Добавлен: 06.07.2023
Просмотров: 72
Скачиваний: 1
DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения при этом блокируется.
В России применение DLP-систем не столь давняя, она началась в начале 00-х. Ранее вопрос сохранности конфиденциальной информации был в приоритете только у государства. В начале этого века защитой информации стал активно интересоваться бизнес и обычные граждане. Главным фактором послужило глубокое внедрение ПК и использование интернета в личных и в рабочих целях.
Сейчас это кажется забавным и странным, но 10 лет назад самым популярным способом передачи документа, было его копирование на носитель или распечатка. С появлением новых каналов передачи информации, и это стало влечь за собой необходимость контроля информации. Кроме того, у обычных пользователей значительно повысился уровень владения компьютером, а вместе с этим вырос риск утечек данных.
За рубежом всё иначе
Западный и российский подходы к защите информации сильно отличаются, законодательно и на уровне менталитета. Западные система не заточена под сбор абсолютно всей информации. Запад работает как “черный ящик” — есть заранее созданные политики, которые так или иначе что-то проверяют.
Если политика сработала, то система проинформирует, если не сработала, то не информирует, логично, и в базе никаких данных об этом не остается. Но, если изначально западные разработчики не закладывали такую возможность в систему, то в настоящее время, даже осознав ошибочность своего подхода, осуществить абсолютный перехват крайне сложно в техническом плане. При этом почти все российские системы ведут полную базу перехвата.
За рубежом с данными программами работают специалисты в области технологий, а в российских реалиях — специалисты в области “расследований”.
По мимо выше описанного, сильнейшим образом отличается подход к использованию DLP-систем. Это связано с тем, что за рубежом с данными программами работают специалисты в области технологий, а в наших реалиях — специалисты в данной области, при этом зачастую технически они не слишком подкованы. Обе группы используют различные методы в работы с защитой информации.
Для одних важнее правильно наладить систему, чтобы она выполняла как можно больше задач без человеческого фактора. Российской безопасности, напротив, предпочитает работать с результатами по вручную, используя личный опыт, не полагаясь на автоматику системы.
Ещё есть существенная разница в законодательстве, налагающая ограничения на возможности контроля — в западных системах они значительно жестче.
Подводя, в общем, обе системы настолько по-разному подходят к защите информации, что доля западных ИБ-продуктов на российском рынке всегда была незначительна.
От DLP к SIEM
Современные DLP сейчас развиваются по нескольким направлениям:
- Увеличивается количество контролируемых каналов, расширяется список поддерживаемых устройств и систем.
- Совершенствуется методы автоматической аналитики и инструменты работы с данными.
Сегодня любая DLP контролирует десятки протоколов передачи, сотни онлайн-сервисов, множество устройств и портов, активно добавляются инструменты контроля эффективности работы пользователей и инструменты расследования инцидентов. Некоторые компании разработчиков расширяют линейки своих продукцей, решающих задачи безопасности, но прямо не относящихся к DLP. Современные DLP-системы накапливают огромный объём различных данных и становятся прекрасными поставщиками данных для SIEM (Security information and event management). Технология SIEM обеспечивает анализ в реальном времени, исходящих от сетевых устройств и приложений.
Большая часть систем использует агентское решение, при котором специальное ПО не только собирает передаваемые данные, но и способно следить за техническим состоянием оборудования, используемым ПО и аппаратной конфигурацией, действиями пользователя или служб в системе и многое другое.
Тесную связку современных DLP и SIEM подтверждает и наш опыт. DLP от SearchInform со временем стала получать все новые модули и снабжаться большим арсеналом функций. В итоге жизнь и задачи клиентов подвели нас к созданию собственной SIEM.
Без глубоко анализа SIEM бесполезен
Обратим внимание, что одна система при этом не заменяет другую, они решают разные задачи.
Система выявляет угрозу информационной безопасности — и своевременно оповестит о ней. DLP в свою очередь позволит детализировать данные и выяснить подробности инцидента. Такой симбиоз SIEM и DLP в разы повышает уровень информационной защиты организации и упрощает работу службе безопасности.
Сейчас DLP-разработчики активно интегрируют свои решения с популярными SIEM-системами. Процесс только набирает обороты и говорить о конкретных результатах еще рано. Для вендоров интеграция своих данных в SIEM — процесс небыстрый, ведь недостаточно отдать сторонней системе данные, необходимо понять, какие конкретно задачи способна решать такая схема, как именно поможет такой союз.