Найбільш важливі активи будь-якої компанії, безсумнівно, є найскладнішими для захисту. Мова йде про дані – життєво важливу основу, що підтримує функціонування кожної організації. На щастя, існує ціла галузь, що займається виключно розробкою рішень для запобігання витоку інформації. Лідером у цій сфері є постачальники технологій Data Loss Prevention, або скорочено DLP.
Технології DLP виконують дві ключові задачі:
- Ідентифікація конфіденційних даних, які потребують захисту.
- Запобігання втраті таких даних.
Захист даних охоплює три основні категорії:
- Дані в процесі використання.
- Дані під час передачі.
- Дані в стані спокою.
Дані в процесі використання – це активні дані, що зазвичай знаходяться в оперативній пам’яті (RAM), кеш-пам’яті або регістрах процесора.
Дані під час передачі – це дані, що переміщуються мережею, як внутрішньою, так і через захищені або загальнодоступні мережі, включаючи Інтернет та телефонні мережі.
Дані в стані спокою – це неактивні дані, що зберігаються у базах даних, файлових системах чи на пристроях зберігання.
За можливостями покриття, рішення DLP поділяють на дві категорії:
- Корпоративні DLP (EDLP).
- Інтегровані DLP (IDLP).
EDLP охоплюють весь спектр потенційних каналів витоку інформації. IDLP, натомість, зосереджені на окремих протоколах або одному з трьох типів даних. До прикладів IDLP належать рішення для веб-безпеки, шифрування електронної пошти та контроль пристроїв.
Якими є критерії вибору ефективного рішення DLP?
Не існує універсального рішення DLP, що підходило б для всіх. Вибір залежить від багатьох факторів: розмір компанії, бюджет, типи конфіденційних даних, мережева інфраструктура, технічні вимоги тощо. Щоб визначити оптимальне рішення, потрібне ретельне вивчення підходів DLP, методів виявлення та архітектури рішення.
Ідеальне рішення DLP, після аналізу ваших вимог, повинно забезпечувати оптимальний баланс між наступними аспектами:
- Повне покриття: DLP має охоплювати мережеві шлюзи для моніторингу вихідного трафіку, блокування витоків через електронну пошту та веб/FTP-трафік. Також, має захищати дані на всіх ресурсах зберігання компанії та кінцевих точках.
- Єдина консоль управління: для ефективного керування DLP потрібна консоль для конфігурації, створення політик, звітування, управління інцидентами, виявлення ризиків та кореляції подій.
- Управління інцидентами: адекватна реакція на інциденти витоку даних є критично важливою. Важливо розуміти, що втрата даних неминуча, але ефективне реагування може мінімізувати наслідки.
- Точні методи виявлення: хороші рішення DLP використовують різноманітні методи виявлення, окрім стандартного зіставлення шаблонів, щоб підвищити точність і зменшити кількість хибних спрацювань.
Основні підходи DLP
На ранніх стадіях розвитку, постачальники DLP пропонували рішення з компонентами, що покривали всю інфраструктуру компанії. Сьогодні ситуація змінилася, і підходи до DLP поділяються на дві основні категорії:
- Традиційний DLP.
- Агентський DLP.
Традиційний DLP, як, наприклад, пропонують Forcepoint, McAfee та Symantec, забезпечує всебічний захист на мережевих шлюзах, інфраструктурі зберігання, кінцевих точках і в хмарі. Цей підхід був успішним та сформував сучасний ринок DLP.
Агентський DLP (ADLP) використовує агенти на рівні ядра на кінцевих точках для моніторингу дій користувача та системи. Рішення, що належать до цієї категорії, також відомі як рішення Endpoint DLP.
Визначення оптимального підходу залежить від типу даних, галузі та причин необхідності захисту. Наприклад, організації у сферах охорони здоров’я та фінансів часто зобов’язані використовувати DLP для відповідності нормативним вимогам. Для них важливо виявляти персональні дані в різних формах та через різні канали.
Коли метою є захист інтелектуальної власності, рішення DLP має використовувати спеціалізовані методи виявлення. Точне виявлення та захист конфіденційних даних у цьому випадку є складнішим завданням, і не кожне традиційне рішення DLP надасть потрібні інструменти.
Архітектура DLP: як впоратися зі складністю
Технології DLP складні та потребують інтеграції з різними сферами: Інтернет, електронна пошта, бази даних, мережі, безпека, інфраструктура та інші. Вплив DLP може поширюватися на не-ІТ відділи, наприклад, юридичний, кадровий та управління ризиками. Крім того, рішення DLP часто складно розгорнути, налаштувати та керувати ними.
Традиційні рішення DLP створюють додаткові складнощі, вимагаючи для повної функціональності кількох пристроїв та програмного забезпечення, як фізичних, так і віртуальних серверів.
Мережева архітектура повинна інтегрувати ці пристрої, що включає перевірку вихідного трафіку та блокування електронної пошти. Після інтеграції, виникає наступний рівень складності – управління, яке залежить від кожного конкретного постачальника.
Рішення агентського DLP зазвичай менш складні, оскільки вони не потребують значної інтеграції з мережею. Однак, вони взаємодіють з ОС на рівні ядра, що вимагає розширеного налаштування для уникнення конфліктів з операційною системою та іншим програмним забезпеченням.
Огляд постачальників DLP:
Acronis DeviceLock
Acronis DeviceLock надає комплексне рішення для захисту конфіденційних даних на кінцевих точках, запобігаючи витокам через дії зловмисників або недбалість співробітників.
