На российском рынке средств информационной безопасности представлены десятки DLP-систем (от англ. Data Leak Prevention – предотвращение утечек данных). Согласно исследованию аналитического центра Anti-Malware, в 2015 году сегмент DLP-решений показал суммарный рост 17% в рублевом исчислении – и продолжает расти на десятки процентов в год.

Отправной точкой роста стала позиция руководителей крупных и средних российских компаний. Они приняли идею о том, что DLP-продукты являются неотъемлемым компонентом системы информационной безопасности. Теперь, когда отечественные и зарубежные разработчики продолжают наращивать мощности на рынке, потребители столкнулись с проблемой выбора. Сравнить характеристики и протестировать каждую из многочисленных систем в «боевых условиях», чтобы выбрать подходящую – задача трудоемкая и долгая.

С чего начать выбор DLP-системы?

Отсеять неподходящие системы на предварительном этапе поможет грамотное техническое задание. Критерии выбора, которые следует учитывать при составлении документа, включают:

• количество контролируемых каналов;
• надежность и скорость работы системы;
• аналитические возможности;
• экспертиза, опыт и надежность разработчика;
• наличие, качество и быстрота реакции техподдержки;
• цена и стоимость владения системой.

Основное требование к DLP-системе – умение предотвратить утечку конфиденциальных данных по любому из каналов, которые используются в компании. Если решение не «закрывает» хотя бы один, стоит пристально изучить остальные возможности системы и понять, компенсируют ли они отсутствие контроля нужного канала передачи данных.

Базовые функции DLP включают также контроль хранения, использования и перемещения критически важных документов внутри корпоративной инфраструктуры. Часть DLP-решений, представленных на российском ИБ-рынке, позволяют при необходимости блокировать конфиденциальную информацию и делать резервирование (сохранять теневые копии). Ряд DLP-систем способны шифровать данные, чтобы их невозможно было прочитать за периметром компании.

Какой тип DLP-системы выбрать?

Традиционная классификация подразумевает две группы DLP-систем:

• активные, способные блокировать конфиденциальную информацию при обнаружении нарушений;
• пассивные, способные только «наблюдать» за потоками данных без возможности вмешаться и повлиять на процессы.

Современные решения для предотвращения утечек – это комплексы «два в одном», способные работать и в активном, и в пассивном режиме.

Сочетание двух режимов в DLP-системе дает преимущество уже на этапе тестирования. Внедрение DLP активного типа сопровождается риском приостановки отлаженных бизнес-процессов из-за некорректных настроек или неотлаженной реакции на события. Установка DLP-комплекса в пассивном тестовом режиме дает возможность спокойно убедиться, что правила мониторинга и реакции настроены корректно, каналы движения информации – под непрерывным наблюдением, а системы логирования и архивирования не перегружают сетевую инфраструктуру.

Другой критерий классификации DLP-решений – по методам архитектурной реализации.

Хостовые DLP предполагают установку программ-«агентов» на компьютеры пользователей. Агенты следят за соблюдением политик безопасности и не дают совершать потенциально опасные действия, например, запускать ПО со съемных устройств. Одновременно агенты регистрирует все действия пользователей и передают информацию в единую базу. Таким образом ИБ-специалист получает полное представление о том, что происходит в корпоративной сети.

Основное преимущество хостовых решений заключается в более полном контроле каналов передачи информации и действий пользователя на рабочем месте. Агенты фиксируют все операции за компьютером, плюс DLP-решения нового поколения позволяют записывать переговоры сотрудников или, например, подключаются к веб-камере. Недостаток хостовых систем в том, что контроль распространяется только на устройства, которые подключаются напрямую и непосредственно взаимодействуют с рабочей станцией.

При выборе хостовых DLP-систем следует обратить внимание, каким способом устанавливаются агенты на компьютеры пользователей. Функция удаленной установки и администрирования избавит ИБ-специалистов от необходимости вручную ставить агента на каждую рабочую станцию.

Другое важное требование к агентским компонентам хостовых DLP – скрытый режим работы и защита от удаления. Если у пользователя есть права локального администратора и уровень IT-грамотности выше среднего, он потенциально может остановить работу агентов и вывести компьютер из-под «поля зрения» DLP-системы.

Сетевые DLP основаны на применении централизованных серверов, куда перенаправляется копия входящего и исходящего трафика для проверки на соответствие политикам безопасности. Сетевые решения обеспечивают высокий уровень защиты от несанкционированного воздействия, так как позволяют ограничить доступ к выделенному шлюзу и предоставить права администрирования узкому кругу сотрудников.

