DLP-системы нового поколения
В известной аббревиатуре DLP (Data Loss Prevention) обозначена непосредственная задача, которую решает данная система, а именно — защищает от утечек конфиденциальной информации. Сегодня же в какой-то мере система DLP является “заложницей” своей аббревиатуры, ведь современная система нового поколения — DLP Next Generation — уже не только решает задачу по предотвращению умышленных и случайных утечек, но и помогает бизнесу справляться сразу с несколькими глобальными проблемами. Что же из себя представляет система DLP Next Generation и какие решает задачи?
Оригинальная статья Ксении Головко (Zecurion) с сайта https://www.itsec.ru/
Сегодня на рынке присутствуют разные по своей функциональности DLP-системы:
- полноценные DLP с большими возможностями контроля и блокировки передачи информации и анализа данных;
- системы с частичным функционалом DLP, которые могут отследить перемещение данных, но не могут предотвратить утечку;
- системы другого класса со встроенным модулем DLP.
Разные системы решают различный спектр задач. Для того чтобы разобраться в этом, важно понимать, как они эволюционировали.
Эволюция DLP
Изначально DLP-рынок возник из проблемы Compliance (выполнение требований законодательства), в частности с того момента, когда регуляторы обратили внимание на утечки информации в компаниях и разработали ряд законов и отраслевых стандартов относительно защиты информации от внутренних угроз, которых нужно было каким-то образом придерживаться. Для решения задачи информационной безопасности вендоры предоставили бизнесу специальный инструмент — DLP-систему.
Второй этап разработки — DLP для защиты коммерческой тайны. Если раньше системой пользовались организации, в основном оперирующие персональными и финансовыми данными клиентов, то в дальнейшем у этих же организаций возник спрос на защиту собственной коммерческой информации. Это дало толчок для пересмотра концепции DLP и ее переформатирования в более сложную систему для максимального контроля каналов передачи данных.
Следующим шагом стала DLP для внутренней безопасности, то есть система уже не только предотвращала утечку информации, но и позволяла детально анализировать информацию и выявлять инциденты. Возможности такой DLP отчасти пополнились функционалом других классов ИБ-систем, таких как платформы для расследования инцидентов и даже SOC. Данный класс DLP начал формироваться относительно недавно. Это означает, что пока на рынке не так много разработчиков, готовых предложить клиентам возможность полноценно анализировать данные и события.
DLP как класс ИБ-решений в силу своей специфики и задач окупается не сразу, и у бизнеса возникают вопросы по поводу обоснования использования и эффективности системы. В итоге вендоры стали наращивать свои компетенции, чтобы предоставить заказчику не просто инструмент для предотвращения утечки информации, а конкретное решение бизнес-задач, которое будет приносить видимые результаты уже на ранних стадиях использования, например выявлять корпоративные преступления как в режиме реального времени, так и ретроспективно.
Новое поколение DLP — борьба с корпоративными мошенниками
После того как полноценные DLP созрели в своих аналитических возможностях по выявлению инцидентов, вендоры обратили внимание на применение системы для борьбы с мошенничеством в компаниях, в том числе с экономическими преступлениями. Архив большого количества информации о пользователях, собранной DLP-решением, анализ действий сотрудников и предоставление специалистам службы информационной безопасности максимального количества инструментов — одни из основных векторов развития DLP Next Generation. Какими характеристиками должна обладать DLP-система нового поколения?
Полный архив файлов, событий, инцидентов
Во-первых, такие системы ведут полный архив передаваемых и найденных файлов, событий и инцидентов, в отличие от предыдущих поколений DLP, которые фиксировали только случаи несоблюдения политик безопасности. Благодаря возможности системы фиксировать и сохранять такую детальную информацию департамент безопасности может видеть как общую картину состояния защищенности предприятия, так и детально расследовать инциденты внутренней безопасности вплоть до составления досье на сотрудника и его круг общения.
Управление и расследование
Удобство управления и широкие возможности по расследованию инцидентов — одни из важнейших показателей современной DLP-системы. Речь идет о наличии единого для всех компонентов DLP веб-интерфейса с возможностью построения различных отчетов, начиная от досье сотрудников со списком их взаимодействий с другими пользователями и заканчивая специальным отчетом для топ-менеджеров компании.
То же самое относится и к администрированию. Несмотря на стремительное развитие системы, до сих пор головной болью администраторов остается управление несколькими консолями с разными настройками для каждого модуля DLP у некоторых вендоров.
Аналогичная ситуация с установкой. Если раньше на нее требовалось много времени, то сегодня есть возможность максимально упростить внедрение в почти любую инфраструктуру. Например, у Zecurion есть собственный сервер установки, который позволяет заказчику самостоятельно управлять внедрением, обновлением и обслуживанием системы без привлечения ИТ-департамента, использования групповых политик домена или других решений.
