Системы защиты от утечек данных (DLP) относятся к технологиям, которые выполняют проверку содержимого и контекстный анализ данных, передаваемых через приложения обмена сообщениями, такие как электронная почта и мгновенные сообщения, данные в движении по сети, данные, используемые на управляемых конечных устройствах, и данные в состоянии покоя на локальных файловых серверах или в облачных приложениях и хранилищах. Эти решения применяют основанные на политиках ответные меры для снижения риска случайной или несанкционированной утечки данных или раскрытия конфиденциальной информации вне авторизованных каналов.
Принцип работы DLP
DLP-решения используют методы проверки содержимого и контекстного анализа для выявления и предотвращения утечек данных. Проверка содержимого включает в себя анализ содержимого данных на наличие определенных шаблонов или конфиденциальной информации, такой как номера кредитных карт или номера социального страхования. Контекстный анализ учитывает внешние факторы, такие как заголовки, размер и формат, чтобы оценить общий контекст без доступа к самому содержимому. Эти методы, наряду с предварительно настроенными правилами и политиками, помогают DLP-системам обнаруживать и реагировать на потенциальные нарушения политики и утечки данных.
Технологии DLP обычно делятся на два основных типа: корпоративные DLP и интегрированные DLP. Корпоративные DLP-решения обеспечивают всестороннее покрытие и упакованы в виде программного обеспечения агентов для настольных компьютеров и серверов, физических и виртуальных устройств для мониторинга сетей и почтового трафика, а также программных устройств для обнаружения данных. Интегрированная DLP, с другой стороны, ограничена защищенными веб-шлюзами (SWG), защищенными шлюзами электронной почты (SEG), продуктами шифрования электронной почты, платформами управления корпоративным контентом (ECM), средствами классификации данных, средствами обнаружения данных и брокерами безопасности облачного доступа (CASB).
Цены на DLP-решения в России
Стоимость DLP-решений может варьироваться в зависимости от нескольких факторов, включая поставщика, масштаб развертывания, а также необходимые специфические возможности и функции.
Цены на DLP-решения обычно включают лицензионные платежи, затраты на внедрение и текущую поддержку. Хотя точную среднюю цену назвать сложно, поскольку она зависит от размера организации и ее требований, ориентировочная стоимость DLP-решений корпоративного уровня может составлять от 1,5 миллионов рублей до нескольких десятков миллионов рублей.
Важно отметить, что структуры ценообразования у разных поставщиков могут отличаться, некоторые из них предлагают модели на основе подписки или облачные решения, что может обеспечить большую гибкость в плане стоимости.
Также нужно определиться с перечнем услуг по информационной безопасности (на примере компании RTM Group), которые потребуются для внедрения DLP.
Чтобы определить конкретные цены для вашей организации, рекомендуется проконсультироваться с поставщиками DLP напрямую и запросить индивидуальные предложения, основанные на ваших потребностях.
Типы DLP-систем
DLP-системы можно разделить на два типа: Корпоративные DLP и интегрированные DLP. Корпоративные DLP-решения обеспечивают всестороннее покрытие и поставляются в виде программного обеспечения агентов для настольных компьютеров и серверов, физических и виртуальных устройств для мониторинга сетей и почтового трафика, а также программных устройств для обнаружения данных. Интегрированная DLP, с другой стороны, имеет более ограниченный охват и интегрируется с конкретными продуктами безопасности, такими как защищенные веб-шлюзы (SWG), защищенные почтовые шлюзы (SEG) и другие соответствующие инструменты.
Какие DLP-системы популярны в России?
- InfoWatch Traffic Monitor: InfoWatch Traffic Monitor является популярным DLP-решением в России. Оно обеспечивает защиту данных в режиме реального времени на различных уровнях, включая сетевой, конечный и облачный.
- Positive Technologies MaxPatrol: Positive Technologies MaxPatrol предоставляет DLP-функционал, позволяющий обнаруживать и предотвращать утечку данных на сетевом уровне, а также обеспечивать контроль над действиями пользователей.
- Solar Security CDRON: Solar Security CDRON предлагает DLP-решение, которое обеспечивает защиту данных на различных уровнях, включая сетевой, конечный и облачный.
- CROC DLP: CROC DLP предоставляет комплексное DLP-решение, которое позволяет обнаруживать и предотвращать утечку данных на различных уровнях, включая сетевой, конечный и облачный.
- Kaspersky DLP: Kaspersky предлагает DLP-решение, которое обеспечивает защиту данных на сетевом уровне, а также контроль доступа к конфиденциальной информации.
- SearchInform DLP: SearchInform DLP предоставляет DLP-решение, которое позволяет обнаруживать и предотвращать утечку данных на сетевом и конечном уровнях, а также предоставляет механизмы контроля и аудита действий пользователей.