Область применения сетевых DLP-систем ограничена, соответственно, сетевыми протоколами и каналами: SMTP, POP3, HTTP(S), IMAP, MAPI, NNTP, ICQ, XMPP, MMP, MSN, SIP, FTP и т.д. Весомым аргументом в пользу сетевого DLP-решения будет, соответственно, способность контролировать все протоколы передачи данных, востребованные в компании. С точки зрения администратора безопасности привлекательности сетевому DLP-комплексу добавит легкость внедрения и настройки.

Хостовые и сетевые DLP-системы контролируют разные каналы передачи информации, и логичным шагом разработчиков стала интеграция возможностей разнотипных решений. Практически все современные инструменты предотвращения утечек на ИБ-рынке – универсальные комплексы.

Помимо архитектурных следует учитывать также особенности администрирования DLP-систем. В сравнении нужно учесть алгоритмы развертывания компонентов системы, методы распределения ролей, реализацию консоли управления. Администратору безопасности надо предварительно оценить информативность интерфейса, сложность настройки правил и другие параметры, от которых зависит удобство управления комплексом защиты информации.

Отечественное или иностранное DLP-решение?

Несмотря на то, что зарубежные производители уделяют серьезное внимание локализации продуктов, при прочих равных условиях лучше выбрать систему с «родными» лингвистическими алгоритмами.

Для государственных организаций и учреждений в России выбор в пользу отечественных DLP-решений продиктован законом об импортозамещении. В государственном секторе при проведении тендеров российские решения пользуются преференциями. Кроме того, в системах обеспечения информационной безопасности рекомендуется использовать продукты, сертифицированные регуляторами, например, ФСТЭК. Для государственных учреждений использование несертифицированных DLP-систем недопустимо, а при внедрении ИБ-решений, например, в структурах Газпрома или Центрального банка, требуются сертификаты «внутренних» регуляторов.

Аналитические возможности DLP-систем

Определить, отвечает ли DLP-решение задачам компании, помогут четыре параметра.

Формирование отчетности зависит от возможностей DLP-системы не только вести мониторинг, но и архивировать перехваченную информацию. Теневая копия может включать различные типы данных: веб-траффик; почтовые отправления; активность на принтерах; файлы, записываемые на USB-носители; информацию, проходящую по сетевым протоколам. Теневое копирование является эффективным средством расследования инцидентов, однако возможность сохранять «резервную копию» заложена не во всех DLP-системах. Причина – дополнительная нагрузка на сетевые ресурсы и рабочие станции конечных пользователей.

Сколько стоит DLP?

Важный критерий, который сузит круг подходящих решений на этапе формирования требований к DLP-системе, – цена продукта. Хостовые и сетевые системы стоят дешевле универсальных. Общий принцип ценообразования сводится к простой формуле: чем больше дополнительных опций, тем выше конечная стоимость решения.

Цена DLP-системы прямо пропорциональна наличию расширенного инструментария, включая механизм распознавания текста в изображении, модули лингвистического анализа, технологии самообучения и другие функции. Чем выше требования к защите корпоративной информации и чем солиднее бюджет на информационную безопасность, тем более «продвинутой» будет DLP-система. К «продвинутым» функциям, например, относят:

• способность определять транслитерацию;
• анализ текста по методу Байеса;
• применение сигнатур и регулярных выражений;
• технологию «цифровых отпечатков» для анализа документов с мало изменяемой структурой и содержанием;
• модули OCR (Optical Character Recognition – оптического распознавания символов) и другие высокотехнологичные средства контентного анализа.

Затраты на DLP-систему включают не только стоимость самого продукта. Окончательная сумма формируется по нескольким статьям расходов.

Один из вариантов снизить стоимость решения – выяснить, есть ли возможность купить отдельные модули DLP, чтобы не переплачивать за ненужные каналы перехвата.

Заключительный этап

Перед тем, как выбрать единственно верное DLP-решение, следует провести испытания под реальной нагрузкой. Для тестирования необходимо выбрать 2-3 системы в соответствии с техническим заданием и бюджетом. Тестированию DLP-системы предшествует составление программы и методики испытаний. Чтобы выявить все нюансы и проверить надежность ПО, потребуется от двух недель до месяца. По итогам останется только сравнить результаты и выбрать DLP, соответствующую всем критериям.