DLP в структуре ИБ предприятия

За последние 10 лет количество утечек конфиденциальной информации выросло более чем в 5 раз. Налицо также тенденции увеличения количества утечек в категории "персональные данные" и некоторое снижение утечек информации, связанных с платежами и гостайной.

Это позволяет уже говорить о том, что в базовом наборе информационных систем предприятия (прежде всего коммерческого сектора) необходимо иметь DLP-систему (одна из расшифровок этой аббревиатуры – Data Loss Prevention: предотвращение потерь или утечки данных) как необходимый компонент в общей структуре ИБ предприятия. По сути, наличие на предприятии DLP становится уже стандартом в ИТ-ландшафте.

DLP-система – это не только и даже не столько ИТ-система, сколько инструмент для службы безопасности предприятия. Для эффективной работы в ней необходимо иметь понимание видов и источников угроз применительно к персоналу. Функциональные требования к ее возможностям должны исходить в первую очередь из потребностей и задач службы безопасности.

Функциональность

Наиболее востребованные современные DLP-системы в текущих релизах функционально достаточно богаты. Как правило, они содержат несколько модулей, которые заказчик может приобретать еще и по отдельности, без ограничения по количеству контролируемых пользователей (хостов). Распространен также вариант покупки системы на количество пользователей, которых необходимо держать под контролем системы. Стоимость топовых DLP-систем сравнима: компаниям малого и среднего размера наиболее подходит схема покупки по количеству контролируемых пользователей (хостов), при этом стоимость на одного такого пользователя обойдется около 10 000 руб. На предприятиях, где постоянно требуется контролировать работу многих сотен или тысяч сотрудников, более предпочтительна схема покупки модулей DLP-системы, не лимитированных на количество пользователей (хостов). Стоимость системы в таком случае может составлять от нескольких до десятков млн руб.

Рассмотрим кратко основные функциональные модули DLP-систем.

Контроль корпоративной почты

В БД DLP могут сохраняться все почтовые сообщения контролируемого пользователя, несмотря на то, что пользователь может удалить полученное или отправленное сообщение, а восстановление из резервной копии может занимать значительное время или же резервирования почты может не быть вовсе. По адресатам писем может быть построен соответствующий отчет, который даст понимание, с кем и в каком объеме взаимодействует пользователь. Анализ текста писем также происходит. На определенные словоформы происходит срабатывание соответствующих настроек.

Контроль программ обмена сообщениями

Все сообщения мессенджеров контролируемого пользователя могут сохраняться в БД DLP. По настроенным в DLP политикам и правилам происходит срабатывание на определенный контент (в том числе словоформы), оператор DLP оповещается о соответствующих сообщениях от пользователя (пользователю). Здесь стоит заметить, что при выборе DLP необходимо понимать, какие мессенджеры та или иная DLP-система способна контролировать, распознавая их именно как мессенджеры. Несмотря на то, что обмен между клиентом и сервером мессенджера может происходить с помощью средств шифрования мессенджера (или сторонних), DLP-система получает исходные (не зашифрованные) данные, если она поддерживает соответствующий мессенджер.

Контроль печати

Модуль позволяет контролировать файлы, которые пользователь отправляет на печать, сохраняя их в БД DLP. Этот модуль может также использоваться для контроля объемов печати и сбора статистики по печати. Модуль полезен с точки зрения контроля над использованием расходных материалов, которые недешевы.

Контроль внешних накопителей

DLP-система фиксирует подключаемое к рабочему месту устройство, распознавая его. Можно задать перечень разрешенных устройств и зашифровать все данные на них. В случае соответствующей настройки система способна произвести копию всей информации, хранящейся на подключенном внешнем устройстве пользователя, или только файлов, которые считываются/записываются на внешнее устройство (например, накопитель USB или DVD). Крайне полезный модуль, учитывая, что значительная часть утечек происходит через копирование служебной информации на внешние накопители.

