Файл: ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ПОСТРОЕНИЯ И ФУНКЦИОНИРОВАНИЯ DLP-СИСТЕМ.pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 18.06.2023

Просмотров: 135

Скачиваний: 6

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Во-первых, имеют место разные области применения у систем разных типов. Как правило, хостовые DLP-решения позволяют контролировать всевозможные локальные, а сетевые, в свою очередь, – интернет-каналы утечки конфиденциальной информации.

Так как организации зачастую нуждаются в полной защите, то им необходимо и то, и другое.

Во-вторых, существуют некоторые технологические особенности и ограничения, которые не позволяют сугубо шлюзовым DLP-системам полностью контролировать все необходимые интернет-каналы.

Поскольку полностью запретить использование потенциально опасных каналов передачи данных не представляется возможным, то можно поставить их под контроль. Контроль непосредственно заключается в мониторинге всей передаваемой информации, выявлении среди нее конфиденциальной и выполнение тех или иных операций, заданных политикой безопасности организации. Следует отметить, что основной, наиболее важной и трудоемкой задачей является анализ данных. Именно от его качества зависит эффективность работы всей DLP-системы.[15]

Все рассматриваемые российские решения имеют определенные различия в архитектуре, политике лицензирования, функциональных возможностях и аналитических методах. Однако все из них служат общей цели – предотвращению утечек чувствительной информации в организации.

В связи с этим многие эксперты для обзора подбирают такие параметры сравнения, по которым можно сделать вывод о применимости и пользе конкретного решения. Идеального средства не существует, и каждой конкретной организации важно выделить для себя ряд наиболее важных для нее признаков, по результатам анализа которых и будет сделан вывод о внедрении того или иного продукта.[16]

На рисунке 8 можно увидеть наиболее популярные версии самых распространенных в России решений класса DLP.

Рисунок 8. Наиболее популярные версии распространенных в России решений класса DLP[17]

Как правило, при выборе DLP-системы сравнивают такие параметры, как:

  • общую информацию;
  • режимы работы;
  • производительность;
  • доступ к системе, хранение и выгрузку данных;
  • интеграцию;
  • контролируемые каналы, протоколы и сервисы;
  • активный поиск защищаемой информации;
  • механизмы контроля пользователей;
  • мониторинг состояния агентов рабочих мест;
  • работу с собранными данными;
  • системные требования;
  • схемы поставок.

Отметим, что каждый производитель имеет собственную политику лицензирования и поставки продуктов, из-за чего некоторые их возможности распределены по отдельным модулям. В целях унификации и формирования целостного мнения о том или ином решении выполнение каждой из функций «засчитывалось», если она доступна хотя бы в одном из поставляемых модулей в рамках одной концептуально оформленной DLP-системы, и «не засчитывалось», если выполняется сторонним партнерским продуктом.

При работе с отечественными ИТ-решениями в целом и с продуктами в области информационной безопасности в частности нередко встает вопрос о своевременном получении обновлений от производителя. До недавнего времени разработчики не всегда уделяли этому компоненту должное внимание. Однако на текущий момент практически все вендоры DLP-решений так или иначе поставляют потребителю необходимые обновления с установленной периодичностью. На улучшение ситуации не в последнюю очередь повлияло ужесточение требований со стороны регуляторов, которые контролируют выполнение указанных мер со стороны лицензиатов и заявителей на сертификацию.[18]

На практике проведено много сравнительных анализов, которые позволяют сделать вывод, что в процессе развития своих продуктов производители стараются перенимать лучшие практике друг у друга, обогащая функционал как на основании общих тенденций рынка, так и с учетом пожеланий своих заказчиков. Однако есть и интересные моменты, связанные с собственной уникальной технологической стратегией и особенностями позиционирования, характерные для каждого решения. Остановимся на некоторых из них.[19]

Версия Гарда Предприятие.

Среди преимуществ данной версии можно выделить следующее (рисунок 9).

