Круглый стол: "Какой должна быть эффективная DLP-система?"

DLP-системы существуют уже несколько лет. За это время они заняли определенное место на рынке средств защиты информации и оформились в отдельные продуктовые предложения. Однако сейчас вокруг DLP вновь разгорелся спор: способны ли эти системы обеспечить эффективный контроль за всем многообразием коммуникаций, да еще и в условиях постоянно изменяющихся технологий? От кого и от чего все же должны защищать DLP-системы? На эти и другие вопросы редакции журнала Information Security ответил эксперт Роман Ванерке, технический директор АО "ДиалогНаука".

Выбор DLP-решения: какие возможности системы рассматриваются как наиболее значимые заказчиком? На что стоит обратить внимание заказчику?

– Всесторонний анализ, широкое покрытие возможных каналов утечки, агрегация и визуализация данных. Немаловажным является также удобство работы с системой. Если ее трудно настраивать, непонятно, как использовать и как в ней работать, то такая система рано или поздно перестанет применяться.

Существует мнение, что никакие DLP-системы не способны обеспечить эффективный контроль за всем многообразием всевозможных коммуникаций практически в условиях постоянно изменяющихся технологий. Так ли это?

– Конечно, пока не придумали устройства, стирающего память, как в "Людях в черном", ведь конфиденциальную информацию всегда можно запомнить. Кроме того, ее можно переписать ручкой, сфотографировать/записать видео, записать на диктофон и т.д. Поэтому ни одно решение не заявляет и не может заявить, что защищает на 100%. Эффективное качественное решение позволяет анализировать основные, наиболее вероятные, каналы передачи данных – Web, почта, съемные устройства, печать, мессенджеры, в большинстве случаев этого более чем достаточно. Все остальные каналы рекомендуется блокировать как на уровне МЭ, так и на уровне АРМ.

От кого и от чего все же должны защищать DLP-системы?

– Основное назначение – защита от непреднамеренных (случайных) утечек конфиденциальной информации.

За счет правильной настройки политик и размещения компонентов системы – защита от внутреннего злоумышленника. Также повышение эффективности систем защиты от APT, т.к. система выполняет анализ данных и может зафиксировать передачу чувствительных данных (файл с паролями, например) или неизвестные типы шифрования, что повышает эффективность защиты от внешних злоумышленников.

Анализ событий и инцидентов в архиве vs противодействие утечкам: что важнее, полезнее, эффективнее?

– Эти два подхода скорее дополняют друг друга, т.к. позволяют решить разные задачи. В первом случае за счет наличия истории: возможность постфактум выявить источник утечки, какие еще данные могли быть переданы, с какими лицами было взаимодействие, как оно было осуществлено и т.д. Во втором случае – обеспечение защиты, предотвращая или заметно усложняя передачу конфиденциальных данных в момент передачи. По сути, это как противокражное оборудование и система видеонаблюдения в магазине. Противокражное оборудование иногда ошибается, "пищит", когда не нужно, или, наоборот, если снять метку, будет молчать, но в целом никто не сомневается в эффективности обеих мер.

Активное продвижение UAM-решений под флагом DLP-систем имеет ли право на жизнь? Насколько эффективны функции мониторинга пользовательской активности?

– UAM-решения могут эффективно использоваться в качестве одного из элементов в системе защиты от утечек.

PDF-версия вопросов и ответов круглого стола: «Какой должна быть эффективная DLP-система?».