Эволюция DLP-систем: прошлое, настоящее и будущее

В результате рынок DLP стало уже довольно глупо так называть. Например, главный инженер договорился с завскладом, и они ночью продают продукцию предприятия. Где здесь утечка данных, если речь идет о явном сговоре и хищении? Следовательно, DLP как система предотвращения утечек данных в таких случаях не поможет компании: речь уже идет о внутренних угрозах.

DLP на страже собственности

В принципе, даже функционал DLP можно модифицировать так, чтобы они выявляли внутренние угрозы, подобные упомянутому мною случаю. Для этого достаточно "умения" DLP-систем анализировать сообщения, скажем, по ключевым словам. Однако DLP должны развиваться в направлении обработки больших объемов данных и корреляции различных событий. Если сотрудник вместо 30 раз обратился к базе данных (БД) клиентов 300 раз и одновременно отправил на внешние адреса десяток писем, то корреляция таких событий (а также, например, информации о не очень-то лояльных высказываниях этого сотрудника о своей компании в социальных сетях) дает довольно высокую вероятность того, что он сейчас ворует данные из БД.

От ярлычка к большим данным

В самом начале функционал DLP позволял присваивать ярлычки определенным документам, и когда они начинали движение по запрещенным адресам или маршрутам, такая активность перехватывалась или блокировалась. Для этого надо было установить, какие документы и как именно отмечать ярлычками, и определить, какие сотрудники имеют или не имеют права доступа к ним. Сейчас все идет к тому, что необходимы корпоративные политики, которые обеспечивают обработку больших объемов данных и которые можно сличать с конкретными событиями, сотрудниками, документами, ключевыми словами, делая на основании такой работы значимые выводы. В той DLP-функциональности, которую я вижу в будущем, останутся только наметки на события. Например, лишь 60 из 1 тыс. сотрудников компании с вероятностью 80% склонны к злоупотреблению корпоративными данными. Понимая это, мы можем сузить фокус внимания и не следить за всеми сотрудниками.

Коррупционные модели, т.е. события, которые сигнализируют о факте коррупции, тоже примерно одинаковы для всех компаний. Возможны какие-то отраслевые особенности (например, различаются нюансами банковское и страховое мошенничество), но в целом модели коррупции и саботажа более-менее схожи во всех отраслях. Особенностей не так уж много, и 15–20 моделей угроз могут покрыть больше половины всех злоупотреблений.

Таким образом, значение ИБ для бизнеса также проходит через эволюционные преобразования. Было время, когда DLP-функционал обеспечивал защиту данных. Это время уже уходит, и сейчас перед ИБ стоит задача полноценной защиты бизнеса. Это понимают и вендоры, и заказчики. Расширение функциональности DLP до систем по защите от внутренних угроз, переход этих решений из плоскости информационной безопасности в область безопасности экономической – все это серьезные, но неизбежные изменения на эволюционном пути.