Как выбрать DLP и не ошибиться: функциональность, стоимость владения и доверие к вендору
Источник – pixabay

Системы защиты от утечек информации – DLP чаще всего устанавливают банки, предприятия нефтяной отрасли, крупные ритейлеры. Однако не так важна сфера деятельности, как количество сотрудников. Обычно компании начинают интересоваться DLP-системами, когда штат превышает 50 человек. Тогда управленческий контроль становится сложнее, и руководство снаряжает технических специалистов присмотреться к тому, что предлагает рынок для автоматизации процесса. Сходу разобраться в обилии решений от разных вендоров бывает непросто. Вот краткий гайд, который поможет расставить точки над i.

Как и для чего работает DLP

Исторически системы DLP, как видно из названия (data loss prevention или data leak prevention), были направлены на защиту компании от утечек информации. Но с эволюцией программного обеспечения заказчики начали ставить перед ней несвойственные изначально задачи. Сейчас защита конфиденциальной информации — это только одна из больших функций, которые выполняет система.

Иногда компании достаточно вовремя получить сигнал и заблокировать утечку, но чаще требуется разобраться в причинах инцидента, чтобы найти виновных и понять, имел ли место недобрый умысел. Так что в идеале DLP должна не только собирать данные, но и систематизировать их для анализа и расследований зафиксированных нарушений.

Информация с компьютера сотрудника перехватывается через агентов – специальные программы, установленные на рабочих станциях. Они могут работать как в открытом режиме, так и в скрытом даже для продвинутых пользователей. Второй вариант перехвата информации – посредством сетевых платформ.

Чем меряемся

  • Количество каналов контроля

Контролировать максимум каналов информации (от веб-почты до мессенджеров) – главное требование к качеству программы. Ведущие DLP-системы отслеживают их все. Полезно, когда система обучена «ловить» нетипичные утечки, ведь конфиденциальные данные могут передаваться не только в переписке. Вариантов масса: снимки экрана, печать внутренних документов, копирование на флешку, даже устная беседа в Skype или передача файлов через Teamviewer.

  • Качество контроля

DLP должна уметь контролировать информацию, переданную в сетевых сервисах с разным методом подключения. Все популярные системы (Skype, Telegram, Viber и т.д.) сегодня дают выбор, работать в веб-интерфейсе или через приложение. В ИБ-системах такие вещи должны предусматриваться, иначе нельзя говорить о полноценной защите канала.

  • Надежность и скорость работы DLP

Устанавливаемые на ПК сотрудников агенты не должны перегружать систему, а сетевой DLP-компонент не должен приводить к задержкам коммуникации: DLP будет скомпрометирована, а руководитель всегда выберет бесперебойность бизнес-процессов, а не безопасность.

Часто система, которая хорошо работает на 200 машинах, не показывает результат на 1000. Поэтому важно разворачивать тестирование на максимально большом парке машин. Так можно оценить реальную нагрузку на инфраструктуру и технические возможности программы.

Убедитесь, что агент надежно «спрятан», чтобы сотрудники не могли случайно удалить или нарушить конфигурацию ПО. Некоторые вендоры не придают этому большого значения, в результате программу обнаруживает даже рядовой пользователь, не то что продвинутый системный администратор.

«Легкость» агента как правило означает, что большинство процессов в DLP происходит на серверах. При этом нужно удостовериться, что сбои в соединении не нарушат стабильность перехвата.

Вендоры по-разному решают этот вопрос, и нужно найти наиболее надежное решение. Например, наши агенты при отсутствии связи с сервером архивируют собранные данные – ничего не теряется. Как только подключение восстанавливается, данные передаются на дальнейший анализ.

Реклама на Компьютерре
  • Аналитические возможности

Правила «хорошего тона» для DLP таковы, что софт должен максимально «разгружать» ИБ-специалистов, выполняя основные задачи по структурированию инцидентов. Сегодня система должна уметь выявлять не только утечки, но и неспецифические угрозы:

  • мошенническое поведение;
  • использование служебного положения и ресурсов компании в своих целях;
  • корпоративный шпионаж;
  • откатчиков, факты продвижения интересов аффилированных лиц;
  • группы риска среди сотрудников;
  • неэффективную и непродуктивную работу, безделье.