- Jet Infosystems DLP: Jet Infosystems DLP является российским DLP-решением, которое обеспечивает защиту данных на различных уровнях, включая сетевой, конечный и облачный.
Подробнее о работе DLP?
Чтобы понять, как работает DLP, важно провести различие между осведомленностью о содержимом и контекстным анализом. Осознание содержимого предполагает изучение фактического содержимого данных, в то время как контекстный анализ рассматривает внешние факторы, такие как заголовки, размер, формат и другие метаданные без доступа к самому содержимому. Осознание содержания фокусируется на понимании контекста, окружающего данные, не ограничиваясь одним контекстом.
После вскрытия оболочки данных и обработки содержимого можно использовать различные методы анализа содержимого для выявления нарушений политики, в том числе:
- Основанные на правилах/регулярные выражения: Этот метод предполагает использование предопределенных правил для анализа содержимого на наличие определенных шаблонов, таких как номера кредитных карт или номера социального страхования. Хотя этот метод обеспечивает быстрый первоначальный фильтр, без проверки контрольной суммы он может привести к высоким показателям ложных срабатываний.
- Отпечатки пальцев в базе данных: Этот метод, также известный как точное сопоставление данных, позволяет сопоставить содержимое с дампом базы данных или живой базой данных для поиска точных совпадений. Он может быть эффективен для структурированных данных из баз данных, но может повлиять на производительность.
- Точное сопоставление файлов: эта техника сопоставляет хэши файлов с точными отпечатками пальцев, не анализируя содержимое файла. Он обеспечивает низкий уровень ложных срабатываний, но может не работать для файлов с несколькими похожими версиями.
- Частичное сопоставление документов: эта техника ищет полные или частичные совпадения в определенных файлах, например, в нескольких версиях заполненной формы.
- Концептуальный/лексикон: Эта техника использует словари, правила и другие механизмы для выявления неструктурированных идей, которые не поддаются простой категоризации. Он требует настройки под конкретное DLP-решение.
- Статистический анализ: Эта техника использует машинное обучение или статистические методы, такие как байесовский анализ, для обнаружения нарушений политики в защищенном контенте. Для точного сканирования требуется большой объем данных.
- Предварительно созданные категории: Это предварительно настроенные категории с правилами и словарями для распространенных типов конфиденциальных данных, таких как номера кредитных карт или информация, связанная с здравоохранением.
Стоит отметить, что различные поставщики DLP-решений могут использовать собственные механизмы анализа содержимого или применять сторонние технологии для анализа содержимого. При оценке DLP-решений важно убедиться в точности контентного механизма, протестировав его работу на реальном массиве конфиденциальных данных.
Рекомендации для внедрения DLP
Внедрение лучших практик DLP включает в себя сочетание технологий, контроля процессов, квалифицированного персонала и осведомленности сотрудников. Ниже приведены некоторые рекомендации по разработке эффективной программы DLP:
Внедрите централизованную программу DLP: Вместо того чтобы внедрять непоследовательные и специальные DLP-практики, организациям следует создать централизованную DLP-программу, охватывающую все департаменты и бизнес-подразделения, что обеспечит лучшую видимость и безопасность данных.
Оцените внутренние ресурсы: Организациям необходим персонал с опытом DLP, включая анализ рисков DLP, реагирование на нарушение данных и отчетность, знание законов о защите данных, а также обучение и информирование DLP. Соответствие определенным нормативным требованиям может потребовать присутствия сотрудника по защите данных (DPO) или внешних консультантов, обладающих знаниями в области защиты данных.
Проведите инвентаризацию и оценку: Оцените типы данных, их ценность для организации, где они хранятся и относятся ли они к чувствительным категориям. Определите точки выхода данных и оцените потенциальную стоимость для организации в случае их потери.
Внедряйте поэтапно: Внедряйте DLP поэтапно, определяя приоритетные типы данных и каналы связи. Развертывайте программные компоненты или модули DLP на основе организационных приоритетов, а не внедряйте все сразу.
Создайте систему классификации: Создайте систему классификации данных для неструктурированных и структурированных данных. Определите такие категории, как конфиденциальные, внутренние, публичные, персонально идентифицируемая информация (PII), финансовые данные, регулируемые данные, интеллектуальная собственность, и настройте их по мере необходимости.
Установите политики обработки данных и устранения последствий: Разработайте политики обработки различных категорий данных на основе государственных нормативных актов и требований организации. Продукты DLP могут предотвращать и контролировать исходящие каналы и предлагать варианты действий при потенциальных нарушениях безопасности.
Обучайте сотрудников: Проводите программы повышения осведомленности сотрудников и организуйте обучение по вопросам безопасности данных, политик и процедур DLP. Четко определите меры наказания за нарушение безопасности данных, чтобы повысить уровень соответствия.
Анастасия С. (ГЛ)