Как выбрать DLP-систему?

Владислав Вайц, заместитель начальника управления информационной безопасности, ГК ПИК
Сергей Вахонин, директор по решениям ЗАО “Смарт Лайн Инк"
Александр Ковалёв, заместитель генерального директора, Zecurion
Виолетта Красова, руководитель направления DLP Центра информационной безопасности компании “Инфосистемы Джет"
Валентин Крохин, директор по маркетингу компании Solar Security
Александр Суханов, эксперт по информационной безопасности, МФИ Софт

Владислав Вайц

– Рынок лучше всего отслеживают сами производители. Могу только заметить, что в данной сфере высокая конкуренция, и это идет на пользу потребителям, продукты ведущих производителей постоянно совершенствуются, в том числе по части функционала.

Александр Ковалёв

– Если говорить о продуктах, основные DLP-вендоры постепенно стали обновлять системы управления, уходить в Web и в мобильные приложения.

Виолетта Красова

– В последний год DLP-системы не только стали использоваться службами информационной безопасности, но и превратились в незаменимый инструмент для представителей экономической безопасности, HR-служб и активно применяются для отслеживания мошеннических схем в организации. Эта тенденция порождает новые задачи для разработчиков DLP: система должна быть доступной для человека, далекого от информационной безопасности. В итоге сформировался ключевой тренд – возникают новые требования к функционалу решения, возможностям настройки и вариантам поддержки.

Валентин Крохин

– 2015 год в целом для российских вендоров был не очень богат с точки зрения прорывных релизов продуктов. В основном выходили минорные версии с уклоном в оптимизацию существующего продукта.

Александр Суханов

– У большинства компаний-заказчиков появилась потребность в мощных системах защиты от утечек, основанных на глубокой аналитике, быстром и детальном расследовании инцидентов.

Это стало отправной точкой для вендоров в создании нового поколения интеллектуальных, интуитивно понятных DLP-решений с расширенными аналитическими возможностями и возможностями работы с большими данными.

Владислав Вайц

– Сложно предположить более эффективный инструмент при анализе активности на компьютере, который настолько подробно показал бы "живую" работу сотрудника. К сожалению, многие вещи могут происходить вне рабочих станций пользователей, и использование только DLP не даст результата.

Сергей Вахонин

– DLP-системы по сути своей – инструмент узкопрофильный, и рассматривать их в отрыве от прочих технических средств обеспечения информационной безопасности, в том числе для противодействия кибермошенничеству, – непродуктивно. Если полагать, что конечной целью злоумышленника является получение доступа к конфиденциальной информации, что означает ее утечку, то в такой модели угроз использование DLP-решения как ключевого, базового инструмента в комплексной системе становится уже очевидным. Эффективность же использования DLP будет напрямую зависеть от функциональных возможностей решения. Говоря об утечке корпоративных данных, следует иметь в виду целый ряд критериев – возможность предотвратить утечку, возможность зарегистрировать утечку, выявить инцидент утечки данных, анализируя журнал событий и теневые копии переданных за пределы корпоративного периметра документов и файлов. Эти возможности, в свою очередь, должны опираться на ширину охвата контролируемых каналов передачи, сохранения и печати данных. Ну и, конечно же, не стоит забывать о полноте и правильности построения решения на этапе проектирования – эффективность инструмента определяется прежде всего тем, насколько он выполняет решаемую задачу.

Александр Ковалёв

– Конечно, в плане аналитики DLP-вендорам еще есть куда развиваться. Но и в текущем виде DLP с полноценным архивом трафика и всех документов и логами – очень полезная вещь именно в плане расследований и выявления различных мошеннических схем.

Виолетта Красова

– Не секрет, что мошенничество с участием сотрудников является крайне частым явлением. И в подавляющем количестве случаев подготовка к тому или иному хищению или злоупотреблению имеет информационный след, который может быть выявлен системой DLP. Это могут быть и отклонения от стандартного поведения пользователей, и изменившаяся "карта" взаимодействия сотрудников между собой и с "внешним миром", и просто факт синхронизации шагов хищения. И если антифрод-компоненты предотвращают сам факт хищения, то DLP становится важным информационным источником, который позволяет выявить мошенничество со стороны сотрудника на раннем этапе. Эти данные, доставленные в антифрод, обеспечивают достаточную информацию для блокирования противоправного действия. Большой головной болью для многих компаний являются и кроссканальные схемы мошенничества, для выявления которых необходимо сопоставлять работу пользователей в совершенно разных системах. Например, почтовую переписку с активностью в АБС и данными из HR-системы. DLP в таких случаях становится частью целого комплекса технических средств, работающего на пресечение нелегитимной активности сотрудников, а иногда и внешних мошенников.

