Звіт про використання системи dlp. Data Loss PreventionТехнологіі запобігання витоків конфіденційної інформації з інформаційної системи зовні

стрімкий розвиток інформаційні технології сприяє глобальної інформатизації сучасних компаній і підприємств. З кожним днем \u200b\u200bобсяги інформації, що передаються через корпоративні мережі великих корпорацій і маленьких компаній, стрімко ростуть. Безсумнівно, що з ростом інформаційних потоків ростуть і загрози, які можуть привести до втрати важливої \u200b\u200bінформації, її перекручення чи крадіжці. Виявляється, втратити інформацію набагато простіше, ніж будь-яку матеріальну річ. Для цього не обов'язково, щоб хтось робив спеціальні дії для оволодіння даними - часом буває досить неакуратне поводження при роботі з інформаційними системами або недосвідченість користувачів.

Виникає природне запитання, як же захистити себе, щоб виключити фактори втрати і витоку важливої \u200b\u200bдля себе інформації. Виявляється, вирішити це завдання цілком реально і зробити це можна на високому професійному рівні. Для цієї мети використовуються спеціальні DLP системи.

Визначення DLP систем

DLP - це система запобігання витоків даних в інформаційному середовищі. Вона являє собою спеціальний інструмент, за допомогою якого системні адміністратори корпоративних мереж можуть відстежувати і блокувати спроби несанкціонованої передачі інформації. Крім того, що така система може запобігати факти незаконного заволодіння інформацією, вона також дозволяє відстежувати дії всіх користувачів мережі, які пов'язані з використанням соціальних мереж, спілкуванням в чатах, пересиланням e-mail повідомлень тощо. Основна мета, на яку націлені системи запобігання витокам конфіденційної інформації DLP, є підтримка і виконання всіх вимог політики конфіденційності та безпеки інформації, які існують в тій чи іншій організації, компанії, підприємства.

Область застосування

Практичне застосування DLP систем є найбільш актуальним для тих організацій, де витік конфіденційних даних може спричинити за собою величезні фінансові втрати, істотний удар по репутації, а також втрату клієнтської бази і особистої інформації. Наявність таких систем обов'язково для тих компаній і організацій, які встановлюють високі вимоги до «інформаційної гігієни» своїх співробітників.

Кращим інструментом для захисту таких даних, як номери банківських карт клієнтів, їх банківські рахунки, відомості про умови тендерів, замовлення на виконання робіт і послуг стануть DLP системи - економічна ефективність такого рішення безпеки цілком очевидна.

Види DLP-систем

Засоби, що застосовуються для запобігання витоку інформації, можна розділити на кілька ключових категорій:

1. стандартні інструменти безпеки;
2. інтелектуальні заходи захисту даних;
3. шифрування даних і контроль доступу;
4. спеціалізовані DLP системи безпеки.

До стандартного набору безпеки, який повинен використовуватися кожною компанією, відносяться антивірусні програми, вбудовані брандмауери, системи виявлення несанкціонованих вторгнень.

Інтелектуальні засоби захисту інформації передбачають використання спеціальних сервісів і сучасних алгоритмів, які дозволять обчислити неправомірний доступ до даних, некоректне використання електронного листування тощо. Крім цього, такі сучасні інструменти безпеки дозволяють аналізувати запити до інформаційної системи, що надходять ззовні від різних програм і сервісів, які можуть грати роль свого роду шпигунів. Інтелектуальні засоби захисту дозволяють здійснювати глибшу і детальну перевірку інформаційної системи на предмет можливого витоку інформації різними способами.

Шифрування важливої \u200b\u200bінформації і використання обмеження доступу до певних даних - це ще один ефективний крок до того, щоб мінімізувати ймовірність втрати конфіденційної інформації.

Спеціалізована система запобігання витокам інформації DLP являє собою складний багатофункціональний інструмент, який здатний виявити і попередити факти несанкціонованого копіювання та передачі важливої \u200b\u200bінформації за межі корпоративної середовища. Ці рішення дозволять виявити факти доступу до інформації без наявності на це дозволу чи з використанням повноважень тих осіб, які такий дозвіл мають.

Спеціалізовані системи використовують для своєї роботи такі інструменти, як:

• механізми визначення точної відповідності даних;
• різні статистичні методи аналізу;
• використання методик кодових фраз і слів;
• структурована дактилоскопія і ін .;

Порівняння цих систем по функціональності

Розглянемо порівняння DLP систем Network DLP і Endpoint DLP.

Network DLP - це спеціальне рішення на апаратному або програмному рівні, яке застосовується в тих точках мережевої структури, які розташовані поблизу «периметра інформаційного середовища». За допомогою цього набору інструментів відбувається ретельний аналіз конфіденційної інформації, яку намагаються відправити за межі корпоративної інформаційної середовища з порушенням встановлених правил інформаційної безпеки.

