Результаты многочисленных исследований показывают схожую картину: поведение пользователей корпоративных систем далеко от идеала. Типичной является практика выноса конфиденциальных данных за пределы компании на съемных носителях, причем далеко не всегда сотрудники действуют из лучших побуждений.
Компании осознают, что наиболее чувствительные утечки информации происходят из-за действий инсайдеров. Исследование, проведенное HeadHunter, выявило, что главным средством борьбы с утечкой корпоративной информации является подписание юридических документов. 68% респондентов признались, что подписывали подобные обязательства о неразглашении, а в 24% компаний запрещено использование съемных накопителей информации.
Но одними управленческими мерами защиту обеспечить невозможно. И поэтому системы защиты от внутренних угроз становятся самым быстрорастущим направлением среди всех защитных продуктов. В качестве обозначения такого рода систем используется аббревиатура DLP — Data Loss Protection (или Data Leak Prevention). При этом под внутренними угрозами понимаются злоупотребления полномочиями со стороны сотрудников организации.
Главным критерием принадлежности решения к категории DLP является его многоканальность — система должна осуществлять мониторинг нескольких возможных каналов утечки данных. Другой ключевой фактор — активная защита — дает возможность не только обнаруживать случаи нарушения установленных политик, но и при необходимости блокировать сомнительные действия. Наконец, система должна обладать централизованным средством управления, а также обеспечивать отчетность по всем отслеживаемым каналам.
Поскольку в действительности системы DLP могут лишь контролировать перемещение и выявлять места хранения конфиденциальной информации, предотвратить утечку реально удается только при выполнении нескольких условий: DLP была предварительно «обучена» на опознавание конкретных конфиденциальных данных; нарушитель передал достаточный для реагирования системы объем данных через тот канал, на который она настроена; включен режим блокирования подозрительных действий.
Список возможных запрещенных действий с данными аналитики рекомендуют ограничить 10–15 сценариями, включая передачу данных за периметр сети, их хранение в неразрешенных местах, перемещение и копирование. Реакция на инциденты должна соответствовать степени опасности. Как минимум это уведомление администратора и запись в журнал для последующего анализа. В более серьезных случаях может обеспечиваться автоматическое шифрование данных, их перемещение из зоны риска, получение подтверждения операции у пользователя или автоматическое блокирование операции.
Внедрение системы DLP ничего не даст, если в организации отсутствует четкое представление о том, каким образом данные распространяются внутри компании и выводятся за ее пределы. Построение таких решений необходимо начинать с реализации корпоративной политики по работе с данными. Поэтому, в отличие от других продуктов в области безопасности, при внедрении DLP-решений существенную роль имеет консалтинг.
В числе основных проблем при внедрении решений DLP — высокая стоимость и трудоемкость использования. Обосновать необходимость инвестиций в такие решения зачастую проблематично. Многие компании отмечают, что затраты на внедрение системы оказались выше планируемых, а также говорят о высокой стоимости управления.
В настоящее время основными заказчиками DLP являются достаточно крупные компании, имеющие более тысячи пользователей. Среди наиболее известных участников этого рынка можно выделить Symantec, Websense, InfoWatch, McAfee, SmartLine и SecurIT.
На рынке представлено также достаточно много продуктов, обладающих некоторыми свойствами DLP-cистем, — это средства шифрования, разграничения доступа, контроля доступа к сменным носителям, архивирования электронной корреспонденции. В случаях, когда компаниям не требуется полный функционал DLP, их использование может быть более оправданным.