Как выбрать лучшую DLP-систему?

Казалось бы, выбрать должно быть просто. Что делает хорошая DLP-система? Контролирует все каналы передачи данных, эффективно выявляет угрозы утечки конфиденциальных данных, стабильно работает и не прерывает бизнес-процессов.

Что можно сделать, чтобы выбрать лучшую для потребностей конкретной компании?

• Составить (или найти) огромную таблицу сравнения и разобраться с каналами;

• Почитать рекламные материалы и убедиться в эффективности;

• Почитать отзывы, статьи, спросить коллег и оценить стабильность работы.

Но остаются вопросы:

• Используете ли вы все каналы передачи данных?

• Нужно ли вам прерывать процесс передачи? Закрыть канал полностью или детектировать именно конфиденциальные данные?

• Как вам определять наличие риска? Анализировать информацию? Или пользователя? Или обстоятельства произошедшего?

• Не окажется ли, что именно ваши активы имеют нестандартную структуру и плохо детектируются, а именно ваш софт конфликтует с программным обеспечением вендора?

Так еще и выясняется, что во многие DLP-системы уже включены:

• Функциональность контроля эффективности сотрудников. Информация об активных приложениях, посещенных сайтах, кейлоггер, запись видео экрана — все это действительно полезно и для предотвращения утечек! Подобным опытом поделимся в отдельной статье.

• Функциональность User Behavior Analytics (UBA). Анализ поведения сотрудников и выявление аномальных действий — компактная версия крайне популярных сегодня комплексов. Да, количество доступных источников данных здесь меньше и это сказывается на функциональности, но применительно именно к задаче контроля конфиденциальных данных работает отлично.

«На бумаге» сравнить качество реализации подобных инструментов уже значительно сложнее. Получается, большинство вопросов можно снять только одним способом: провести пилотный проект. Но решений много, а кадровых ресурсов мало. Даже пара небольших бесплатных проектов в конечном итоге может обойтись довольно дорого. А небольшими они будут, только если заранее четко представить, что именно необходимо протестировать.

А значит, ключевая задача — выделить для тестирования одно-два решения, где реализованы наиболее интересные функции.

Об этом и будем вести речь далее.

Для начала рассмотрим наиболее универсальные способы.

Самые продаваемые. Парадокс, но они же самые дорогие. Явные «лидеры рынка», собравшие в себе «всё лучшее, что на данный момент известно».

Однако многие особенности не могут быть объективно плохими или хорошими. Например:

• Система не может собирать всю возможную информацию и при этом не быть требовательной к ресурсам.

• Система не может с высокой точностью определять факты утечки и не требовать детального описания ваших активов.

• Система не может прерывать рисковые процессы и при этом не создавать риска для бизнеса.

Таким образом, даже если мы имеем дело с «лидером рынка», не факт, что вам понравится то, какой выбор когда-то для себя сделали его разработчики.

Самые мощные. Система предотвращает утечку данных по различным каналам, значит, чем больше каналов — тем мощнее.

Однако, как уже обозначалось выше, каналы это еще далеко не всё.

Первый раз мы выбирали систему именно по этому принципу. В процессе тестирования оказалось, что это четыре не интегрированных между собой продукта одного вендора. При этом на обслуживание каждого нужно по два человека на постоянной основе. Это, конечно, преувеличение для большей наглядности.

Самые рекомендуемые. Нужно определиться с источником рекомендаций — квадрант Gartner, например. Правый верхний угол: Forcepoint и Symantec. Системы действительно мощные и авторитетные. Но почему именно они? Потому что это западный рынок, и наши игроки на нём пока не популярны. На приведенные выше системы приходится по 66 и 69 review (исследования, на основе которых дается оценка) соответственно. На всех «наших» вместе взятых менее десяти.

Попробуем представить более индивидуальные критерии выбора.

Первым делом сформулируем потребности. Предлагаем несколько вопросов для самоконтроля. Ответив на каждый из них, вы сможете оценить, что из нескольких одновременно недостижимых вариантов вам больше подходит.

