Контакты
Подписка
МЕНЮ
Контакты
Подписка

DLP по-русски - больше, чем просто DLP

DLP по-русски - больше, чем просто DLP

В рубрику "DLP" | К списку рубрик  |  К списку авторов  |  К списку публикаций

DLP по-русски - больше, чем просто DLP

DLP — одно из самых динамично развивающихся направлений российского IT-рынка. При этом еще лет 15 назад словосочетание "контроль утечек" отечественному рынку ИБ было практически незнакомо. Да и сами DLP-решения не входили в число самых востребованных продуктов, так как компании не понимали, какова их практическая польза для бизнеса. И только с течением времени рост общего уровня информатизации российского корпоративного сектора заставил отечественные компании больше внимания уделять разнообразным возможностям утечек критичной для бизнеса информации.
Кирилл Викторов
Заместитель директора
по развитию бизнеса
компании "Инфосистемы Джет"

Тон задает региональный компонент

Общая картина на рынке востребованных средств контроля отнюдь не статична: компании закупают технику и софт для контроля рисков, отлаживают политики, адаптируются к новым подходам (таким, к примеру, как концепция Bring Your Own Device или задачи обеспечения ИБ в условиях повального использования мобильных устройств). Откликаясь на потребности рынка, производители наращивали (и продолжают это делать сейчас) функционал DLP-систем, обладающий высоким уровнем эффективности в рамках новых парадигм и позволяющий контролировать все большее число информационных потоков - социальных сетей, онлайн-мессенджеров (в том числе Skype, Mail.ru Агент) и т.д.

В версии 5.0 комплекса "Дозор-Джет" значительно переработаны механизмы отчетности и представления статистики по инцидентам Каждый запрос в системе -это отчет, который можно использовать в различных сценариях ее работы, как для расследований, так и для подтверждения действенности принятых мер. За счет развитой политики и модели доступа к данным в архиве "Дозор-Джет" 5.0 позволяет использовать инструменты для выполнения политики безопасности сохраняя при этом приватность переписки легитимных пользователей.

При этом учитывается и специфика расследования ИБ-инцидентов, характерная для российской действительности. Например, характерным требованием,предъявляемым российскими компаниями к DLP-решениям, является своевременное информирование офицера ИБ или руководителя соответствующего подразделения об утечке, а также предоставление возможности поднять нужные данные из системы хранения постфактум (например, спустя 1-2 года). В данном случае можно привести известные отечественные примеры возбуждения уголовных дел по фактам утечек в отношении сотрудников, которые уже не работают в компании. Таким образом, ожидания российского рынка от предлагаемых DLP-решений значительно шире, нежели их классический функционал. Службы ИБ стремятся оперативно проводить расследования инцидентов, что напрямую связано с возможностью быстро и удобно получать нужные данные. А для этого требуется организовать доступ к максимальному числу систем - источников информации. При этом особое внимание уделяется контексту той или иной фразы или сообщения, выходящих за периметр контролируемого информационного поля (должность автора, его стандартный профиль общения и т.д.). Такие подробности позволяют точнее определить, чем являются эти факты - обычным выполнением должностных обязанностей или утечкой. Данный подход позволяет сформировать некий набор идентификаторов, определяющих сотрудника в цифровом мире. В этом смысле киберпространство в бизнес-среде существует уже несколько лет. И разработчики DLP-систем это учитывают. Кроме того, сегодня деятельность и результаты работы служб ИБ все чаще попадают в сферу внимания топ-менеджмента компаний, что ставит офицера ИБ перед задачей оперативного предоставления информативных и наглядных отчетов по запросу бизнес-руководства. В этом случае роль аналитической системы, позволяющей создавать такую отчетность за приемлемое время, часто измеряющееся минутами, также может выполнить система DLP. Данный функционал на текущий момент не входит в число основных возможностей DLP-систем, но в ближайшее время станет одним из ключевых направлений их развития.

"Дозор-Джет" - что новенького?

Аналогичным образом развивалось и первое отечественное DLP-решение "Дозор-Джет". На момент своего появления в 2000 г. "Дозор-Джет" использовался преимущественно как система, позволяющая реализовать политику использования электронной почты и контролировать доступ в Интернет. На сегодняшний день "Дозор-Джет", помимо прочего, может играть роль эффективного средства для анализа лояльности сотрудников компании, проводя зависимость между предпринятыми компанией действиями в отношении своих сотрудников и малейшими изменениями в их информационной активности. Вторым моментом, иллюстрирующим тенденцию к "очеловечиванию" DLP-системы, является разработка удобного, интуитивно понятного интерфейса, который не требует значительного времени на освоение у тех, кто уже знаком с предыдущими версиями решения. Но полностью обновленная технология работы с интерфейсом, которая в том числе позволяет офицеру ИБ быстро сравнивать результаты нескольких запросов и оценивать состояние всего комплекса в онлайн-режиме - это лишь вершина того айсберга изменений, которые реализованы в новой версии.

Во главе угла - пожелания пользователей

Подавляющее большинство подсистем "Дозор-Джет" 5.0 модернизированы с ориентацией на ожидания компаний и инженеров, работающих с комплексом. В частности, подсистема фильтрации теперь отличает сообщения из разных источников и автоматически выполняет ряд действий (например, определяет направления передачи), которые ранее требовали описания в политике. Появилась возможность интеграции средств фильтрации и внешних источников данных: от интеграции с SIEM-системами, например с HP ArcSight за счет разработки собственного коннектора, до создания штатных интерфейсов взаимодействия с базами данных, например со СКУД. В ближайшее время станут доступны механизм интеграции с новыми для DLP-систем средствами хранения данных и более точная работа с политикой ИБ компании. В ряде сценариев новая версия "Дозор-Джет" способна накапливать и анализировать информацию и при контакте с мобильными устройствами: контролирует протокол МТР для Android и активность iTunes, регистрирует работу ряда облачных сервисов по сети.

