Контакты
Подписка
МЕНЮ
Контакты
Подписка

Эволюция DLP-систем: прошлое, настоящее и будущее

Эволюция DLP-систем: прошлое, настоящее и будущее

В рубрику "DLP" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Эволюция DLP-систем: прошлое, настоящее и будущее

Рынок ИБ эволюционирует вслед за рынком ИТ. Примерно до 2007 г. основной задачей безопасников была защита сети от вирусов и спама. Когда пошел курс на хранение и обработку больших массивов данных в электронном виде, возник рынок DLP. Ведь если все хранится в электронном виде, то и похищаться будет в электронном виде. Соответственно, появилась необходимость в защите от утечек, неосторожного обращения с информацией и преднамеренного воровства. Позднее как инфраструктура бизнеса, так и человек полностью встали на рельсы информационных технологий, и это означает, что деньги по большей части тоже “ходят" в электронном виде. А там, где деньги, возможны уже совершенно другие потери.
Всеволод Иванов
Исполнительный директор компании InfoWatch

В результате рынок DLP стало уже довольно глупо так называть. Например, главный инженер договорился с завскладом, и они ночью продают продукцию предприятия. Где здесь утечка данных, если речь идет о явном сговоре и хищении? Следовательно, DLP как система предотвращения утечек данных в таких случаях не поможет компании: речь уже идет о внутренних угрозах.

DLP на страже собственности

В принципе, даже функционал DLP можно модифицировать так, чтобы они выявляли внутренние угрозы, подобные упомянутому мною случаю. Для этого достаточно "умения" DLP-систем анализировать сообщения, скажем, по ключевым словам. Однако DLP должны развиваться в направлении обработки больших объемов данных и корреляции различных событий. Если сотрудник вместо 30 раз обратился к базе данных (БД) клиентов 300 раз и одновременно отправил на внешние адреса десяток писем, то корреляция таких событий (а также, например, информации о не очень-то лояльных высказываниях этого сотрудника о своей компании в социальных сетях) дает довольно высокую вероятность того, что он сейчас ворует данные из БД.

От ярлычка к большим данным

В самом начале функционал DLP позволял присваивать ярлычки определенным документам, и когда они начинали движение по запрещенным адресам или маршрутам, такая активность перехватывалась или блокировалась. Для этого надо было установить, какие документы и как именно отмечать ярлычками, и определить, какие сотрудники имеют или не имеют права доступа к ним. Сейчас все идет к тому, что необходимы корпоративные политики, которые обеспечивают обработку больших объемов данных и которые можно сличать с конкретными событиями, сотрудниками, документами, ключевыми словами, делая на основании такой работы значимые выводы. В той DLP-функциональности, которую я вижу в будущем, останутся только наметки на события. Например, лишь 60 из 1 тыс. сотрудников компании с вероятностью 80% склонны к злоупотреблению корпоративными данными. Понимая это, мы можем сузить фокус внимания и не следить за всеми сотрудниками.

Коррупционные модели, т.е. события, которые сигнализируют о факте коррупции, тоже примерно одинаковы для всех компаний. Возможны какие-то отраслевые особенности (например, различаются нюансами банковское и страховое мошенничество), но в целом модели коррупции и саботажа более-менее схожи во всех отраслях. Особенностей не так уж много, и 15–20 моделей угроз могут покрыть больше половины всех злоупотреблений.

Еще в 2012 г. порядка 80% инцидентов были связаны с утечками данных, а примерно 19% – с воровством, нелояльностью и саботажем сотрудников. Статистика за текущий год, во-первых, свидетельствует о значительном увеличении числа инцидентов, а во-вторых, демонстрирует, что количество непосредственно утечек данных сейчас снизилось в два раза, а основная часть инцидентов приходится на воровство, саботаж, коррупцию и мошенничество сотрудников.

Таким образом, значение ИБ для бизнеса также проходит через эволюционные преобразования. Было время, когда DLP-функционал обеспечивал защиту данных. Это время уже уходит, и сейчас перед ИБ стоит задача полноценной защиты бизнеса. Это понимают и вендоры, и заказчики. Расширение функциональности DLP до систем по защите от внутренних угроз, переход этих решений из плоскости информационной безопасности в область безопасности экономической – все это серьезные, но неизбежные изменения на эволюционном пути.

INFOWATCH (ЗАО "ИНФОВОТЧ")
123022 Москва,
2-я Звенигородская ул., 13,
стр. 41, этаж 8
Тел/факс: (495) 229-0022
E-mail: info@infowatch.ru
www.infowatch.ru

Статьи про теме