Рішення дозволяє отримати повне уявлення про потоки даних та поведінку користувачів, зменшуючи складність захисту та час на звітування. Воно допомагає дотримуватися правил ІТ-безпеки та знижувати ризики витоку даних.
Acronis DeviceLock пропонує централізоване керування, відстеження дій користувачів, журнали, інструменти звітності, модульну архітектуру для контролю витрат. Рішення підтримує різні платформи, такі як Microsft RDS, Citrix XenApp, Citrix XenDesktop, VMware Workstation Player, Windows Virtual PC, Oracle VM VirtualBox, VMware Workstation та VMware Horizon view, а також надає можливості для керування тіньовими копіями, сповіщеннями та журналами. Доступна 30-денна безкоштовна пробна версія.
ManageEngine
ManageEngine Device Control Plus захищає дані від загроз, дозволяючи призначати ролі доступу для пристроїв, захищати їх від атак шкідливого ПЗ та аналізувати їх.
Рішення запобігає витоку даних через несанкціонований доступ до пристроїв, використовуючи прості правила, такі як обмеження доступу “тільки для читання” та блокування копіювання файлів.
Device Control Plus дозволяє встановлювати обмеження на тип та розмір файлів, забезпечувати захист даних у реальному часі, а також створювати список довірених пристроїв. Рішення також надає звіти та аудит дій користувачів, миттєві сповіщення про несанкціонований доступ. Доступна 30-денна безкоштовна пробна версія.
Digital Guardian
Digital Guardian, заснований у 2003 році як Verdasys, спеціалізується на запобіганні крадіжці інтелектуальної власності. Основний продукт – агент кінцевої точки, що контролює дії користувача та системи.
Рішення реєструє як незаконні, так і невинні дії для виявлення підозрілої поведінки. Звіти можна аналізувати для виявлення інцидентів, які стандартні рішення DLP можуть пропустити. Digital Guardian також придбав Code Green Networks, але між їхніми ADLP та TDLP рішеннями мало інтеграції, і вони продаються окремо.
Forcepoint
Forcepoint – провідний постачальник TDLP. Платформа включає набір продуктів для фільтрації URL-адрес, електронної пошти та веб-безпеки, а також сторонні рішення, такі як SureView Insider Threat Technology, Stonesoft NGFW від McAfee та Skyfence CASB від Imperva.
Архітектура рішення Forcepoint проста та включає сервери для керування, моніторингу даних та мережевого трафіку. Рішення зручне у використанні та пропонує безліч політик, класифікованих за країнами, галузями тощо. Особливістю є наявність OCR для розпізнавання конфіденційних даних у зображеннях та рейтинг ризиків для пріоритезації інцидентів.
McAfee
Після придбання компанією Intel, McAfee не проводила значних інвестицій у DLP. Проте після виділення підрозділу безпеки та повернення McAfee статусу незалежної компанії, лінійка продуктів DLP отримала необхідні оновлення.
Рішення McAfee DLP складається з трьох основних частин: мережа, виявлення та кінцеві точки. Унікальний компонент McAfee DLP Monitor отримує дані про інциденти та мережевий трафік, що дозволяє виявляти інциденти, які інакше могли б залишитися непоміченими. Управління рішенням DLP переважно здійснюється через ePolicy Orchestrator, проте деякі завдання потребують ручного виконання. Наразі, повна інтеграція DLP рішення не завершена.
Symantec
Symantec є лідером у сфері DLP, постійно впроваджуючи інновації в свій портфель продуктів. Рішення має модульну структуру з окремими компонентами для кожної функції, включаючи Network Prevent для Інтернету, Network Prevent для електронної пошти, Network Monitor, Endpoint Prevent, Data Insight, Endpoint Discover тощо.
Компонент Data Insight забезпечує аналіз неструктурованих даних, прав власності та доступу, що надає додаткові можливості, окрім звичайного DLP. Рішення Symantec DLP є дуже гнучким у налаштуванні, але і складним у розгортанні та підтримці.
RSA
RSA Data Loss Prevention дозволяє виявляти та контролювати потік конфіденційних даних, таких як IP, дані кредитних карт клієнтів. Рішення допомагає навчити кінцевих користувачів та посилити контроль електронної пошти, Інтернету, телефонів тощо для зменшення ризиків компрометації даних.
RSA DLP відрізняється повним покриттям, інтеграцією платформи та автоматизацією робочих процесів. Рішення поєднує класифікацію контенту, відбитки пальців, аналіз метаданих та експертні політики для точного визначення конфіденційної інформації. Підхід RSA, орієнтований на навчання користувачів, має на меті підвищити їхню обізнаність про ризики.
CA Data Protection
CA Data Protection (DLP від Broadcom) додає четвертий клас даних, що потребує захисту: дані під час доступу. Рішення зосереджується на тому, де знаходяться дані, як вони обробляються та який рівень їх чутливості. Основна мета – зменшити витік даних та їх неправомірне використання, контролюючи інформацію та доступ до неї.
Рішення обіцяє знизити ризики, контролюючи інформацію в усіх корпоративних локаціях, пом’якшувати високоризикові режими зв’язку та забезпечувати дотримання політик. CA Data Protection також готує основу для переходу на хмарні сервіси.
Економія чи втрата мільйонів?
Ефективне рішення DLP може заощадити мільйони, але неправильний вибір або неналежне розгортання можуть призвести до значних фінансових втрат. Вибір DLP – це не лише порівняння функцій у таблиці.
Потрібно докласти значних зусиль для аналізу всіх пропозицій та вибору рішення, що найкраще підходить для конкретної організації.