Анализ сетевой архитектуры, технологий обработки информации и критериев выбора DLP-систем

В настоящей статье представлены результаты анализа сетевой архитектуры DLP-системы, её основных технологий для обработки потоков информации и критериев выбора оптимального DLP-решения.

Ключевые слова: сетевая архитектура DLP-систем, DLP-системы, защита конфиденциальной информации, информационная безопасность, комплексная безопасность, конфиденциальная информация, системы защиты информации, утечка информации.

Успех развития и стабильность работы компании, деятельность которой основывается на циркулирующей в её информационном пространстве конфиденциальной информации, напрямую зависит от уровня её защиты. Именно поэтому в настоящее время все большую популярность приобретают DLP-системы, являющиеся комплексным средством защиты конфиденциальной информации от утечек.

Data Leak Prevention или Data Loss Prevention (DLP) переводится как предотвращение утечки данных или предотвращение потери данных. В общем смысле DLP-системы это программно-аппаратные или программные средства для решения задач по предотвращению утечек данных, представляющих ценность для компании или являющихся неотъемлемой частью её функционирования.

К стандартным компонентам DLP-системы относятся:

– агенты на рабочих станциях;

– сетевой шлюз DLP на сетевом периметре;

– центр управления и мониторинга.

Относительно использованной в решении сетевой архитектуры выделяются шлюзовые и хостовые реализации DLP-систем. В любой схеме реализации при попытке несанкционированной пересылки конфиденциальной информации DLP-система информирует об этом администратора информационной безопасности и создает инцидент, на основе которого происходит дальнейшее расследование происшествия.

В функциональной схеме шлюзового DLP-решения используется сервер, который пропускает через себя весь исходящий сетевой трафик и обрабатывает его с целью выявить возможные каналы утечки конфиденциальной информации (см. рис.1).

Рис. 1. Схема шлюзового DLP-решения [2]

В функциональной схеме хостового DLP-решения используются специальные программы — агенты, инсталлируемые на рабочие станции, серверы и т. д., то есть на конечные узлы сети (см. рис.2).

Рис. 2. Схема хостового DLP-решения [2]

Таким образом, хостовые DLP-решения в основном направлены на защиту локальных каналов утечки конфиденциальной информации, а шлюзовые на сетевых. Поэтому в настоящее время осталось мало реализаций DLP-систем, которые можно отнести только к хостовому или шлюзовому решению, так как проект внедрения DLP-системы разрабатывается индивидуально под каждую компанию, то зачастую эти две схемы комбинируются, с целью взять под контроль все возможные каналы утечки конфиденциальной информации.

Защита конфиденциальной информации в DLP-системах происходит на 3 уровнях:

1. Данные, передаваемые по сетевым каналам (Data-in-Motion);
   1. Мессенджеры (Skype, WhatsApp, ICQ и др.);
   2. Почтовый обмен (протоколы SMTP, POP, IMAP и др.);
   3. HTTPS/HTTP протоколы;
   4. Беспроводные системы передачи информации (Bluetooth, 4G, WI-FI и др.);
2. Данные, хранящиеся статично, например, на рабочих станциях пользователей, серверах и т. д. (Data-at-Rest);
3. Данные, находящиеся в использовании на рабочих станциях (Data-in-Use).

Относительно технологии анализа потока информации DLP-системы обычно используют три метода: детерминистский, вероятностный и комбинированный. Вероятностный метод базируется на лингвистическом анализе и цифровых отпечатках данных. Детерминированный метод базируется на использовании меток. Комбинированный метод более популярен в современных DLP-системах и сочетает в себе детерминистский и вероятностный методы для получения оптимального решения проблемы утечки конфиденциальной информации.

Для выбора оптимального DLP-решения можно руководствоваться следующими критериями оценки:

– активная защита. Должен присутствовать функционал фиксации и блокирования каналов утечки конфиденциальной информации;

– унифицированный менеджмент. Наличие одинаковых средства управления всеми компонентами системы;

– классификация информации при помощи анализа не только самого содержимого, но и его контекста;

– целесообразность внедрения. Расходы на приобретение системы не должны превышать сумму возможного ущерба от утечки конфиденциальной информации.

В настоящее время рынок DLP-систем стремительно развивается, поэтому исходя из того, какой масштаб и бюджет у компании, можно подобрать персональное решение для своей компании. Ключевыми вендорами DLP-систем на российском рынке в 2020 году являются: InfoWatch, Zecurion, SearchInform, Инфосистемы Джет, McAffee Symantec WebSense [1].

Основными результатами внедрения DLP-системы в компанию являются:

– предотвращение утечки конфиденциальной информации;

– снижение рисков возможного финансового и репутационного ущерба компании;

– комплексное обеспечение защиты конфиденциальной информации.

Таким образом, в настоящее время DLP-системы являются неотъемлемой составляющей комплексной системы безопасности конфиденциальной информации, поскольку они помогают контролировать большинство возможных каналов утечки конфиденциальной информации, тем самым предотвращая возможную утечку конфиденциальной информации компании и минимизируя возможные финансовые и репутационные риски в будущем. Если деятельность вашей компании основывается на работе с конфиденциальной информацией, то внедрение DLP-системы является необходимой составляющей обеспечения её комплексной защиты.

1. Основные игроки российского рынка DLP. — Текст: электронный // SearchInform: [сайт]. — URL: https://searchinform.ru/blog/2015/06/01/osnovnye-igroki-rossijskogo-rynka-dlp/ (дата обращения: 01.02.2021).
2. Предотвращение утечек данных — DLP. — Текст: электронный // All Technical Assistance: [сайт]. — URL: http://allta.com.ua/nashi-resheniya/informacionnaya-bezopasnost/dlp-systems (дата обращения: 01.02.2021).
3. Принцип работы DLP-системы. — Текст: электронный // SearchInform: [сайт]. — URL: https://searchinform.ru/informatsionnaya-bezopasnost/dlp-sistemy/printsip-raboty-dlp-sistemy/ (дата обращения: 01.02.2021).