Рынок DLP: итоги 2013, тенденции 2014, перспективы 2015

1. 2013-й год стал годом громких разоблачений и шпионских скандалов, тема утечки информации недостатка внимания со стороны СМИ не испытывала. Секретные документы Сноудена, многомиллионные утечки из Adobe, Target, Evernote и других компаний – в течение всего года эти инциденты активно обсуждались в прессе и в среде профессионалов ИБ. Постепенно ужесточается ответственность организаций за утечку информации не только в России, но и во всем мире. К примеру, в США в прошлом году Citigroup за утечку коммерческой информации заплатила рекордный $30-миллионый штраф.

Если же говорить о сегменте DLP с позиции вендора, пожалуй, главное событие – это взрывной (на десятки процентов) рост российского рынка, заметно опередившего по темпам роста мировой рынок.

2. В корпоративной среде постоянно расширяется экосистема используемых устройств (в том числе благодаря популяризации концепции BYOD). В результате появляется спрос на DLP-системы, которые могли бы контролировать информационные потоки, проходящие через устройства на базе мобильных платформ, Android, MacOS и др.

Особое внимание уделяется компонентам DLP, помогающим защитить данные на этапе хранения. Во-первых, это discovery-модули, выявляющие места несанкционированного хранения конфиденциальной информации. Во-вторых, средства шифрования, позволяющие исключить несанкционированный доступ к данным и исключающие целый класс утечек, связанных с кражей и утерей мобильных носителей информации.

Со стороны малого бизнеса следует отметить интерес к типовым DLP-проектам, которые можно реализовать в короткие сроки и с минимальными затратами на внедрение и настройку. В этом сегменте компании не могут позволить себе нанимать дорогостоящих консультантов, которые "съедят" в несколько раз больше денег, чем стоит сама DLP-система.

3. На основе тенденций, выявленных в исследовании Zecurion Analytics "Утечки конфиденциальной информации. Итоги 2013 г.", в 2014–2015 гг. можно ожидать увеличения краж инсайдерской информации из банков. Мошеннические схемы, связанные с эмиссией и эквайрингом пластиковых карт, а также с удаленным банковским обслуживанием, оказываются чрезвычайно эффективными. Они позволяют злоумышленникам быстро монетизировать полученную информацию, а цепочке исполнителей, каждый из которых выполняет свою достаточно узкую функцию, – замести следы и минимизировать собственные риски, когда несанкционированные списания со своих счетов обнаружат клиенты банков.

Если говорить о перспективах рынка DLP, в России продолжат укреплять свои доли ведущие разработчики, в результате рынок будет поделен фактически между тремя игроками, суммарная доля которых будет составлять порядка 80–90%. Доли малых игроков рынка в большинстве своем будут снижаться. Неочевидны перспективы и крупных западных вендоров. Особенно с учетом курса на импортозамещение в высокотехнологичных отраслях. Впрочем, доли крупных западных игроков на российском рынке DLP и сегодня относительно невелики. Виной тому слабая адаптация продуктов к условиям эксплуатации в России и высокая технологическая зрелость российских игроков, концентрирующих свои усилия на развитии именно DLP-систем, в то время как западные вендоры выпускают многочисленные линейки продуктов для различных сегментов и направлений ИБ.

1. Мы отметили усиление внимания СМИ и регуляторов отрасли, особенно Роскомнадзора, к утечкам информации, и в частности к утечкам ПДн. Однако несмотря на это, а также на доступность и распространенность средств мониторинга и защиты информации, количество утечек ПДн, зафиксированных аналитическим центром InfoWatch, не только не сокращается, но и, наоборот, увеличивается. Угрозы утечки данных не становятся менее актуальными.

В 2013 г. были утверждены приказы ФСТЭК России № 21 (о ПДн) и № 17 (о государственных системах). В них впервые определены меры защиты информации, которые могут быть реализованы исключительно с помощью DLP-систем. Я говорю о мере ОЦЛ.5 "Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы". В начале 2014 г. был утвержден методический документ ФСТЭК России "Меры защиты информации в государственных информационных системах", в котором детализированы требования по функционалу DLP-систем.

Другим важным моментом стало то, что основные регуляторы (ФСТЭК России, ЦБ РФ) подготовили еще несколько проектов документов, которые будут приняты в 2014 г. и предоставляют требования и рекомендации по защите информации от утечек и использованию систем типа DLP. Со стороны ЦБ РФ это обновление СТО БР ИББС 1.0 и рекомендации (РС) по управлению инцидентами и защите от утечек (в том числе и рекомендации по составлению модели угроз утечки информации). Также сейчас во ФСТЭК России идет обсуждение проекта комплекта документов по сертификации DLP-систем, финальную версию которого мы ожидаем увидеть примерно через три месяца. В дальнейшем все DLP-системы будут сертифицироваться именно по этим новым требованиям.