Но полная автоматизация контроля – это все-таки утопическая задача, и сотрудникам службы ИБ все равно приходится перепроверять результаты некоторых «сработок» вручную. Для нивелирования этого фактора DLP-системы движутся к тому, чтобы вести профилактику нарушений, анализируя пользовательское поведение. Одно из направлений – UEBA, но здесь не появилось работающих инструментов.

Мы решаем этот вопрос через автоматизированный профайлинг. Он позволяет анализировать получаемую из DLP информацию и определять личностные качества сотрудников и динамику их изменений. Это позволяет существенно сузить круг поиска инцидентов и находить их там, где нарушитель не оставляет следов.

Сколько это стоит

DLP обычно собирается как конструктор, поэтому удобно масштабируется и легко разворачивается даже в компаниях с очень разветвленной структурой. Но из-за этого сложно рассчитать цену внедрения навскидку.

Чаще всего цена состоит из таких переменных:

  • стоимость лицензий (на 1 рабочее место);
  • стоимости внедрения;
  • стоимость техподдержки;
  • стоимость получения новых версий;
  • стоимость оборудования и стороннего ПО;
  • зарплаты ИБ и IТ специалистов.

Чем более сильные аналитические возможности заложены в DLP, тем ниже стоимость владения системой. Для анализа ситуации в компании с помощью хорошей DLP-системы на 2000 сотрудников бывает достаточно одного ИБ-специалиста. Один из наших клиентов контролировал 25 тысяч машин в компании силами всего 7 сотрудников.

Эти затраты имеет смысл рассматривать как инвестиции со сроком возврата 3-5 лет, хотя на практике часто выходит быстрее. В нашей практике только выявление боковых схем с помощью DLP отыгрывало затраты на ее покупку за полгода.

А вендор кто?

Весомый аргумент «за» или «против» того или иного предложения – его автор. При выборе DLP, как и любого другого продукта, нужно составить представление о его производителе: насколько это опытный и надежный вендор. Сложность в том, что со стороны, при первом знакомстве со сферой, оценить это можно только по косвенным признакам: количество офисов, штат технического персонала, число клиентов и разнообразие представляемых ими сфер.

Также для DLP является обязательным наличие сертификация ФСТЭК на систему. Это говорит о безопасности продукта, гарантирует отсутствие не декларируемых возможностей, дает право системе работать с конфиденциальными группами данных. Крайне желательно, чтобы у самой компании-разработчика была лицензия ФСБ. Это будет говорить о квалификации и надежности вендора, официально подтверждать его право на разработку средств ИБ.

Но не верьте тому, что сам вендор говорит о себе, ставьте программу на триал и проверяйте его слова об опыте на практике. Мы, например, отдаем систему на тестирование в полном функционале бесплатно, советуем дать на ПО предельную нагрузку по максимальному числу каналов. Так можно оценить, насколько полезна и надежна система. Вот еще советы, как на старте определиться, не подведет ли вас вендор:

  • Ставьте на тест последовательно несколько систем. Так будет проще оценить как плюсы/минусы самого программного обеспечения, так и качество техподдержки.
  • Сравните объем перехвата по нескольким DLP. Если он слишком разный, скорее всего, одна из систем что-то пропускает. Что касается оценки аналитических возможностей, то стоит обратить внимание на информативность отчетов и наличие полной базы перехвата. Важно, чтобы DLP-система собирала всю переданную по выбранным каналам информацию, а не только инциденты. Эти данные могут оказаться бесценными, если придется проводить ретроспективное расследование.
  • Обратите внимание, просто ли вам найти информацию по базе, проанализировать данные. Это особенно важно, когда в компании нет выделенной службы безопасности или все информационные потоки контролирует один специалист. В частности, у нас в компании ситуацию по нескольким сотням сотрудников, работающих в десятках филиалов, мониторит один человек.
  • Поработайте с программой как минимум 2 недели, чтобы как следует разобраться в возможностях. Лучше при этом постоянно держать контакт с техподдержкой. Обращайте внимание на то, насколько специалисты легко ориентируется в программном обеспечении.

И последнее. Чтобы взглянуть на ПО без «розовых очков», попросите разработчика познакомить вас с действующим клиентом. Задайте ему вопросы о стабильности работы системы, возможностях контроля, плюсах и минусах работы ПО.

Компания «СёрчИнформ» – ведущий российский разработчик средств информационной безопасности.