DLP — всему голова, но не все DLP одинаково полезны
Безопасность Searchinform
Системы защиты от инсайдерских рисков и утечек информации (DLP) для многих российских компаний — сегодня решение из разряда обязательных. Неудивительно — ведь совсем недавно власти ужесточили федеральный закон «О персональных данных». Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ» рассказывает, как правильно выбрать и внедрить DLP, чтобы не разочароваться.
DLP-системы — зрелый класс продуктов, однако вендоры по-разному подходят к вопросу их развития. Решения на рынке сильно отличаются друг от друга: по функционалу, удобству работы, требовательности к «железу», кадровым ресурсам и т.д.
На что нужно обратить внимание, при выборе «идеальной DLP»?
1. Надежность и скорость работы DLP
Устанавливаемые на ПК сотрудников агенты не должны «тормозить» работу, проверяйте это на этапе теста. Отсутствие интернета или плохой канал связи не должны оставлять вас без данных. Агенты «СёрчИнформ КИБ» в случае отсутствия связи с сервером, архивируют перехваченные данные и, при восстановлении подключения, отправляют их на сервер.
Для территориально распределенных компаний с «узким» каналом связи реализован специальный функционал — ESHub. Он позволяет оптимизировать нагрузку на канал передачи данных. Основной канал не будет задействован в часы пиковых нагрузок, агенты КИБ будут передавать данные по локальной сети на ESHub (здесь произойдет фильтрация, обработка, сжатие и шифрование данных), а в назначенное время — на основной сервер.
2. «Прожорливость» системы по «железу»
Разработчики по-разному подходят к оптимизации работы DLP-систем, поэтому программы сильно отличаются по требованиям к оборудованию. Из-за этого во время внедрения стоимость проекта может увеличится на 20–30–40%.
Обращайте внимание, что некоторые DLP-системы — это не единое решение, а по сути несколько платформ (например, контроль за продуктивностью сотрудников может быть вынесен в отдельное решение). Такая реализация функционала так же влияет на требовательность к оборудованию, а также на надежность и скорость работы — об этом ниже.
«СёрчИнформ КИБ» требует в разы меньше серверных ресурсов, чем конкурентные системы. Вендор сокращает место в СХД за счет дедупликации файловых объектов, экономия составляет 10–20%. За счет гибких настроек перехвата, фильтров и исключений, место в СХД под архив записей может быть сокращено до 8 раз. Больше всего места в архиве занимают аудио- или видеозаписи активности пользователя. За счет большого количества доступных битрейтов, кодеков, алгоритма VAD и др., экономится до 25% СХД без ощутимой потери качества данных.
3. Количество каналов и качество контроля
Контролировать максимум каналов передачи информации, от веб-почты до мессенджеров и облаков — это базовое требование к функциональности DLP. Хорошие системы отслеживают все основные каналы, а также умеют «ловить» утечки из нетипичных источников (Teams/Lync, Rocket.Chat, Мамба и проч.).
Важно, чтобы вендор быстро реагировал и на новые угрозы. Например, с ростом популярности Telegram, многие разработчики заявили о его контроле. Однако при этом мало кто обеспечил контроль в полной мере: большинство умалчивает, что он касается только текстов из десктоп-версии приложения на ОС Windows. То есть ни файлы, ни звонки, ни коммуникации через веб-приложение под контроль не попадают. Здесь совет один — проверяйте все критичные для вас функции на «боевом тесте».
«КИБ СёрчИнформ» работает с мессенджерами принципиально иначе, контролируя и десктоп- и веб-приложения.
Пример из практики
Заказчику было важно блокировать пересылку файлов по метаданным, другие случаи пересылки его не интересовали. Перед покупкой DLP-системы «СёрчИнформ КИБ» компания тестировала несколько других, и выяснилось, что они с задачей не справляются. Хотя в брошюрах напротив этого типа блокировки у всех «стояла галочка».
4. Функциональные различия и аналитические возможности
Функционал DLP-систем давно вышел за рамки контроля утечек данных. Сейчас решения должны помогать в вопросах информационной, экономической и кадровой безопасности.