Рисунок 9. Основные преимущества версии Гарда Предприятие[20]

Среди основных недостатков данной версии можно выделить следующее:

  • отсутствуют агенты под специализированные ОС (MacOS, мобильные платформы, *nix).
  • отсутствие тесной интеграции со сторонними, прежде всего, защитными решениями.
  • отсутствует блокировка писем электронной почты.

Версия Infowatch Traffic monitor Enterprise.

Среди преимуществ данной версии можно выделить следующее (рисунок 10).

Рисунок 10. Основные преимущества версии Infowatch Traffic monitor Enterprise

Данная версия наряду с преимуществами имеет и недостатки. Среди основных недостатков данной версии можно выделить следующее:


  • Политика лицензирования, учитывающая не только отдельные модули, но и технологии.
  • наличие высокой модульности решения на текущий момент может частично препятствовать удобному управлению через единую консоль.

Версия Контур информационной безопасности.

Среди преимуществ данной версии можно выделить следующее:

  • наличие модульной, но в тоже время достаточно удобной системы лицензирования;
  • наличие большого числа категорированных лингвистических словарей с гибкими настройками;
  • наличие собственной системы распознавания голоса;
  • наличие большого числа технологий, которые ориентированы на тотальный контроль действий пользователя на рабочем месте;
  • возможность получения важного дополнительного источника данных, благодаря интеграции с системами СКУД;
  • тесную интеграцию с собственной SIEM-системой;
  • наличие функционала шифрования данных на USB-устройствах.

Данная версия также наряду с преимуществами имеет и недостатки. Среди основных недостатков данной версии можно выделить следующее:

  • работа основной части решения на платформе Windows;
  • наличие разных консолей управления для разных компонентов;
  • необходимость наличия лицензий сторонних производителей.

Версия SecureTower.

Среди преимуществ данной версии можно выделить следующее:

  • наличие низких системных требований;
  • возможность интеграции с сетевым решение EtherSensor;
  • высокую скорость внедрения при наличии всех классических технологий контроля;
  • широкие возможности по блокировкам;
  • поддержка контроля всевозможных мессенджеров, как современных, так и устаревших;
  • удобную систему лицензирования и масштабирования. [21]

Среди основных недостатков данной версии можно выделить следующее:

  • отсутствуют агенты под специализированные ОС (MacOS, мобильные платформы, *nix).
  • наличие разных консолей управления для разных компонентов;
  • отсутствие подтверждения присутствия в реестре отечественного программного обеспечения.

Версия Zecurion DLP (Zgate, Zlock, Zdiscovery).

Среди преимуществ данной версии можно выделить следующее:

  • наличие широкого набора зрелых технологий по распознаванию и анализу;
  • наличие в ассортименте производителя полного комплекса продуктов по направлениям близким к DLP и защите от внутренних угроз;
  • наличие агента под MacOS;
  • производитель предоставляет полный спектр консалтинговых услуг по информационной безопасности;
  • наличие единого веб-интерфейса анализа оперативной обстановки и отчетности;
  • тесную интеграцию с большим числом собственных продуктов;
  • поведенческую аналитику.[22]

Данная версия также наряду с преимуществами имеет и недостатки. Среди основных недостатков данной версии можно выделить следующее:

Комплексное DLP-решение состоит из отдельных продуктов, каждый из которых, в общем случае, со своей системой лицензирования, установки и управления.

  • отсутствие контроля IP-телефонии;
  • наличие сертификата ФСТЭК только на один (не основной) продукт в составе всего решения. [23]

Версия Solar Dozor.

Среди преимуществ данной версии можно выделить следующее.