Единая точка входа при управлении, эффективное хранение и...

Управление распределенными системами комплекса теперь производится из единой точки с обеспечением непрерывного мониторинга работоспособности всех сервисов и их автоматического рестарта. За счет чего значительно сокращается время, затрачиваемое на обслуживание системы, повышаются ее управляемость и надежность. Подсистема поиска и работы с архивом позволяет работать с отчетностью с большим комфортом: увеличилось число возможных отчетных форм, при этом уменьшились трудозатраты на их создание за счет дополнительных, быстрых форм поиска.

На базе комплекса "Дозор-Джет" можно будет создать универсальный рабочий стол для специалиста по информационной безопасности, помогающий использовать в расследовании инцидентов комплекс данных охваченных интеграцией систем. Это становится возможным благодаря наличию у комплекса подсистемы интеграции данных с внешними системами, включая CRM, ERP, Active Directory и т.п. Благодаря чему ИБ-специалист может вести расследование инцидентов на основании данных, полученных из самых разных бизнес-приложений, а использование интеллектуального анализа текста позволяет осуществлять поиск сообщений e-mail и документов не только по точным совпадениям, но и по словосочетаниям и фразам.

Значительная работа была проведена в части повышения эффективности и мощности подсистемы хранения - за счет автоматического сжатия и использования специально разработанных средств в новой версии "Дозор-Джет" ощутимо увеличена плотность хранения информации. При этом по сравнению с версией 4.0 снижена нагрузка на серверы фильтрации и базы данных, увеличены пиковая и средняя производительности архивации. Для облегчения работы по обслуживанию системы реализованы средства ротации данных в архиве в автоматическом режиме, а также получена обратная совместимость по формату хранения без ограничений, которые накладывают СУБД.

Контроль новых горизонтов

Современная версия комплекса предлагает и решение задачи по интеграции контроля разных источников информации в рамках единой системы: все возможные типы событий теперь можно обрабатывать в одном архиве. Офицер безопасности, в свою очередь, получает удобный инструмент контроля содержимого (в том числе СНИЛС, номера паспортов, кредитных карт и пр.), цифровых отпечатков и необходимые средства разделения полномочий по доступу к данным архива. Кроме того, система способна учитывать морфологические особенности русского языка: использование методов глубокого анализа содержимого позволило дополнить функционал такими возможностями, как поиск похожих документов в архиве или работа политики по ключевым фразам и выражениям.

Также в 2012 г. реализован компонент, которого ранее в "Дозор-Джет" не было, - агент на рабочих станциях. Ранее он заменялся интеграцией с решениями третьих производителей. Его появление позволяет взять под контроль современные, актуальные для сотрудников ИБ-отделов каналы утечек (Skype, системы обмена файлами - Dropbox и др.) и https-соединения. Если говорить о вариантах применения "Дозор-Джет", то увеличилось разнообразие возможных сценариев его использования. Версия 5.0 позволяет работать в режимах облачного сервиса, системы по требованию, системы для расследования инцидентов.

Прогнозы: DLP в ожидании аналитического фронта

За 13 лет, прошедших с момента выхода на рынок первой версии комплекса "Дозор-Джет", было выполнено более 400 инсталляций продукта и выпущено несколько официальных релизов системы. Это позволило накопить опыт внедрений и обширную базу пожеланий компаний к решениям подобного класса. Зачастую требования пользователей ОТК к функционалу "Дозор-Джет" превышают стандартные возможности систем DLP, а в некоторых сценариях и противоречат им. В версии 5.0 учтено большинство таких пожеланий, но в настоящий момент в полной мере доступен не весь этот функционал. Новая версия, как и предыдущие, в первую очередь играет роль устойчивой базы для дальнейшего развития. Уже сейчас ведется полномасштабная работа над следующим релизом продукта, ориентированным на увеличение возможностей для глубокого анализа событий в сети, на рабочих станциях, в базах данных, почтового и другого трафика. При этом мы, как вендор, сосредотачиваемся на актуальных требованиях, которые рынок предъявляет к системам DLP и управлению информационными потоками: большие массивы данных, большее время хранения, меньшее время на реакцию и широкие пожелания к функционалу, надежности и производительности. "Дозор-Джет" уже сейчас имеет возможности интеграции с широким спектром внешних систем для проведения анализа событий, и эту информацию можно использовать в политике обработки и при поиске. Система будет развиваться и дальше, с тем чтобы офицеры безопасности смогли работать в еще более привычной обстановке - с людьми, а не с адресами, с компаниями, а не с доменами.

ИНФОСИСТЕМЫ ДЖЕТ, КОМПАНИЯ
127015 Москва, ул. Большая
Новодмитровская, 14, стр. 1
Тел.: (495) 411-7601, 411-7603
Факс: (495) 411-7602
E-mail: info@jet.msk.su
www.jet.msk.su

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2013
Посещений: 7265

Приобрести этот номер или подписаться
  Автор

 

Кирилл Викторов

Директора по развитию бизнеса компании "Инфосистемы Джет"

Всего статей:  4

В рубрику "DLP" | К списку рубрик  |  К списку авторов  |  К списку публикаций