После этого рассмотрим варианты реализации. Данная информация является лишь нашей рекомендацией и основана на субъективном опыте работы с системами. Упоминание вендора в конкретном контексте не означает, что в продуктах конкурентов таких возможностей нет, как и то, что указанная система может работать только так, как написано здесь. Приводится лишь наиболее удачная на наш взгляд реализация конкретной особенности.

Все, конечно, понимают, что DLP — это инструмент для обеспечения информационной безопасности. Но некоторые, возможно, удивятся, как много еще найдется подразделений, заинтересованных в информации из DLP-архива. Стоит ли спрашивать, нужна ли службе экономической безопасности информация о взаимодействиях с контрагентами (реализовано в InfoWatch, Ростелеком-Solar)? Будет ли интересна службе внутренней безопасности информация об определенных пристрастиях среди работников (есть в SearchInform, «Гарда Технологии»)? Да, возможно, вы работаете в небольшой организации и все перечисленные выше — это вы сами. Но от этого подобная информация не теряет актуальность. Не исключено, что контролем некоторых процессов заинтересуется непосредственно руководство компании. Выберите симпатичную систему с дружелюбным интерфейсом (например, Ростелеком-Solar, «Гарда Технологии») и покажите, как за пять минут оценить оперативную обстановку(Ростелеком-Solar, «Гарда Технологии», InfoWatch). Здесь же очень могут пригодиться возможности по получению информации об эффективности работы сотрудников (как в SearchInform, InfoWatch, «Гарда Технологии», Zecurion), а если нет — им всегда будет рад департамент HR. И это еще не полный перечень вариантов использования.

Как подключить коллег, всегда остается на ваше усмотрение: можете предоставить ограниченный доступ, можете сами выгружать информацию по запросу либо настроить регулярную отправку данных. Суть в том, что с большим количеством вариантов использования будет гораздо проще окупить затраты на такую довольно-таки дорогую «игрушку».

Некоторые системы требуют минимум участия в их повседневной работе (Forcepoint, Symantec). Но будьте готовы, что из коробки всё не «взлетит». Вам потребуются довольно дорогие специалисты для настройки политик. Очень много их времени придется задействовать на старте, но и это еще не всё: регулярно (по крайней мере, раз в квартал) будьте готовы снова подключать их для актуализации имеющихся правил контроля. Примерно за год, а в некоторых компаниях и гораздо быстрее, бизнес-процессы изменятся так, что DLP либо начнет ловить воздух, либо погребет вас под волной неинформативных уведомлений.

Обратная ситуация — «ловим всё, разбираемся после» (SearchInform, «Гарда Технологии»). Можете сэкономить время (и деньги) на настройке, но будьте готовы раскапывать ключевую информацию в потоке плохо структурированных данных (не потому что эти системы плохие, а потому что мы сэкономили на настройке). Плюсуйте в штат по одному человеку на каждую 1000 сотрудников на контроле и считайте. Кому-то так выйдет даже дешевле, чем всё досконально настраивать.

Возможен и промежуточный вариант (InfoWatch, Ростелеком-Solar). Потратили время, настроили — дальше потихоньку разбираем. Понемногу где-то подкручиваем, оптимизируем временные затраты автоматизацией.

Если принято решение, что для постоянной работы с системой нужно больше одного человека, можно обратить внимание на то, как в DLP построен процесс взаимодействия между аналитиками, насколько удобно будет взаимодействовать между собой (Ростелеком-Solar) и насколько каждый из них сможет настроить систему под свои задачи («Гарда Технологии»).

Какие каналы действительно использует бизнес? Какие из них будет небезопасно использовать даже при наличии DLP? Можно ли от чего-то отказаться? Например, возможность контроля ICQ в DLP это хорошо. Но если в вашей организации общаются с клиентами только в Skype, не логичнее ли будет заблокировать запуск всех посторонних мессенджеров («Гарда Технологии», Ростелеком-Solar)?