  • наличие единого веб-интерфейса управления, одного из самых зрелых на рынке;
  • концептуально иной подход к работе с DLP, который основан на контроле оперативной обстановки и инцидент-менеджменте;
  • широкую поддержку агентом альтернативных системе Windows операционных систем;
  • интеграцию с большим числом сторонних бизнес-решений;
  • тесную интеграцию с собственными решениями по безопасности, а также с сервисом JSOC;
  • собственную интерпретацию поведенческой аналитики, появившаяся в продукте раньше, чем у конкурентов;
  • наличие большого числа визуально-воспринимаемых и структурированных карт, диаграмм, отчетов.[24]

Данная версия наряду с преимуществами имеет и недостатки. Среди основных недостатков данной версии можно выделить следующее:

  • отсутствует поддержка ряда популярных протоколов;
  • по сравнению с конкурентами, наличие небольшого числа технологий анализа;
  • наличие недостаточно полного функционала по контролю рабочих мест пользователей;
  • отсутствуют некоторые аспекты, которые необходимо учесть при рассмотрении всех представленных в обзоре DLP-решений:

Несмотря на заявленный некоторыми производителями функционал поведенческого анализа, его реальную практическую пользу можно будет оценить спустя некоторое время, необходимое на «обкатку» такого нововведения.[25]

Из вышесказанного следует, что существуют разные DLP-системы, каждая из которых имеет свои плюсы и минусы. Каждая организация выбирает наиболее оптимальный для нее вариант.

2.2 Проблемы внедрения и перспективы развития DLP-систем

Компаниям часто приходится сталкивать с проблемами по внедрению DLP-решений и решать проблемы, возникающие на этапе их развертывания и последующей эксплуатации.[26]


Нет никакой оценки рисков утечки. Изначально оценка рисков необходима для определения целесообразности внедрения DLP-решения и обоснования бюджета проекта, однако ее результаты будут полезны и на этапах разработки политик безопасности, технического внедрения и последующей эксплуатации. При этом далеко не всегда оценка рисков подразумевает сложную, непонятную и дорогую процедуру — часто вполне достаточно развернуто ответить на вопросы: что защищаем? от кого защищаем? каков прогнозируемый ущерб от утечки? Упрощенную оценку рисков можно провести сравнительно небольшими силами, а детальную — уже с привлечением внешних аудиторских фирм.[27]

Не согласовали политики безопасности. Важный момент — предварительное согласование конкретных политик безопасности, которые будут реализовываться средствами DLP. В каждой DLP-системе существуют специальные политики — набор условий (содержание пересылаемого за пределы организации документа, тип данных, канал передачи, отправитель, получатель и т. д.) и действий (заблокировать, задержать и отправить на ручную проверку сотруднику службы безопасности, пропустить и, иногда, сохранить в архиве).

Количество возможных условий и действий зависит от возможностей DLP-системы и напрямую определяет, насколько хорошо система может выполнять свое основное предназначение — блокировку утечек. Согласитесь, довольно странно, если после технического внедрения системы вы подойдете к руководству с вопросом «а что делать дальше?», ведь нельзя просто взять и фактически ограничить множество бизнес-процессов. Кроме того, четкое понимание структуры защищаемых данных, перечня контролируемых каналов и необходимых действий при обнаружении потенциальной утечки поможет с выбором самой системы. [28]

Зачастую организации решают внедрить быстро, несмотря на достаточно сложный процесс внедрения DLP-систем. Любую сложную систему необходимо внедрять поэтапно, DLP в этом случае не исключение. Изначально лучше разворачивать систему в так называемом «пассивном режиме». Этот режим никак не влияет на существующий трафик, даже если в нем обнаруживаются какие-то нарушения, и он безопасен для существующих бизнес-процессов в случае технических проблем или ошибок при добавлении политик (можно не опасаться, что письма генерального директора окажутся заблокированными). В «пассивном режиме» необходимо проверить все заявленные возможности, создать политики и проверить стабильность системы на реальных данных (обычно это обеспечивается зеркалированием сетевого трафика с коммутатора на DLP). Лучше потратить несколько недель на обкатку системы, чем рисковать появлением серьезных проблем с «бизнесом». Также замечу, что и в «пассивном», и в «боевом» режимах внедрять разработанные политики необходимо шаг за шагом, опираясь на их приоритетность. [29]