Валентин Крохин

– Все зависит от конкретного продукта и личных методик службы безопасности. Это как с Word`ом. Основная масса использует только 10% функционала, когда продвинутые пользователи делают в нем профессиональную верстку. Безусловно, сейчас есть множество опытных безопасников, которые с помощью анализа коммуникаций сотрудников способны выявлять даже самые изощренные мошеннические схемы на предприятии. В этом плане важна синергия продукта, который изначально дает нужный функционал для таких расследований и лучших практик по разбору подобных инцидентов.

Александр Суханов

– DLP-система при грамотном ее использовании – один из самых результативных инструментов расследования инцидентов, выявления сговоров и противоправных действий отдельных инсайдеров и халатных сотрудников. За последнее время DLP-решения от мониторинга и контроля развились в серьезные аналитические системы, которые позволяют от единичных случаев нетипичной активности сотрудника отследить всю мошенническую схему взаимодействия между сотрудниками и попытки кражи информации.

Владислав Вайц

– Данные риски, очевидно, прорабатывали юристы компаний – производителей DLP, и возможные нюансы учтены в предлагаемом продукте. Тем более, официально купленное ПО, функционирующее на предоставленном сотруднику для работы оборудовании, вряд ли как-то может ущемить права человека.

Сергей Вахонин

– Данный вопрос в каком-то смысле аналогичен вопросу – противоречит ли правам человека саперная лопата? Ведь ей можно не только копать окопы, это еще и оружие… Сама по себе DLP-система, как и любой инструмент, не может противоречить или соответствовать такой тонкой и неизмеряемой материи, как права человека. Вопрос сводится исключительно к тому, как построено использование инструмента, как организован процесс, соблюдены ли установленные законом ограничения и требования. Решение ЕСПЧ по делу Барбулеску очевидно доказывает, что корректный выбор и грамотное применение функциональных возможностей DLP-системы как инструмента в комплексе со своевременно и правильно выполненными организационными мероприятиями решает вопросы корпоративной безопасности, не задевая права человека.

Александр Ковалёв

– Если провести адекватную предварительную работу, то никаких дополнительных проблем с DLP, конечно, не будет. Некоторые компании-разработчики даже готовят рекомендации в виде документа для своих клиентов.

Виолетта Красова

– Неправильное внедрение и использование DLP может привести к рискам для специалистов информационной безопасности и самой организации. Однако за долгие годы эксплуатации данного класса решений были выработаны типовые подходы по организационному обеспечению работы DLP, которые позволяют свести практически к нулю все риски организации, связанные с нарушением прав человека. Данный факт подкрепляется юридической практикой, подтверждающей возможность использования полученных данных в качестве доказательств в суде.

Валентин Крохин

– Кажется, этот вопрос родился сразу после появления первой DLP-системы. Или же вопрос все-таки был первым? Если ответить на него кратко, то нет, не противоречит. Если работодатель получил согласие сотрудников на мониторинг коммуникаций на рабочих станциях, никаких проблем с законом возникнуть не должно. Как провести внедрение правильно с точки зрения соблюдения всех формальностей – всегда могут подсказать всем известные эксперты информационной безопасности, которые работают у ведущих DLP-поставщиков. Так что заказчикам не о чем беспокоиться, если они играют по правилам.

Александр Суханов

– Внедряя DLP-систему, нужно правильно к этому подходить. Внедрение должно отражаться в организационных документах. Сотрудников нужно обязательно уведомить о возможности контроля всех каналов коммуникации компании. Должно быть четко прописано, что вся инфраструктура является собственностью компании и предназначена только для использования в рабочих целях. Личная переписка должна быть запрещена на рабочем месте, тогда использование DLP-системы не будет нарушать права человека. Яркий пример этого года – дело Б. Барбулеску против Румынии.

Обычно вендоры DLP-систем предоставляют все необходимые шаблоны документов и помогают их внедрить в комплексных проектах.

Владислав Вайц

– Да, изменились. В основном выделились требования в части контроля обмена с облачными сервисами.