Поведенческий анализ (UBA)
Новый уровень DLP-систем представляет собой совокупность основных возможностей перехвата и блокировки передачи данных и функционала других классов ИБ-решений, например поведенческого анализа пользователей, или UBA (User Behavior Analytics). DLP-вендоры обратили внимание на данный класс решений, позволяющих выявлять стандартное поведение работников, а в случае отклонения от этих норм — принимать меры, к примеру уделять больше внимания подозрительным сотрудникам. Разработчики DLP пришли к выводу, что такой функционал будет отличным дополнением к системе, которая находится в стадии трансформации в ИБ-решение тотального контроля пользователей. Однако данный функционал все еще развивается, и пока полноценный поведенческий анализ реализован лишь в выборочных DLP, в числе которых продукты Zecurion.
Контроль эмоционального состояния
Помимо анализа поведения сотрудников, можно оценивать уровень их эмоционального состояния. Система анализирует и оценивает всю лексику исходящих сообщений пользователя в мессенджерах, электронной почте и соцсетях. Анализ проводится на основе специального встроенного словаря тональной лексики, который состоит из “эмоциональных” слов, часто используемых человеком, в том числе в разговорной речи. В свою очередь, список структурируется по определенным типам эмоций: радость, доверие, ожидание, грусть, недовольство, страх, удивление, злость. Анализ динамики эмоционального состояния позволяет выделять тех сотрудников, кто может попасть в группу риска. Таких можно также взять на особый контроль.
Архитектура решения
Споры о том, что лучше — агентская DLP-система или шлюзовая, ведутся давно. Каждый из вариантов имеет не только преимущества, но и недостатки. Компенсировать их позволяет смешанная архитектура (см. рис.) с компонентами контроля информационных потоков на почтовом и сетевом шлюзах, рабочих станциях, модулем для выявления мест хранения конфиденциальной информации (Discovery) и общими сервисами, такими как архив.
Рис. Архитектура DLP Next Generation
Поскольку внутренние сети многих компаний устроены по-разному, а бизнес- процессы существенно различаются, для современной DLP важно быть гибкой в плане установки и интеграции. Этому способствуют модульность и наличие компонентов для контроля на разных участках сети.
Криптопериметр
Иными словами, это контентно-зависимое шифрование. DLP может принудительно шифровать файлы при копировании их на съемные устройства в зависимости от настроенных политик безопасности. Такой функционал позволяет избегать популярного сценария утечки, когда сотрудники теряют флешки с конфиденциальными данными, а также в случае кражи или использования устройства третьими лицами. Криптопериметр — уникальная функция для DLP-систем и является принципиальным отличием Zecurion DLP от существующих на рынке решений.
Расширенные возможности мониторинга действий
Сбор большого объема информации о пользователях, анализ действий сотрудников и предоставление специалистам службы безопасности максимального количества данных о пользователях — ключевые направления развития DLP в ближайшие годы. Поэтому расширенные возможности мониторинга действий сотрудников — еще один показатель современной DLP-системы. Сюда входят достаточно простые методы контроля за действиями, но при необходимости они могут сильно помочь в расследовании серьезного инцидента. К таким методам относятся отслеживание нажатий клавиатуры (кейлогер), запись звуков через микрофон контролируемого компьютера, создание снимков с фронтальной веб-камеры.
Camera Detector
Это уникальная в своем роде технология с функцией защиты от фотографирования экрана компьютера, разработанная компанией Zecurion. Встроенная технология определяет устройство, сообщает об этом офицеру безопасности и сохраняет инцидент в архиве с информацией о том, на каком компьютере и в какое время это было сделано. Такой инструмент востребован в первую очередь среди финансовых организаций и компаний, работающих с большими объемами персональных данных, которые могут быть украдены третьими лицами.
Создание единой платформы защиты
Базовые технологии DLP давно доведены до совершенства, и сейчас вендоры сосредоточились на повышении удобства использования системы и возможности полноценного расследования инцидентов. При этом развитие систем диктуется не только требованиями заказчиков, но и появлением новых инсайдерских угроз, в числе которых специфическое фотографирование монитора на смартфон, а также мошеннические схемы вплоть до экономических преступлений.
Можно с уверенностью говорить, что сегодня основным вектором развития DLP является возможность эффективного предотвращения мошенничества. Достигается это путем развития единой платформы для аналитической работы, полноценного расследования инцидентов и защиты не только конфиденциальных данных, но и денежных средств компании.
Originally published at http://www.itsec.ru.