2. Заказчики все больше внимания уделяют двум вопросам: как лучше настроить политики DLP-системы и какие еще меры должны быть приняты в компании для снижения рисков утечки информации и обеспечения возможности преследовать нарушителей "по закону". Необходимо помогать заказчикам разрабатывать необходимые внутренние организационно-распорядительные документы (политики, процедуры, формы согласия, перечни информации ограниченного доступа и пр.), давать рекомендации по ролевой модели управления инцидентами и настройке правил реагирования DLP-систем. Также в нашей практике уже несколько раз были случаи, когда заказчики просили оценить текущий уровень защиты от внутренних угроз и разработать частную модель угроз утечки информации.

3. В 2014–2015 гг. мы ожидаем повышения штрафов (КоАП) за нарушение требований по обработке и защите ПДн, появления штрафов за инциденты с ПДн, в том числе и за утечки ПДн. Также высока вероятность того, что операторов ПДн обяжут уведомлять Роскомнадзор обо всех инцидентах неправомерного разглашения и/или потери ПДн.

1. Во-первых, мировой рынок DLP близок к консолидации. После того как General Dynamics поглотил производителя DLP-шлюзов Fidelis Security Systems в конце 2012 г. и Palisade Systems в 2013 г. был куплен компанией Absolute Software, в отрасли осталось только три-четыре независимых pure-play DLP-вендора, продукция которых находит спрос на международных рынках, в том числе – DeviceLock (“Смарт Лайн Инк”). В Европе еще есть несколько небольших DLP-компаний, но их продукты неконкурентны за границей, а продажи ограничены национальными рынками.

Во-вторых, особенностью прошлого года также стало резкое увеличение крупномасштабных утечек данных в организациях по всему миру, и особенно в США. Этот фактор весьма благоприятно влияет на спрос на DLP-продукты, поскольку в отличие от ситуации двух-трехлетней давности сейчас уже никому не надо объяснять, что такое утечка корпоративных данных и насколько велик может быть ущерб от таких случаев. Клиентов уже не надо убеждать в реальности этой угрозы – это делает статистика.

2. Гораздо более жесткие требования предъявляются к качеству контроля различных сетевых коммуникаций пользователей корпоративных ПК, включая предотвращение утечек при использовании Skype и других мессенджеров, Web-почты, социальных сетей, а также облачных файлообменных сервисов. Растет уровень понимания необходимости превентивного контроля, когда утечка предотвращается путем блокировки канала передачи данных в форме блокировки или карантина, а не контроля постфактум, когда факт утечки выявляется уже после того, как данные покидают пределы компании. Существенно повысился спрос на DLP-системы endpoint-типа, способные полнофункционально контролировать коммуникационные каналы как сотрудников, работающих внутри корпоративной сети в офисе, так и мобильных сотрудников, находящихся вне офиса – в командировке, в транспорте или дома. Кроме того, организации, использующие системы удаленной виртуализации, все чаще включают в требования к DLP-решениям контроль передачи данных в сеансах удаленных рабочих столов через периферийные устройства, порты и буферы системного обмена удаленных терминалов и BYOD-устройств.

3. Мы прогнозируем дальнейшее поглощение "чистых" небольших DLP-вендоров крупными игроками отрасли ИБ, при этом покупателями будут выступать производители антивирусных продуктов и комплексных систем защиты endpoint-компьютеров, а также крупные системные интеграторы и провайдеры услуг в области ИБ. Мировой рынок DLP продолжит развитие темпами, в среднем более высокими, чем темпы развития рынка ПО и рынка средств защиты данных. Главными трендами развития российского DLP-рынка в 2015 г. будут дальнейшее снижение доли на нем продуктов иностранного производства и усиление влияния российских вендоров, обусловленное мировой геополитической ситуацией. l

1. Основной особенностью стало появление нового подхода к DLP - в центре всей информации (событий, сообщений, инцидентов) стоит человек. Мы приближаемся к западной модели расследования инцидентов, когда недостаточно просто зафиксировать инцидент - каждый случай нарушения политики информационной безопасности должен сопровождаться фамилией нарушителя и кругом сопричастных.