Контроль устройств ввода

Чаще всего это логгеры клавиатуры и мыши, которые при соответствующих настройках записывают в БД DLP все нажатия на клавиатуру и движения мыши пользователя. В наиболее продвинутых DLP-системах при этом происходит анализ словоформ, и при соответствующих настройках происходит срабатывание на определенные слова (сочетания) с оповещением оператора DLP в консоли или, например, по электронной почте.

Контроль устройств видеовывода

Позволяет при соответствующих настройках с необходимой периодичностью производить снимки экрана монитора пользователя с записью их в БД DLP для дальнейшего просмотра и анализа оператором.

Контроль работы ПО рабочего места пользователя

Ведет фиксацию начала и окончания использования того или иного пользовательского ПО. Может также контролировать загрузку ресурсов рабочего места пользователя на каждое активное ПО, впрочем, это не основная функция модуля. Его полезность в том, что он дает еще и понимание активности работы пользователя, что бывает необходимо, если ставится задача оценить эффективность работы персонала. По сути, современная DLP-система – это не только средство предотвращения утечки конфиденциальной информации, но и средство мониторинга и оценки эффективности работы сотрудников.

Контроль работы пользователя в браузерах (HTTP, HTTPS)

Крайне необходимый модуль, т.к. значительная часть утечек происходит через Web-приложения, например, Web-почту. Фиксирует все посещаемые сайты (а при соответствующих настройках – с точностью до страницы), вплоть до времени, проведенном на каждом сайте. Обычно этот модуль не привязан к каким-либо браузерам, т.к. контроль ведется на уровне локального "прокси". Еще один аспект использования этого модуля – возможность контроля использования интернет-ресурсов на предмет целесообразности. Такие задачи часто ставят высшие руководители предприятий.

Контроль обмена файлами (FTP, SFTP)

Производит запись копий передаваемых пользователем файлов с фиксацией адреса получателя.

Аудиоконтроль работы пользователя (при наличии подключенного микрофона)

Позволяет вести запись с микрофона, подключенного к рабочему месту пользователя (например, находящегося в web-камере) по заданному расписанию или в центре онлайн-контроля. Фактически, DLP в сочетании с рабочим местом пользователя становится прослушивающей системой.

Видеоконтроль работы пользователя (при наличии подключенной камеры)

Позволяет настроить видеозапись с камеры, подключенной к рабочему месту (как правило, через web-камеру, объектив которой открыт). В большинстве случаев используется совместно с модулем аудио-контроля.

В состав большинства DLP-систем входят также центры: администратора, отчетности, оповещений, онлайн-контроля. При выборе DLP крайне важно, насколько качественно отрабатывают эти центры, насколько они функциональны и удобны для работы оператора системы.

Проблемы использования

Стоит сказать несколько слов также и о проблемах, которые могут возникнуть при использовании DLP.

Как правило, для каждого контролируемого пользователя (хоста), находящегося под контролем DLP-системы, настраивается свой индивидуальный набор перечисленных выше функций. Использование всех имеющихся функций на всех контролируемых пользователях может достаточно быстро и значительно увеличить размер БД DLP, в результате чего формирование отчетов системой может стать долгим, аппаратные ресурсы, обслуживающие БД DLP, также имеют ограничение, а система может быть перегружена избыточной, ненужной информацией.

При исключительной полезности DLP-систем для служб безопасности не стоит забывать, что их использование на предприятии должно быть соответствующим образом регламентировано, а также что некорректное использование информации, полученной с использованием DLP-системы, может повлечь для предприятия негативные правовые последствия.

Наиболее узкими местами в покрытии DLP-системами остаются личные устройства сотрудников, находящиеся вне административного контроля предприятия, на которых допускается хранение и доступ к корпоративной информации и корпоративным информационным системам. Еще одним узким местом является использование ИС, находящихся в публичных или гибридных облаках. В этих случаях защита от предотвращения утечек корпоративной информации должна основываться на соответствующих архитектурах удаленного доступа, административных методах защиты и средствах защиты, разграничения доступа и фиксации действий самих ИС.