Соболь В.В., Пархоменко
І.І.
Національний університет
біоресурсів та природокористування України
Огляд DLP -систем
Сьогодні
ринок DLP -систем є одним з найбільш швидкозростаючих серед всіх засобів
забезпечення інформаційної безпеки. Втім, Україна поки не зовсім встигає за
світовими тенденціями, у зв'язку з чим у ринку DLP -систем в нашій країні є
свої особливості.
Що
таке DLP і як вони працюють?
Перш
ніж говорити про ринок DLP -систем , необхідно визначитися з тим, що мається на
увазі , коли йдеться про подібні рішення . Під DLP -системами прийнято розуміти
програмні продукти , що захищають організації від витоків конфіденційної
інформації. Сама абревіатура DLP розшифровується як Data Leak Prevention,
тобто, запобігання витоків даних.
Подібного
роду системи створюють захищений цифровий « периметр » навколо організації,
аналізуючи всю витікаючу, а в ряді випадків і вихідну інформацію.
Контрольованої інформацією повинен бути не тільки інтернет-трафік, але і ряд
інших інформаційних потоків: документи, які виносяться за межі захищається
контуру безпеки на зовнішніх носіях, роздруковуються на принтері, що
відправляються на мобільні носії через Bluetooth і т.д.
Оскільки
DLP-система повинна перешкоджати витоку конфіденційної інформації, то вона в
обов'язковому порядку має вбудовані механізми визначення ступеня
конфіденційності документа, виявленого в перехопленому трафіку. Як правило,
найбільш поширені два способи: шляхом аналізу спеціальних маркерів документа і
шляхом аналізу вмісту документа. В даний час більш поширений другий варіант,
оскільки він стійкий перед модифікаціями, внесеними в документ перед його
відправкою, а також дозволяє легко розширювати число конфіденційних документів,
з якими може працювати система.
«
Побічні » завдання DLP
Крім
своєї основної задачі, пов'язаної із запобіганням витоків інформації,
DLP-системи також добре підходять для вирішення ряду інших завдань, пов'язаних
з контролем дій персоналу. Найбільш часто DLP-системи застосовуються для
вирішення наступних неосновних для себе завдань:
-
Контроль використання робочого часу та робочих ресурсів співробітниками;
-
Моніторинг спілкування співробітників;
-
Контроль правомірності дій співробітників (запобігання друку підроблених
документів та ін.);
-
Виявлення співробітників, що розсилають резюме, для оперативного пошуку
фахівців на звільнену посаду.
За
рахунок того , що багато організацій вважають ряд цих завдань (особливо
контроль використання робочого часу) більш пріоритетними, ніж захист від
витоків інформації, виник цілий ряд програм, призначених саме для цього, однак
здатних у ряді випадків працювати і як засіб захисту організації від витоків.
Від повноцінних DLP-систем такі програми відрізняє відсутність розвинених
засобів аналізу перехоплених даних, який повинен проводитися фахівцем з
інформаційної безпеки вручну, що зручно тільки для зовсім невеликих організацій
(до десяти контрольованих співробітників). Проте , оскільки дані рішення
затребувані в Україні , вони також включені в порівняльну таблицю ,
супроводжуючу цю статтю.
Класифікація
DLP -систем
Всі
DLP- системи можна розділити за рядом ознак на кілька основних класів. По
здатності блокування інформації , впізнаною як конфіденційна, виділяють системи
з активним і пасивним контролем дій користувача. Перші вміють блокувати
передану інформацію, другі, відповідно, такою здатністю не володіють. Перші
системи набагато краще борються з випадковими витоками даних, але при цьому
здатні допустити випадкову зупинку бізнес- процесів організації, другі ж
безпечні для бізнес-процесів, але підходять тільки для боротьби з
систематичними витоками. Ще одна класифікація DLP -систем проводиться по їх
мережевій архітектурі. Шлюзові DLP працюють на проміжних серверах, тоді як
хостові використовують агенти, що працюють безпосередньо на робочих станціях
співробітників. Сьогодні найбільш поширеним варіантом є спільне використання
шлюзових і хостових компонентів.
Світовий
ринок DLP
В
даний час основними гравцями світового ринку DLP -систем є компанії, які широко
відомі іншими своїми продуктами для забезпечення інформаційної безпеки в
організаціях. Це, перш за все, Symantec, McAffee, TrendMicro, WebSense.
Загальний обсяг світового ринку DLP-рішень оцінюється в 400 млн. доларів, що
зовсім небагато в порівнянні з тим же ринком антивірусів. Тим не менш, ринок
DLP демонструє бурхливе зростання: ще в 2009 році він оцінювався трохи більше
200 млн.
На
ринок України величезний вплив має ринок її східного сусіда , Росії , вже
досить великий і сформувався . Основними гравцями на ньому сьогодні є російські
компанії : InfoWatch, « Інфосистеми Джет», SecurIT, SearchInform, Perimetrix і
ряд інших. Загальний обсяг російського ринку DLP оцінюється в 12-15 млн.
доларів. Росте він при цьому тими ж темпами, що й світовий .
Застосування
DLP в Україні поки обмежується, найчастіше, контролем зовнішніх USB-носіїв і
принтерів. Тільки порівняно небагато організацій будують повноцінний «захисний
контур», перекриваючи всі потенційні канали витоку конфіденційної інформації.
Крім того, одним з основних побажань українських замовників є архівування за
допомогою DLP перехоплених даних для подальшого аналізу і широкий перелік
контрольованих каналів.
Література
1.Websense Data Security Suite
(DSS).<http://www.leta.ru/products/websense-dss.html>.McAfee Host
DLP.<http://www.leta.ru/products/mcafee-host-dlp.html>
3.Мастер-класс «Системы DLP: Ваша конфиденциальная информация не
уйдет «на сторону». <http://www.topsbi.ru/default.asp?trID=1206>.Системы DLP - Who? What?
Where? How?<http://www.topsbi.ru/default.asp?artID=1675>
5.Системы защиты от утечек (DLP). <http://www.infokube.ru/index.php/products/categories/category/dlp>
.Как работают DLP-системы: разбираемся в технологиях
предотвращения утечки информации.<http://www.xakep.ru/post/55604/>