Системы защиты от утечек конфиденциальной информации (DLP)
DLP-системы и средства защиты конфиденциальной информации
Описание и назначение
Cистемы защиты от утечек конфиденциальной информации (DLP) — это системы, позволяющие в режиме реального времени производить мониторинг и блокирование входящих и исходящих сообщений сотрудников, отправки файлов на внешние носители, сетевые хранилища информации и веб-ресурсы, а также контроль голосовых и текстовых сообщений, передаваемых по протоколу SIP, с целью предотвращения утечки конфиденциальной информации.
DLP-системы являются программными средствами, которые могут анализировать потоки данных на границе защищаемого периметра, либо на рабочих станциях пользователей, и в зависимости от параметров могут блокировать несанкционированную передачу данных или записывать копию трафика для постанализа на случай проведения расследования возможной утечки.
Системы защиты от утечек конфиденциальной информации выполняют следующие задачи:
- Хранение копий конфиденциальной информации, передаваемой средствами электронной почты, мессенджеров и IP-телефонии, отправляемой на внешние носители и сетевые корпоративные и веб-ресурсы, с целью дальнейшего расследования инцидентов информационной безопасности в организации.
- Блокирование передачи конфиденциальной и другой нежелательной информации за пределы компании.
- Блокирование передачи несоответствующей информации во внутренней сеть компании.
- Блокирование возможности использования сотрудниками ресурсов организации в личных целях.
- Поиск мест расположения несанкционированных копий конфиденциальной информации (поиск конфиденциальных данных).
- Помимо этого, DLP-системы могут использоваться в качестве систем контроля действий сотрудников — контролировать их присутствие на рабочем месте, отслеживать их лояльность и благонадежность.
Как правило, системы защиты от утечек конфиденциальной информации состоят из следующих компонентов:
1. Сетевые компоненты. Они обычно размещаются на границе сети. Если DLP-система установлена в разрыв, то весь трафик организации проходит через такую систему, и она проводит его анализ в соответствии с настроенными правилами и политиками. В случае, когда риски компании при заблокированной отправке сообщения достаточно велики, DLP-системы не устанавливают в разрыв, а передают на нее трафик с прокси-сервера или сервера электронной почты. Таким образом, у администраторов безопасности всегда будет возможность просмотреть архивы сообщений и инцидентов, зарегистрированных системой.
2. Компоненты уровня хоста. Они обычно устанавливаются непосредственно на компьютеры сотрудников компании. Учитывая, что установка может производиться удаленно, пользователи могут не знать о том, что за их действиями ведется наблюдение. Однако при использовании возможности блокирования передачи данных DLP-системы могут показывать информационное окно с ошибкой в случае нарушения политик. Компоненты уровня хоста могут отслеживать копирование информации в буфер обмена, передачу данных через электронную почту, различные мессенджеры, отправку данных на внешние носители информации, а также отправку файлов и данных по протоколу HTTPS (например, на облачные хранилища информации). Важной особенностью здесь является возможность анализа данных непосредственно до их отправления по шифрованному каналу связи, что в ряде случае является единственной возможностью для их перехвата.
3. Модуль централизованного управления. Для того чтобы настроить DLP-систему, потребуется потратить много времени и проанализировать большое количество информации. Современные системы защиты от утечек позволяют использовать предустановленные словари для настройки контентной фильтрации. Такие словари могут содержать списки профессиональных терминов различных тематик (для отдела кадров, отдела информационной безопасности, различные финансовые и юридические термины), списки слов с нецензурной лексикой или нежелательных выражений, а также регулярные выражения для таких данных, как номера паспортов или номера кредитных карт.