DLP-решения: констатация утечек или предотвращение?

Благодаря этому до сих пор многие специалисты ИБ настаивают на том, что DLP – это выявление злоумышленника постфактум на основе анализа собранной информации. В действительности же DLP – это не констатация, а предотвращение утечек путем оперативного реагирования на неправомерную передачу или хранение конфиденциальной информации.

Сбор, хранение, индексация и анализ собранной информации, проведение расследований по факту выявленных нарушений – это не DLP, а eDiscovery. И такие решения зачастую нужны не только специалистам ИБ. Это и специалисты экономической безопасности, юристы, аудиторы, бухгалтерия, кадры – все те, кто могут быть привлечены к расследованиям ИБ или быть заинтересованы в проведении собственных расследований, а также выгрузке требуемых документов при внешнем или внутреннем аудите. Решения eDiscovery призваны повысить эффективность таких расследований, тогда как перед решениями DLP ставят в первую очередь задачи контроля над передаваемой и хранимой информацией где бы то ни было.

Многим кажется оптимальным подход "запишем все у всех – потом разберемся". Но на практике такой подход оказывается или очень затратным, или просто технически нереализуемым при большом количестве пользователей. Настоящее же DLP-решение позволяет найти оптимальный ответ на эту задачу, т.к. во всех точках своего присутствия может рассчитать на лету, что нужно делать с информацией того или иного содержания или контекста, чтобы не записывать "все у всех". DLP может присутствовать в сеансе пользователя, в сетевом трафике, при сканировании хранилищ локального диска, а также в сетевых и даже облачных хранилищах пользователей. Благодаря технологиям детектирования по отпечаткам с текстовых или табличных данных достигается полное отсутствие ложных срабатываний, а возможность интеграции с любыми сторонними средствами извлечения контента позволяют "увидеть невидимое".

Во многих случаях при внедрении DLP заранее отказываются от блокировки или карантина при передаче информации и выбирают компромиссное решение, разработанное, прежде всего, для записи "всего у всех". Вызвано это тем, что задача создания правильных политик DLP кажется невыполнимой. Но выстраивание правильного жизненного цикла политики позволяет решить эту задачу. Ключевым моментом является нотификация пользователей, которая позволяет получить обратную связь в виде реакции пользователя на нарушение политики DLP и тем самым обучить пользователей и снизить количество инцидентов до минимума. Возможность создания таких политик, отвечающих актуальным требованиям бизнеса, позволяет компании эффективно бороться с утечками, применяя блокировку и карантин.