Возможностями по блокированию потенциально критичных действий DLP-системы различаются очень сильно. Разберемся, какие именно процессы мы хотим прерывать: не позволять записывать информацию на съемный носитель (Zecurion, DeviceLock), приостанавливать отправку писем или модифицировать их контент (Forcepoint, Ростелеком-Solar), не давать загружать файлы на внешние ресурсы включая web-почту, мессенджеры, файлообменники и облачные сервисы (Ростелеком-Solar, InfoWatch), контролировать отправку данных на печать (Ростелеком-Solar, InfoWatch).

Не менее интересный вопрос — хотите ли вы полностью заблокировать канал передачи данных (SearchInform, InfoWatch) или попробуете запрещать только факты отправки именно конфиденциальных данных (Forcepoint,Ростелеком-Solar). Как будете определять конфиденциальные данные: при помощи контентного анализа (Forcepoint, Ростелеком-Solar) или организуете процесс регулярной маркировки всего ценного, чтобы не заблокировать случайно лишнего (Forcepoint, «Гарда Технологии», Safetica).

Ряд сложных вопросов: «Какие у вашей организации есть ценные активы?», «Где они хранятся?», «Кто, кому и по каким каналам их передает?» Если не уверены, что всё это знаете идеально, у вас, тем не менее, два выхода:

Провести аудит. Скорее всего, привлечь специалистов со стороны и долго с пристрастием опрашивать Бизнес на тему, где, что и для каких целей у них припасено. Собирать образцы активов вперемешку с абстрактными описаниями «файликов с большим количеством цифр». Только после этого возвращаться к процессу написания политик контроля.

Внедрять систему, собирающую много данных и имеющую возможность «прошерстить» уже собранную информацию на соответствие только что придуманным политикам (SearchInform, «Гарда Технологии», Ростелеком-Solar). Анализировать, сравнивать, строить графики и только потом переходить к автоматизации и блокировке.

Предлагаем подумать об отчётах. Нужно ли будет выгружать «доказательную базу» (SearchInform, Zecurion)? Или потребуется наглядная статистика (InfoWatch, «Гарда Технологии»)?

... Или задачу можно решить специализированным решением?

Возможно, при помощи DLP нужно решить какую-то локальную задачу? Например, контролировать съемные носители (Zecurion, DeviceLock). Не исключено, что у нас совсем немного информационных систем и можно настроить контроль для всех документов, которые из них выгружаются (Safetica). Либо акцент в контроле все-таки смещен не в сторону конфиденциальных данных, а в сторону непосредственно сотрудников (контроль сотрудников с примесью DLP — Staffcop, «Стахановец»).

Возможно, вам потребуется реализовать в системе что-то нестандартное? Как правило, разработчики всегда приветствуют интересные идеи для возможной реализации в системе. Но совсем другое дело, если идея им интересной не покажется. Например, Ростелеком-Solar ревностно следит, чтобы не отклоняться от основной концепции (и это действительно гармоничный продукт!), но если вы не вписываетесь — сожалеем. InfoWatch в той же ситуацииреализует ваш каприз за ваши же деньги. А «Гарда Технологии» делают довольно молодой продукт и очень легки на подъем. Договориться с ними будет проще.

Вопросы стабильности, быстродействия, качества поддержки и прочие в данном случае оставим за скобками. Всё это можно и нужно будет попробовать лично.

Так как во многих случаях одна и та же функциональность для разных задач может стать как преимуществом, так и недостатком, в одном решении объединить все лучшие качества невозможно. Рекомендуем начать выбор системы с определения собственных целей и возможностей. Воспользуйтесь нашей методикой или сформулируйте их на базе собственного опыта. Выберите решения, где уделяется внимание именно вашим интересам, и попробуйте их на пилотном внедрении. Понимая, что ищете, вы оперативно проведете тестирование и не потратите время и деньги на временные задачи. А проверив систему в собственной инфраструктуре, вы, наконец, сможете дать ответ на вопрос, какая DLP-система для вас самая лучшая.