Внутренняя броня. Как DLP-решения спасают конфиденциальную информацию компаний

Сегодня компании используют разнообразные инструменты для защиты корпоративной информации от атак извне. При этом многие оказываются не готовы к внутренним угрозам со стороны своих же сотрудников, либо вредоносного софта, который, проникнув внутрь системы, пытается переслать оттуда закрытые данные. Для защиты от такого вида угроз существует специализированный софт, который борется с утечками информации – DLP. Что он из себя представляет и как его внедрить «ЭГ» рассказал менеджер по продуктам информационной безопасности Softline Belarus Виталий ШАВЕЛЬ.

Что такое DLP?

DLP, или Data Leak Prevention – это технологии, а также программные и аппаратные средства, которые предотвращают утечку конфиденциальной информации из системы. Они анализируют не только исходящую, но и входящую информацию, которую сотрудники, либо вредоносные программы, пытаются передать за пределы корпоративной сети.

«Грубо говоря, DLP выстраивает своеобразный защитный периметр вокруг корпоративной сети по методу таможни. При попытке пересечения этого периметра любая информация анализируется на наличие в ней конфиденциальных данных. В случае обнаружения таковых, она во внешний мир не пропускается, а специалист по информационной безопасности получает уведомление о попытке прорыва», - пояснил Виталий Шавель.⁠

DLP-решения пресекают самые распространенные способы вывода конфиденциальной информации:

• пересылка документов по электронной почте;

• копирование информации на съемные носители (флешки, диски, смартфоны, планшеты);

• передача информации через веб-сервисы, соцсети, мессенджеры, облачные хранилища или сервисы синхронизации данных;

• фотографирование, сканирование и печать конфиденциальных документов;

• передача через Bluetooth и другие способы

При этом современные решения по защите от утечек информации могут анализировать различные типы файлов – текст, изображения, аудио и видео. Поэтому для них не составит сложности распознать текст на отсканированном изображении.

Принцип работы DLP

DLP-решения распознают конфиденциальную информацию на основе двух способов – анализе формальных признаков и анализе контента. Большинство DLP сочетают оба этих способа.

Анализ формальных признаков позволяет определять степень секретности документа по наличию в его структуре специализированных меток – грифа, герба, подписей, печатей или, например, наличия номера кредитной карты. Этот метод требует предварительного обучения программы. То есть система должна научиться понимать, какие метки на документах свидетельствуют об их секретности. При этом злоумышленник, подвергнув документ предварительной обработке, имеет шанс переслать его во внешний мир.

Тогда в дело вступает метод анализа контента. Он оценивает не конкретные метки на документе, а весь файл целиком. И даже если сотрудник вручную перепечатал сканированный документ и пересылает его не как документ, а в теле письма, контент-анализ обнаружит нарушение защитных протоколов компании. «В то же время, точность такого анализа не очень высокая и в процессе обучения системы пользователи могут сталкиваться с большим количеством ложных срабатываний», - констатировал специалист.

DLP-решения состоят из компонентов уровня хоста и сети. Сетевые модули устанавливаются на прокси-серверах, серверах электронной почты и контролируют исходящий трафик. Компоненты уровня хоста устанавливаются на рабочие компьютеры. Их задача – контроль копирования информации на съемные носители, печати и сканирования секретных файлов, либо иные способы передачи данных без использования интернета. 

Помимо этого, решения по защите конфиденциальных данных могут архивировать пересылаемые сообщения на случай расследования возникающих в будущем инцидентов, оптимизировать загрузку каналов, препятствовать пересылке не только конфиденциальной, но и иной нежелательной информации (личные сообщения, спам, сообщения оскорбительного характера и т.п.).

Дополнительные задачи DLP-систем

Кроме основных задач, многие DLP-решения могут выполнять и более специфические, которые связаны с анализом и контролем действий сотрудников компании.

Например:

• контроль использования рабочего времени и ресурсов компании;

• контроль законности действий сотрудников (предотвращение подделки документов и их последующей печати на оргтехнике компании);

• анализ внутренних переписок сотрудников, для обнаружения конфликтов внутри коллектива либо сговора для осуществления неправомерных действий;

• обнаружение сотрудников, которые мониторят сайты по поиску работы, рассылают свое резюме, либо пишут негативные отзывы о работодателе.

Внедрение DLP-решений в компании

Решения по защите конфиденциальной информации - это не обычный софт, который можно просто скачать и установить на рабочие компьютеры сотрудников и почтовый сервер. Для его внедрения в цифровой инфраструктуре бизнеса нужно провести ряд подготовительных работ:

• Аудит систем информационной безопасности в компании;

• Анализ информации, которая обладает конфиденциальным статусом;

• Классификация ИТ-активов, которые содержат засекреченные данные;

• Проведение интервью с владельцами различных бизнес-процессов, для выявления всех точек «выхода» информации во вне;

«Сами DLP-решения при внедрении необходимо обучить, создать для них метки и семантическое ядро, чтобы они могли обнаружить конфиденциальную информацию в исходящих файлах. Большинство таких решений уже имеют в себе вшитые алгоритмы действий, но без прямой настройки правил информационной безопасности под бизнес-задачи они будут работать неэффективно.

В целом процесс внедрения решения по защите от утечек информации может занимать от месяца до полугода», - отметил Виталий Шавель.

Что касается выбора конкретного вендора, то сегодня на рынке есть несколько компаний, которые предлагают надежные DLP и выбор конкретного зависит от специфики бизнеса заказчика. Большинство из таких решений сегодня продаются по модульному принципу, то есть заказчик сам выбирает, какие каналы передачи данных ему необходимо защищать, добавил специалист.