Александр Ковалёв

– Требования заказчиков меняются всегда, но термин "атака" к DLP-системам, как нам кажется, не совсем применим. К нам сегодня приходит все больше компаний, которые хотят современную защиту не только на уровне интернет-шлюза, но и полноценное "свое" end-point-решение для контроля передачи данных на флешки, принтеры и в принципе перемещения информации на уровне рабочих станций и ноутбуков. При ближайшем рассмотрении видно, что полноценные агенты есть только у пары вендоров.

Виолетта Красова

– В случае с DLP речь идет скорее о новых видах утечки информации. Для служб ИБ главная угроза – это появление ранее неиспользуемых каналов утечки информации и скорость, с которой они становятся одним из способов коммуникации сотрудников в организации. Против атак, используемых "корпоративными шпионами", DLP-системы в большинстве случаев бессильны. Профессиональные злоумышленники изначально технически подкованы и заранее знают все способы обхода систем защиты информации.

Валентин Крохин

– Атаки по сути остаются прежними, просто службы безопасности научились более эффективно с ними бороться. Такая трансформация произошла и в отношении DLP-систем. Раньше основной угрозой были утечки информации, сейчас, в силу зрелости рынка, на первый план выходят экономические преступления. Инструменты стали более совершенными, безопасники более опытными, и теперь они требуют новый функционал, чтобы еще быстрее реагировать на актуальные угрозы.

Александр Суханов

– Модернизация систем производится регулярно как на технологическом уровне, так и на уровне алгоритмов работы. Требования заказчиков меняются с появлением новых видов каналов утечки информации или модификации имеющихся, как это было с повсеместным распространением HTТPS. Теперь любая серьезная DLP-система способна раскрывать подобный трафик. Например, некоторые сотрудники стали отправлять конфиденциальные документы на личную gmail-почту, и если DLP-система не умеет расшифровывать HTTPS- трафик, утечка не будет замечена. Привыкшие к классическим DLP-решениям пользователи бывают приятно удивлены возможностями систем нового поколения, поскольку расширенная аналитика открывает новые сценарии превентивной защиты информации.

Владислав Вайц

– В первую очередь, это удобство использования. Потом функционал и масштабируемость.

Сергей Вахонин

– Прежде всего стоит обратить внимание на полноту соответствия функциональных возможностей системы поставленным перед службой ИБ задачам, насколько стоимость системы безопасности соответствует цене защищаемой информации – цене утечки, – и насколько система вписывается в действующую инфраструктуру заказчика. В каких-то случаях будет достаточно использовать примитивные встроенные в ОС средства, в других – потребуется избирательный контроль с точностью до пользователя и отдельных устройств или почтовых адресов, с возможностью гибко определять права пользователей и степень контроля, от базовых возможностей блокировки отдельных каналов передачи данных (сетевых протоколов, устройств, принтеров и т.п.) до выборочного создания теневых копий по итогам анализа содержимого передаваемых данных.

Стоит также помнить, что система может быть сколь угодно красива в плане пользовательского интерфейса, содержать массу высокотехнологичных и сложных технологий контентного анализа для накопленных в архиве журналов и теневых копий, массу способов формирования отчетов и различных досье – но если на уровне перехвата каналов печати, передачи и сохранения данных возможности системы слабоваты – по сути, нечего будет и анализировать...

Александр Ковалёв

– Обратить внимание стоит на то, насколько заявленный вендором функционал реально работает. Бывает, что на сайте написано, что есть контентный анализ документов при печати или архив всей перехваченной информации, а в продукте при внедрении это куда-то пропадает. Или продукт вроде бы рассчитан на большие нагрузки, а красивая на демонстрации Web-консоль зависает при просмотре списка 100 инцидентов или просто использования на каком-нибудь условном Internet Explorer 10 пятилетней давности. А после покупки с этим уже ничего не поделаешь – придется работать.

Виолетта Красова

– Сейчас разработчики DLP хвастаются большим количеством функций и возможностью тонких настроек, в которых зачастую не так просто разобраться. Предлагаемый нами главный критерий выбора – обязательное проведение пилотного проекта. В рамках пилота заказчик сможет оценить реальную совместимость DLP-системы с существующей ИТ-инфраструктурой; проанализировать, насколько тестируемая система защиты информации способна решить пул задач, поставленных перед организацией. И не стоит забывать и о том, что без качественного обследования бизнес-процессов, выявления образцов конфиденциальной информации, проработки мошеннических схем ни одна DLP-система не даст ожидаемого результата.