Endpoint DLP представляють собою спеціальні системи, які застосовуються на робочої станції кінцевого користувача, а також на серверних системах невеликих організацій. Кінцева інформаційна точка для цих систем може застосовуватися для контролю як з внутрішньої, так і зовнішньої сторони «периметра інформаційного середовища». Система дозволяє аналізувати інформаційний трафік, За допомогою якого відбувається обмін даними як між окремими користувачами, так і групами користувачів. Захист DLP систем такого типу орієнтована на комплексну перевірку процесу обміну даними, включаючи електронні повідомлення, Спілкування в соціальних мережах та іншу інформаційну активність.

Чи потрібно впроваджувати ці системи на підприємства?

Впровадження DLP систем є обов'язковим для всіх компаній, які дорожать своєю інформацією і намагаються зробити все можливе, щоб запобігти випадкам її витоку і втрати. Наявність таких інноваційних інструментів безпеки дозволить компаніям виключити поширення важливих даних за межі корпоративної інформаційної середовища за всіма доступним каналам обміну даними. Встановивши у себе DLP-систему, компанія отримає можливість контролювати:

• відправку повідомлень з використанням корпоративної Web-пошти;
• використання FTP-з'єднань;
• локальні з'єднання з використанням таких технологій бездротового зв'язку, як WiFi, Bluetooth, GPRS;
• обмін миттєвими повідомленнями за допомогою таких клієнтів, як MSN, ICQ, AOL і ін .;
• застосування зовнішніх накопичувачів - USB, SSD, CD / DVD і ін ..
• документацію, яка відправляється на друк із застосуванням корпоративних пристроїв друку.

На відміну від стандартних рішень безпеки, компанія, у якій встановлена \u200b\u200bDLP система Securetower або їй подібна, зможе:

• контролювати всі види каналів обміну важливою інформацією;
• виявляти передачу конфіденційної інформації в незалежності від того, яким способом і в якому форматі вона передається за межі корпоративної мережі;
• блокувати витік інформації в будь-який момент часу;
• автоматизувати процес обробки даних відповідно до прийнятої на підприємстві політикою безпеки.

Використання DLP-систем гарантуватиме підприємствам ефективний розвиток і збереження своїх виробничих секретів від конкурентів і недоброзичливців.

Як відбувається впровадження?

Щоб встановити у себе на підприємстві в 2017 році DLP систему слід пройти кілька етапів, після реалізації яких підприємство отримає ефективний захист своєї інформаційного середовища від зовнішніх і внутрішніх загроз.

На першому етапі впровадження здійснюється обстеження інформаційного середовища підприємства, що включає в себе наступні дії:

• вивчення організаційно-розпорядчої документації, яка регламентує інформаційну політику на підприємстві;
• вивчення інформаційних ресурсів, які використовуються підприємством і його співробітниками;
• узгодження переліку інформації, яка може належати до категорії даних з обмеженим доступом;
• обстеження існуючих способів і каналів передачі і прийому даних.

За підсумками обстеження складається технічне завдання, яке буде описувати ті політики безпеки, які потрібно буде реалізувати, використовуючи DLP-систему.

На наступному етапі слід регламентувати юридичну сторону використання DLP-систем на підприємстві. Важливо виключити всі тонкі моменти, щоб потім не було судових позовів з боку співробітників в плані того, що компанія за ними стежить.

Улагодивши всі юридичні формальності, можна приступати до вибору продукту інформаційної безпеки - це може бути, наприклад, DLP система Infowatch або будь-яка інша з подібного роду функціональними можливостями.

Після вибору відповідної системи можна приступати до її встановлення та налаштування для продуктивної роботи. Налаштовувати систему слід таким чином, щоб забезпечити виконання всіх завдань безпеки, обумовлених в технічному завданні.

висновок

Впровадження DLP-систем досить складна і копітка заняття, яка потребує чималого часу і ресурсів. Але не варто зупинятися на півдорозі - важливо пройти всі етапи в повній мірі і отримати високоефективну і багатофункціональну систему захисту своєї конфіденційної інформації. Адже втрата даних може обернутися величезним збитком для підприємства або компанії як у фінансовому плані, так і в плані її іміджу і репутації в споживчому середовищі.

Навіть самі модні ІТ-терміни треба вживати до місця і максимально коректно. Хоча б для того, щоб не вводити в оману споживачів. Відносити себе до виробників DLP-рішень виразно увійшло в моду. Наприклад, на нещодавній виставці CeBIT-2008 напис "DLP solution" нерідко можна було побачити на стендах виробників не тільки маловідомих в світі антивірусів і проксі-серверів, але навіть брандмауерів. Іноді виникало відчуття, що за наступним кутом можна буде побачити який-небудь CD ejector (програма, що керує відкриванням приводу CD) з гордим гаслом корпоративного DLP-рішення. І, як це не дивно, кожен з таких виробників, як правило, мав більш-менш логічне пояснення такого позиціонування свого продукту (природно, крім бажання отримати "гешефт" від модного терміну).