2. Администраторы информационной безопасности хотят учиться расследовать инциденты "по-взрослому" - иметь хороший, удобный технический инструмент для сбора доказательной базы и идентификации нарушителей, который позволит исполнить весь цикл разбора инцидента - от перехвата сообщения, до формирования workflow инцидента и составления досье нарушителя.

Заказчики стали видеть полную картину защиты информации от утечек. Они понимают, что, помимо охвата всех возможных каналов передачи данных, нужно стремиться к повышению интеллектуальности созданного комплекса. Заметно вырос интерес к технологиям, позволяющим производить серьезную аналитику и автоматически реагировать на события.

3. Полагаю, что в ближайшее время большинство вендоров среагирует на желание заказчиков иметь красивую, мощную аналитику и развитый искусственный интеллект. Появятся встроенные механизмы корреляции событий, будут нарисованы наглядные и простые для понимания витрины данных. Все больше и больше будут учитываться базовые бизнес-процессы компаний-заказчиков.

Уже сейчас заметно движение в сторону укрепления законодательной базы. Без сомнения, защита важной информации должна иметь юридическую поддержку, которая позволит усилить желание сотрудников соблюдать установленную  политику информационной безопасности. Уже сейчас есть положительные изменения , правки в ФЗ-98 "О коммерческой тайне"). Это повлечет не только повышение полезной отдачи от уже внедренных систем, но и вызовет рост рынка, спровоцирует увеличение спроса на услуги расследования инцидентов и экспертного консалтинга.

1. 2013 год запомнился увеличением спроса на решения по DLP. Все больше компаний обращают свое внимание на бесконтрольную передачу данных через Web, электронную почту и съемные устройства.

Развитие BYOD и использование мобильных устройств в повседневной работе создают новый вектор потенциальных утечек. Как следствие, все больше производителей как на рынке DLP, так и на рынке MDM добавляют различные технологии для обеспечения защиты от утечки через мобильные устройства (контроль электронной почты, контроль Web-доступа, использование "контейнеров" на мобильных устройствах и т.п.).

Также заметен рост конкуренции как среди отечественных, так и среди зарубежных решений DLP. Это обеспечивает повышение качества предлагаемых продуктов, оказываемой технической поддержки и расширение их функционала.

Необходимо отметить появление новых интересных возможностей в решениях DLP и их реальное использование заказчиками: распознавание текста в изображениях (OCR), машинное обучение (автоматическое обнаружение новых конфиденциальных документов), выявление неизвестных типов шифрования для определения потенциальных каналов утечки (при целенаправленных атаках APT злоумышленник может использовать свое шифрование поверх http/https). Прослеживается все большая интеграция между решениями по Web-безопасности и системами защиты от целенаправленных атак.

Отечественные производители все еще делают упор в своих продуктах на так называемые архиваторы, которые выполняют журналирование всех действий (загрузка данных на Web-сайт, отправка электронных сообщений, копирование данных на съемное устройство) пользователя в свою базу. Использование таких технологий не позволяет проактивно бороться с утечками, требует высокопроизводительного аппаратного обеспечения и использования технологий Big Data, чтобы обеспечить возможность обработки постоянно растущего количества документов.

2. Как правило, внедрение DLP является частью комплексного проекта по обеспечению ИБ.

Сегодня заказчик понимает, что, прежде чем внедрять DLP-систему, необходимо провести классификацию информации, определить места и способы обработки конфиденциальной информации, пользователей, участвующих в обработке и передаче информации, и только после этого переходить к этапу внедрения технических решений по защите от утечек. В противном случае результатом проекта будут технические средства, регистрирующие огромное число ложных срабатываний и нагружающие службу ИБ.

Внедряемая DLP-система должна обладать полноценной системой управления инцидентами с возможностями назначения ответственных сотрудников, отслеживания статусов, оповещения владельцев информации и администраторов, гибкой отчетностью, а также должна предоставлять современные механизмы классификации и идентификации конфиденциальных данных (машинное обучение, цифровые отпечатки, готовые политики). Другими словами, не каждое решение, обеспечивающее контроль данных по ключевым словам или регулярным выражениям, можно отнести к промышленным решениям DLP.

3. Рынок продолжит свой рост. Будут появляться новые решения, которые попытаются занять свою долю рынка.

Решения будут обеспечивать более плотную интеграцию с другими средствами обеспечения ИБ – управление доступом, управление мобильными устройствами, шифрование данных, проведение расследований, системы аналитики и т.д.

Заказчики будут более требовательны к функционалу решений. На мой взгляд, решения типа "архиваторы" будут уходить на второй план, так как обеспечивать эффективную работу с такими архивами довольно трудно.