Валентин Крохин

– По нашему мнению, любая DLP-система должна уметь блокировать передачу данных, т.е. иметь возможность установки "в разрыв". Любые спекуляции по этому вопросу могут стать для безопасника серьезной головной болью во время эксплуатации решения. Кроме этого, решение должно иметь полный архив перехваченной информации, т.е. хранить не только инциденты, а вообще все пойманные данные. Это сильно помогает при проведении расследований. Ну и, конечно, стоит обратить внимание на инструменты аналитики, такие как досье, графы связей и отчетность, ведь выбирая DLP-решение, заказчик планирует автоматизировать процессы контроля коммуникаций сотрудников для выявления угроз на предприятии. Без удобных аналитических инструментов добиться этого будет сложно.

Александр Суханов

– Для начала надо понять, какие задачи DLP-система будет решать в компании. При выборе DLP вы значительно упростите себе задачу, если заранее определитесь, требуется ли вам выявление нелояльных сотрудников и потенциальных каналов утечки информации, необходим ли архив всего трафика предприятия, приведена ли система внутреннего контроля в соответствие с требованиями регуляторов.

Также следует обратить внимание на количество контролируемых каналов, что особенно важно при появлении все новых мессенджеров и соцсетей. Не менее важен вопрос аналитических возможностей DLP-решения в расследовании инцидентов. Хорошо, если в DLP-системе есть возможность детального анализа данных за любой период времени, это позволяет выявить все связи недобросовестных сотрудников и отследить все пути передачи конфиденциальных документов, и все это в виде наглядных графических отчетов. То есть расследование по выявлению группы инсайдеров, занимающее у безопасника недели, с помощью современной DLP-системы составит несколько минут. Если компания постоянно развивается – важен такой параметр, как масштабируемость системы и возможности ее работы в распределенных сетях.

И, конечно, DLP-система должна быть интуитивно понятной, с удобным и наглядным интерфейсом, чтобы не тратить много времени на освоение ее функций.

Владислав Вайц

– Если рассматривать перспективы в плане рынка – думаю, еще долгие годы будет рост. Отдельно хотел бы подчеркнуть перспективы в плане функционала. Непременно будет развитие DLP-систем в части автоматического анализа речи, различных медиафайлов. Также впечатлило заявление одного российского производителя о разработке системы контроля разговоров по корпоративным мобильным телефонам.

Александр Ковалёв

– Все более конкурентоспособными становятся комплексные решения, которые защищают компании от всего спектра внутренних атак. К примеру, сегодня актуальна угроза, исходящая от привилегированных пользователей и администраторов сети. Однако решений, защищающих и от обычных утечек, и от злоупотреблений со стороны привилегированных пользователей, сегодня на рынке нет. Поэтому в 2016–2017 гг. продукты будут развиваться в сторону расширения функционала, отвечая на новые угрозы.

Виолетта Красова

– Рынок DLP-решений уже насыщен на сегодняшний день. И разработчики будут выходить на новые рынки и нащупывать нестандартные способы применения систем. Например, DLP можно использовать в качестве системы контроля рабочего времени или контроля действий привилегированных пользователей.

Валентин Крохин

– Судя по данным из отчетов ведущих аналитических агентств, на Западе рынок DLP находится в некоторой стагнации. Их решения всегда были ориентированы в первую очередь на выполнение требований регуляторов, а не на выявление реальных угроз, поэтому сейчас уперлись в стеклянный потолок развития. Например, RSA ушли с рынка DLP, потому что не видят перспектив его развития. С другой стороны, появляются много стартапов, которые делают интересную аналитику на основе DLP-данных. С нашей точки зрения, будущее именно за аналитикой и выявлением угроз на ранней стадии. Выявление аномалий и поведенческий анализ помогут заказчикам еще быстрее выявлять корпоративное мошенничество и прочие нарушения на предприятии.

Александр Суханов

– Все больше компаний понимают необходимость внедрения DLP-решений для снижения рисков утечки информации. Даже Центробанк обратил внимание на этот вопрос и выпустил рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации", действующие с 11 апреля 2016 г. В качестве трендов на 2017 г. стоит рассматривать дальнейшее развитие аналитических возможностей DLP-систем, минимизацию рутинных действий безопасника и усовершенствование технологий блокировок утечки документов ограниченного доступа.