Стратегии защиты данных: как технологии DLP обеспечивают безопасность

В наше время, когда каждая компания сталкивается с риском утечек информации, внедрение передовых технологий безопасности становится не просто выбором, а жизненно важной необходимостью для бизнеса любого размера. Максим Петухов, технический директор компании «Перфоманс Лаб», поделился своими знаниями о том, как использовать системы предотвращения утечек данных (DLP) и SIEM.

Максим Петухов

Технический директор компании «Перфоманс Лаб»

IT Speaker: Максим, начнем с основ. С чего следует начать, если принято решение внедрять системы DLP для защиты данных? 

— Когда вы готовитесь к внедрению DLP-системы безопасности, важно начать с четкого определения ценных данных. Рассмотрите, какие данные требуют особой защиты, например, конфиденциальная информация, персональные данные, или коммерческие секреты. Оцените, насколько велика угроза утечки этих данных, и какой потенциальный ущерб она может принести.

Дополнительно, проведите структурирование информации. Определите, как эти данные идентифицируются и разделяются, какие каналы для них допустимы, а какие — нет. Установите правила доступа для сотрудников, определите, кто может работать с конфиденциальными данными, а кто — нет. Этот этап подготовки обеспечит более эффективное внедрение DLP-системы.

Работа с тестовыми стендами и данными играет ключевую роль в управлении утечками данных. Часто возникает ситуация, когда данные из продуктовой среды переносятся на тестовые стенды как есть. В этот момент возможен доступ внешних подрядчиков или даже внутренних сотрудников, что создает потенциальный риск утечки информации.

Поэтому важно, чтобы DLP-система осуществляла мониторинг данных, формируемых на тестовых стендах. Помимо этого, следует применять деперсонализацию данных, используя либо генерацию синтетических данных, либо маскирование для защиты конфиденциальности. Эти меры позволяют замаскировать и затереть чувствительную информацию, делая ее не сопоставимой с реальными данными и предотвращая возможные утечки.

IT Speaker: Существуют ли конкретные типы бизнеса, для которых DLP-системы безопасности являются наиболее критичными?

— DLP-системы безопасности в первую очередь предназначены для бизнеса, который активно использует конфиденциальную информацию, персональные данные, коммерческую тайну и другие виды тайн. При большом объеме коммуникаций в бизнесе и высоком риске утечек данных, DLP-системы безопасности также необходимы.

Если в компании разрешен активный обмен данными через устройства — флешки, диски, если разрешается скачивать и переносить данные, тогда важно отслеживать, что скачивается, а что переносится. В этом могут помочь бизнесу DLP-системы безопасности.

Если не понятно, куда уходят данные, где они лежат, бардак в организации данных, с которыми работает компания, нет структуры, то нужно применять DLP-системы.

IT Speaker: На ваш взгляд, насколько эффективны DLP-решения в предотвращении утечек информации?

— Решения, безусловно, эффективны, но надо понимать, что на 100% никто не может защититься от утечек. Такие системы, как DLP, позволяют снизить процент утечек. Чем больше формализована, понятна и структурирована информация, тем больший эффект DLP-системы будут давать. Если установить признаки идентификации конфиденциальной информации, определить, где находятся источники и потребители информации, места хранения, где она может накапливаться, то эффективность DLP-системы возрастет.

IT Speaker: Наблюдается ли рост популярности DLP-систем среди компаний? Что способствует их распространению?

— Да, в последнее время наблюдается рост популярности DLP-систем. Это связано с тем, что возрастает объем конфиденциальной информации, плюс законодательство из года в год ужесточается — растут штрафы, ответственность и не только административная. Законодательный фактор сильно влияет на рост популярности таких систем. Второй фактор — возрастание роли служебных и коммерческих тайн. В современном мире появляется все больше каналов коммуникации и создается больше условий для того, чтобы сотрудник мог случайно или неслучайно отправить информацию. Чем больше коммуникаций, каналов, ужесточения законодательства и объема конфиденциальных данных, тем популярнее DLP-системы.

C принятием закона об ужесточении и увеличении штрафов в зависимости от оборотов, размер штрафов может вырасти по 0,5 млрд, а этого очень ждут хакеры, чтобы иметь возможность шантажа. Соответственно, роль DLC систем возрастает еще больше.

IT Speaker: Можете ли вы кратко описать различные типы DLP-систем безопасности, и как они работают?

— В общем, их можно разделить на 3 группы. Первая — Data-in-use (данные в использовании, или операционные данные. Это информация, которая активно изменяется, обрабатывается и используется в рабочем процессе). DLP-системы обслуживают эти данные, отслеживая, как взаимодействуют с ними приложения, как используется буфер обмена, а также как взаимодействуют съемные USB-устройства и подключения к компьютеру через беспроводные средства связи (Wi-Fi, Bluetooth). Кроме того, проводится анализ поведения пользователей, активно взаимодействующих с этими данными. Здесь уже применяются технологии искусственного интеллекта для обработки подобного рода информации.

Вторая группа — данные движения или Data-in-motion (данные в движении, информация, которая находится в процессе передачи, в перемещении, в транспортировке от источника к адресату). Речь идет о таких сценариях, как электронная почта, совместная разработка разработчиками, системы контроля версий, облачные системы для совместной работы, а также чаты и мессенджеры для обмена информацией на открытых публичных каналах. Здесь важно идентифицировать данные, которые требуется структурировать и четко обозначить, чтобы выделить конфиденциальные сведения, подлежащие защите. По этим признакам можно определить, куда направлены эти данные, и в этот момент DLP-система должна либо предотвратить, либо уведомить соответствующую службу безопасности компании.

