Сегодня компании используют разнообразные инструменты для защиты корпоративной информации от внешних атак. При этом многие оказываются не готовы к внутренним угрозам со стороны своих же сотрудников, либо к проникновению в систему вредоносного софта, который затем пересылает закрытые данные злоумышленникам. Для защиты от такого вида угроз существует специализированный софт, который борется с утечками информации – DLP. Виталий Шавель, менеджер по продуктам информационной безопасности Softline Belarus  рассказывает об этих решениях. 

Что такое DLP?

DLP, или Data Leak Prevention – это технологии, а также программные и аппаратные средства, которые предотвращают утечку конфиденциальной информации из системы. Они анализируют не только исходящие, но и входящие данные, которые сотрудники, либо вредоносные программы, пытаются передать за пределы корпоративной сети.

Грубо говоря, DLP выстраивает своеобразный защитный периметр вокруг корпоративной сети по методу таможни. При попытке пересечения этого периметра любая информация анализируется на наличие в ней конфиденциальных сведений. В случае обнаружения таковых, передача данных во внешний мир запрещается, а специалист по информационной безопасности получает соответствующее уведомление.

DLP-решения пресекают самые распространенные способы вывода конфиденциальной информации:

• пересылка документов по электронной почте;
• копирование информации на съемные носители (флешки, диски, смартфоны, планшеты);
• передача информации через веб-сервисы, соцсети, мессенджеры, облачные хранилища или сервисы синхронизации данных;
• фотографирование, сканирование и печать конфиденциальных документов;
• передача через Bluetooth и другие способы.

При этом современные решения по защите от утечек информации могут анализировать различные типы файлов – текст, изображения, аудио и видео. Для них не составит сложности распознать текст на отсканированном изображении.

Принцип работы DLP

DLP-решения распознают конфиденциальную информацию на основе двух способов – анализ формальных признаков и анализ контента. Большинство DLP сочетают оба этих способа

Анализ формальных признаков позволяет определять степень секретности документа по наличию в его структуре специализированных меток – грифа, герба, подписей, печатей или, например, наличия номера кредитной карты. Этот метод анализа требует предварительного обучения программы. Система должна научиться понимать, какие метки на документах свидетельствуют об их секретности. При этом злоумышленник, подвергнув документ предварительной обработке, имеет шанс переслать его во внешний мир.

И в этот момент в дело вступает метод анализа контента. Он оценивает не конкретные метки, а весь файл целиком. И даже если сотрудник вручную перепечатал сканированный документ и пересылает его прямо в теле письма, контент-анализ обнаружит нарушение защитных протоколов компании. В то же время, точность срабатывания такого анализа не очень высокая и в процессе обучения системы пользователи могут сталкиваться с большим количеством ложных срабатываний.

DLP-решения состоят из компонентов уровня хоста и сети. Сетевые модули устанавливаются на прокси-серверах, серверах электронной почты и контролируют исходящий трафик. Компоненты уровня хоста устанавливаются на рабочие компьютеры. Их задача – контроль копирования информации на съемные носители, печати и сканирования секретных файлов, либо иные способы передачи данных без использования интернета.

Решения по защите конфиденциальных данных могут также архивировать пересылаемые сообщения на случай расследования возможных инцидентов, оптимизировать загрузку каналов, препятствовать пересылке не только конфиденциальной, но и иной нежелательной информации (личные сообщения, спам, сообщения оскорбительного характера и т.п.).

Побочные задачи DLP-систем

Кроме основных задач, многие DLP-решения могут выполнять и более специфические, которые связаны с анализом и контролем действий сотрудников компании. К таким относятся:

• контроль использования рабочего времени и ресурсов компании;
• контроль законности действий сотрудников (предотвращение подделки документов и их последующей печати на оргтехнике компании);
• анализ внутренних переписок сотрудников для обнаружения конфликтов внутри коллектива либо сговора для осуществления неправомерных действий;
• обнаружение сотрудников, которые мониторят сайты по поиску работы, рассылают свое резюме либо пишут негативные отзывы о работодателе.

Внедрение DLP-решений в компании

Решения по защите конфиденциальной информации – это не обычный софт, который можно просто скачать и установить на рабочие компьютеры сотрудников и почтовый сервер. Для его внедрения в цифровой инфраструктуре бизнеса нужно провести ряд подготовительных работ:

• аудит систем информационной безопасности в компании;
• анализ информации, которая обладает конфиденциальным статусом;
• классификация ИТ-активов, которые содержат засекреченные данные;
• проведение интервью с владельцами различных бизнес-процессов для выявления всех точек «выхода» информации во вне.

Сами DLP-решения при внедрении необходимо обучить, создать для них метки и семантическое ядро, чтобы они могли обнаружить конфиденциальную информацию в исходящих файлах. Большинство таких решений уже имеют вшитые алгоритмы действий, но без прямой настройки правил информационной безопасности под бизнес-задачи они будут работать неэффективно.

Процесс внедрения решения по защите от утечек информации может занимать от месяца до полугода. Что касается выбора конкретного вендора, то сегодня на рынке есть несколько компаний, которые предлагают надежные DLP. Выбор нужного зависит от специфики бизнеса заказчика. Отметим также, что большинство из таких решений сегодня продаются по модульному принципу, то есть заказчик сам выбирает, какие каналы передачи данных ему необходимо защищать.