Поэтому при выборе системы задайтесь вопросами. Каковы возможности анализа текста, графики и аудио? Удобно ли проводить расследования в системе? Какие виды предустановленных политик и отчетов есть в программе? Есть ли в системе карточка пользователя и task-менеджер для управления расследованиями и возможность отправлять отчет напрямую в ГосСОПКА?
В «СёрчИнформ КИБ» кроме вышеперечисленного, есть уникальные среди DLP функции: система блокирует доступ и пересылку конфиденциальных файлов в любых приложениях; распознает лица пользователей и сигнализирует, если за ПК не владелец; выявляет попытки сфотографировать экран компьютера; защищает снимки монитора уникальными водяными знаками, для выявления источника утечки и др.
В «карточке пользователя» собрано «досье» на каждого сотрудника: в него включены все инциденты, в которых тот был замечен, биографические и контактные данные, его активность за ПК, а при интеграции с ProfileCenter. Пример краткой психологической характеристики можно посмотреть по ссылке.
Продвинутая аналитика — залог эффективной работы с системой. С ней один ИБ-специалист сможет контролировать до 1500–2000 ПК, что в условиях дефицита ИБ-кадров, играет важную роль при выборе защитного решения.
5. Поддержка вендора
Поначалу работа с DLP-системой может казаться заказчикам довольно сложной, а для того, чтобы изучить весь функционал, требуется поддержка вендора. В дальнейшем помощь разработчика может понадобиться для обучения новых сотрудников, разработки новых политик, проведения расследований, интеграции со сторонними решениями и проч.
Именно поэтому необходимо выбирать вендора, который предоставляет расширенную техподдержку. Так, в «СёрчИнформ» кроме стандартной технической поддержки, есть отдел внедрения, который делит с клиентом большой объем работ: обучает ИБ-специалистов работе с ПО, помогает в расследованиях, рассказывает о лучших практиках использования DLP. Еще в компании есть учебный центр, где специалистов обучают по стандартным и продвинутым программам. А также вендор предоставляет услугу аутсорсинга DLP — она подойдет компаниям, где совсем нет ИБ-отдела или большая текучка специалистов.
6. Использование сторонних разработок
Использование в DLP сторонних разработок — движков, модулей, платформ и White label — одна из причин ограничения функциональности и возможностей улучшения ПО. Подавляющее большинство DLP-систем в РФ использует для анализа «опенсорсные» или иностранные движки, что с уходом западных вендоров может стать проблемой. Кроме того, в свете импортозамещения, многим компаниям запрещено закупать такие продукты.
При выборе DLP-системы лучше рассматривать ПО, независимое от сторонних технологий. Если клиенту потребуются доработки, исправление ошибок или техническая поддержка, он их получит. «СёрчИнформ КИБ» — полностью собственная разработка.
7. Возможности интеграции
К особенностям, которые нужно учитывать при покупке, относится возможность интеграции с другими защитными решениями. DLP сейчас — центральный элемент в построении защиты от внутренних угроз, но чтобы получить синергетический эффект, система должна бесшовно интегрироваться с защитными решениями других классов. Если у разработчика DLP в линейке нет других ИБ-систем, заказчику придется тратить дополнительные ресурсы и время на интеграцию. А возможно и столкнуться с конфликтами между ПО.
Компания «СёрчИнформ» кроме DLP производит решения класса DCAP, SIEM и профилирования сотрудников ProfileCenter. Совместное использование этих систем многократно повышает уровень ИБ в компании, сокращает время реакции на инцидент, дает возможность максимально полно расследовать нарушения.
8. Наличие сертификатов
У DLP должна быть сертификация ФСТЭК — это говорит о безопасности продукта и дает системе право работать с конфиденциальными группами данных. У разработчика также должна быть лицензия ФСБ — это говорит о квалификации и надежности вендора, а также подтверждает его право на разработку средств информационной безопасности.