Третий тип данных — Data-at-rest — данные в хранении (информация, которая где-то сохранена, будь то хранилище, архив или просто файлы, хранящиеся в базах данных, сканированные копии документов на серверах или в облаках). Здесь важно обеспечить доступ, отслеживать, кто подключается к этим данным и как их использует. У каждого из этих типов данных свой подход. Современные системы отслеживают все, но подходы к ним различаются. В первом случае мы следим за тем, как с данными взаимодействуют, во втором - за трафиком, а в последнем — определяем наличие данных, кто к ним подключается и как они могут быть использованы.

IT Speaker: Какие стратегии вы порекомендуете для экономии на использовании DLP-систем?

— Для экономии при использовании DLP-системы безопасности следует придерживаться нескольких стратегий. Прежде всего, важно строго соблюдать законодательство, чтобы избежать значительных штрафов. Предотвращение дополнительных расходов в виде штрафов является приоритетом. В случае утечки критических данных, компания несет значительные потери. Соответственно, предотвращение потерь дает большую экономию в перспективе.

Во-вторых, эффективно сэкономить можно, выбрав подходящие системы. Если у нас есть четко структурированные данные, настройка таких систем становится проще и более экономичной. Заранее определенные характеристики данных, такие как хранилище документов и их выделение, играют ключевую роль. Четкое определение системы и хранения документов помогает точно выявить, когда документы выходят за пределы предполагаемого маршрута, а также определить легитимность использования канала для передачи.

Кроме того, необходимо учесть роль людей в этом процессе. Четкое определение прав доступа сотрудников к документам и данным, а также возможности отправки их через определенные каналы, упрощает процесс настройки системы. Заранее определенные параметры и стандарты позволяют сократить объем работы по настройке системы и, таким образом, сэкономить средства при ее внедрении. С фокусированным использованием определенных систем в конкретных местах можно также добиться оптимизации и экономии.

IT Speaker: Как на практике работают DLP-системы для защиты от утечек информации?

— Для понимания работы DLP-систем безопасности следует начать с определения данных, которые подлежат защите от утечки, и их идентификации. Например, это могут быть реквизиты, паспортные данные, банковские сведения, персональные документы, ИНН, пластиковые карты, а также шаблонные договоры, фразы и слова, специфичные для определенного вида информации. Идентификация может осуществляться с использованием текстового анализа или нейросетей для распознавания данных в файлах, сообщениях или базах данных.

Как только идентификаторы определены, система анализирует данные в реальном времени, следя за передачей информации. Логика определения включает проверку по заданным идентификаторам в различных каналах. Если обнаруживается конфиденциальная информация, система принимает меры.

Первым этапом является определение канала, по которому происходит передача. Система проверяет, разрешено ли передавать информацию по данному каналу. Затем система анализирует, разрешен ли данный тип информации в этом канале. 

Если нет, система блокирует передачу и уведомляет об этом. В случае разрешенной передачи, система анализирует, кто именно передает информацию, основываясь на уровне прав доступа. 

Если информация передается неавторизованным пользователем, система срабатывает. Помимо идентификации и контроля каналов, DLP-системы могут использовать поведенческий анализ, включая машинное обучение и нейросети. Это позволяет системе отслеживать, как сотрудники взаимодействуют с информацией, выявлять аномалии и предотвращать несанкционированные действия. Одним из аспектов работы системы является также анализ файлов в хранилищах, где проверяется их соответствие ожидаемым местам, а также правомерности доступа к ним. Если обнаруживаются нарушения, система реагирует, сообщает и блокирует передачу.

DLP-системы фиксируют все события, что позволяет провести расследование в случае инцидента. Журналы могут быть сохранены системой или передаваться в SIEM-системы для агрегации и анализа. DLP должна быть настроена для мониторинга всех каналов связи, мест хранения данных и рабочих мест в корпоративной среде.

IT Speaker: Чем отличаются системы DLP от SIEM, и как они взаимодействуют для обеспечения безопасности?

— DLP-система и SIEM (система управления информационной безопасностью и событий) играют разные, но взаимосвязанные роли в обеспечении информационной безопасности.

DLP-система в первую очередь ориентирована на предотвращение утечек данных. Ее задача — определить факт утечки, заблокировать канал передачи или, по крайней мере, уведомить ответственных за безопасность о произошедшем инциденте. DLP-система работает с предопределенными правилами и настройками для определения и контроля конфиденциальной информации.

С другой стороны, SIEM-система имеет более широкий спектр обязанностей. Она предназначена для сбора, агрегации и анализа данных о безопасности из различных источников в реальном времени. SIEM включает в себя мониторинг событий, логирование и обработку алертов. Она объединяет данные от различных систем безопасности, таких как DLP, фаерволы, антивирусные программы и другие, для создания целостной картины безопасности.

Основная разница между ними заключается в том, что DLP-система сконцентрирована на конкретных сценариях утечки данных и действует в соответствии с предопределенными правилами, в то время как SIEM-система охватывает более широкий спектр событий безопасности и обеспечивает анализ и координацию между различными системами безопасности. SIEM может использовать данные от DLP-системы, а также дополнительные источники, чтобы обнаруживать новые или неизвестные угрозы и предоставлять инженерам по безопасности возможность проводить анализ и реагировать на события.