности систем DLP, а в некоторых сценариях и противоречат им. В версии 5.0 учтено большинство таких пожеланий, но в настоящий момент в полной мере доступен не весь этот функционал. Новая версия, как и предыдущие, в первую очередь играет роль устойчивой базы для дальнейшего развития. Уже сейчас ведется полномасштабная работа над следующим релизом продукта, ориентированным на увеличение возможностей для глубокого анализа событий в сети, на рабочих станциях, в базах данных, почтового и другого трафика. При этом мы, как вендор, сосредотачиваемся на актуальных требованиях, которые рынок предъявляет к системам DLP и управлению информационными потоками: большие массивы данных, большее время хранения, меньшее время на реакцию и широкие пожелания к функционалу, надежности и производительности. "Дозор-Джет" уже сейчас имеет возможности интеграции с широким спектром внешних систем для проведения анализа событий, и эту информацию можно использовать в политике обработки и при поиске. Система будет развиваться и дальше, с тем чтобы офицеры безопасности смогли работать в еще более привычной обстановке - с людьми, а не с адресами, с компаниями, а не с доменами.