«СёрчИнформ КИБ» сертифицирован ФСТЭК по четвертому уровню доверия, компания имеет бессрочную лицензию ФСБ на разработку средств защиты конфиденциальной информации.
Главное — правильный тест
Полагаться только на маркетинговые описания и чужие сравнения при выборе системы нельзя. Обязательно полноценно ее протестировать, чтобы убедиться, подходит ли она конкретно вам. Хороший вендор отдает систему на тестирование в полном функционале на любое количество ПК — бесплатно.
Итак, как провести качественный «пилот»?
— Дайте на ПО предельную нагрузку по максимальному числу каналов. Только так можно оценить, насколько полезна и надежна система. Иногда та DLP, что работает на 200 машинах, не показывает результат на 1000.
— Протестируйте последовательно несколько систем от разных вендоров, чтобы оценить их плюсы и минусы и уровень техподдержки. Не забудьте сравнить объем перехвата по нескольким DLP — если он слишком различается, одна из систем явно что-то пропускает.
— При оценке аналитических возможностей DLP оцените, насколько информативны отчеты и есть ли полная база перехвата. Парадоксально, но не у всех DLP-систем она есть! Важно, чтобы система собирала всю информацию, переданную по выбранным каналам, а не только инциденты. Эти сведения пригодятся, если потребуется ретроспективное расследование.
— Посмотрите, легко ли вам искать информацию по базе и анализировать ее. Это важно, если в компании нет ИБ-отдела или всего один специалист.
— Поработайте с программой как минимум две недели, а лучше — месяц, чтобы разобраться в ее возможностях. Лучше при этом постоянно держать контакт с техподдержкой — наблюдайте, хорошо ли инженеры и менеджеры знают свой продукт и как быстро реагируют.
— Обращайте внимание и на то, сколько времени занимает внедрение. Процесс не должен затягиваться на недели и месяцы. Нормальная практика — в течение дня или нескольких дней.
— Попросите разработчика познакомить вас с его клиентами. Пусть они расскажут вам о плюсах и минусах работы ПО.
Наконец, помните, что DLP — это не только технологии и функции, это связка из продукта и людей, его делающих и с ним работающих. Внимательно выслушайте как критику, так и позитивные оценки собственных сотрудников, которые будут в дальнейшем работать с системой, и примите во внимание их мнение.
Куда развиваются DLP?
Но даже если «мастхэв»-функционал в порядке, обращайте внимание на то, как быстро разработчик реагирует на актуальные вызовы информационной безопасности.
К примеру, вот что в «СёрчИнформ КИБ» появилось под актуальные задачи за последний год:
— Вотермарки и распознавание фотографирования экрана — это функции для предотвращения слива через мобильные устройства и расследования, если инцидент все же произошел.
— Анализ учетных данных — удобная функция, так как быстро выявлять проблемы с парольной политикой бывает сложно.
— Контентные блокировки — в КИБ реализованы блокировки по контенту для всех каналов контроля. Это значит, пользователи не смогут передать файлы и сообщения с конфиденциальным содержимым.
— Поддержка отечественных баз данных и операционных систем, а также MacOS — иными словами, DLP можно назвать мультиплатформенной, она работает в полном функционале с любого устройства.
— Доработка API — появилась возможность интеграции КИБ со сторонними системами по API для загрузки произвольных текстов, файлов и архивов перехвата.
Подведем итог
DLP-системы сильно отличаются по многим параметрам. Одна только разница в требовательности к «железу» и квалификации сотрудников создает огромные различия в стоимости владения программой.
Маркетинговые описания могут умалчивать о нюансах работы важных функций, из-за чего те и вовсе могут оказаться бесполезны.
Но даже если брошюры не лукавят, важно проверять DLP-системы на практике — на тесте, приближенном к реальным условиям работы, чтобы проверить, как ПО справляется с нагрузкой, а техподдержка — с вашими вопросами. Только анализ предложений на рынке, обратной связи от пользователей и полноценное тестирование поможет избежать неприятных сюрпризов.
Запросите презентацию «СёрчИнформ КИБ» по ссылке.
Полный текст статьи читайте на CNews