Перш ніж розглядати ринок виробників DLP-систем і його основних гравців, слід визначитися з тим, що ж ми будемо мати на увазі під DLP-системою. Спроб дати визначення цього класу інформаційних систем було багато: ILD & P - Information Leakage Detection & Prevention ( "виявлення і запобігання витокам інформації", термін був запропонований IDC в \u200b\u200b2007 р), ILP - Information Leakage Protection ( "захист від витоків інформації", Forrester , 2006), ALS - Anti-Leakage Software ( "антіутечное пО", E & Y), Content Monitoring and Filtering (CMF, Gartner), Extrusion Prevention System (по аналогії з Intrusion-prevention system).

Але як загальновживаного терміна все ж затвердилася назва DLP - Data Loss Prevention (або Data Leak Prevention, захист від витоків даних), запропонована в 2005 р Як російського (скоріше не перекладу, а аналогічного терміну) було прийнято словосполучення "системи захисту конфіденційних даних від внутрішніх загроз ". При цьому під внутрішніми загрозами розуміються зловживання (навмисні або випадкові) з боку співробітників організації, що мають легальні права доступу до відповідних даних, своїми повноваженнями.

Найбільш стрункі і несуперечливі критерії приналежності до DLP-систем були висунуті дослідницьким агентством Forrester Research в ході їх щорічного дослідження даного ринку. Вони запропонували чотири критерії, відповідно до яких систему можна віднести до класу DLP. 1.

Багатоканальність. Система повинна бути здатна здійснювати моніторинг декількох можливих каналів витоку даних. У мережевому оточенні це як мінімум e-mail, Web і IM (instant messengers), а не тільки сканування поштового трафіку або активності бази даних. На робочій станції - моніторинг файлових операцій, роботи з буфером обміну даними, а також контроль e-mail, Web і IM. 2.

Уніфікований менеджмент. Система повинна володіти уніфікованими засобами управління політикою інформаційної безпеки, аналізом і звітами про події по всіх каналах моніторингу. 3.

Активний захист. Система повинна не тільки виявляти факти порушення політики безпеки, а й при необхідності примушувати до її дотримання. Наприклад, блокувати підозрілі повідомлення. 4.

Виходячи з цих критеріїв, в 2008 р для огляду і оцінки агентство Forrester відібрало список з 12 виробників програмного забезпечення (Нижче вони перераховані в алфавітному порядку, при цьому в дужках вказано назву компанії, поглиненої даними вендором з метою виходу на ринок DLP-cистем):

1. Code Green;
2. InfoWatch;
3. McAfee (Onigma);
4. Orchestria;
5. Reconnex;
6. RSA / EMC (Tablus);
7. Symantec (Vontu);
8. Trend Micro (Provilla);
9. Verdasys;
10. Vericept;
11. Websense (PortAuthority);
12. Workshare.

На сьогоднішній день з вищезазначених 12 вендорів на російському ринку в тій чи іншій мірі представлені тільки InfoWatch і Websense. Інші або взагалі не працюють в Росії, або тільки анонсували свої наміри про початок продажів DLP-рішень (Trend Micro).

Розглядаючи функціональність DLP-систем, аналітики (Forrester, Gartner, IDC) вводять категоризацію об'єктів захисту - типів інформаційних об'єктів, які підлягають моніторингу. Подібна категоризація дозволяє в першому наближенні оцінити область застосування тієї чи іншої системи. Виділяють три категорії об'єктів моніторингу.

1. Data-in-motion (дані в русі) - повідомлення електронної пошти, інтернет-пейджерів, мереж peer-to-peer, передача файлів, Web-трафік, а також інші типи повідомлень, які можна передавати по каналах зв'язку. 2. Data-at-rest (зберігаються дані) - інформація на робочих станціях, лаптопах, файлових серверах, В спеціалізованих сховищах, USB-пристроях і інших типах пристроїв зберігання даних.

3. Data-in-use (дані в використанні) - інформація, що обробляється в даний момент.

В теперішній момент на нашому ринку представлено близько двох десятків вітчизняних та зарубіжних продуктів, що володіють деякими властивостями DLP-cистем. Короткі відомості про них в дусі наведеної вище класифікації, перераховані в табл. 1 і 2. Також в табл. 1 внесено такий параметр, як "централізоване сховище даних і аудит", що має на увазі можливість системи зберігати дані в єдиному депозитарії (для всіх каналів моніторингу) для їх подальшого аналізу і аудиту. Цей функціонал набуває останнім часом особливу значимість не тільки в силу вимог різних законодавчих актів, а й в силу популярності у замовників (з досвіду реалізованих проектів). Всі відомості, що містяться в цих таблицях, взяті з відкритих джерел і маркетингових матеріалів відповідних компаній.

Виходячи з наведених у таблицях 1 і 2 даних можна зробити висновок, що на сьогодні в Росії представлені тільки три DLP-системи (від компаній InfoWatch, Perimetrix і WebSence). До них також можна віднести недавно анонсований продукт; від "Інфосистеми Джет" (СКОТ + СМАП), так як він буде покривати кілька каналів і мати уніфікований менеджмент політик безпеки.

Говорити про частки ринку цих продуктів в Росії досить складно, оскільки більшість згаданих виробників не розкривають обсягів продажів, кількість клієнтів і захищених робочих станцій, обмежуючись тільки маркетинговою інформацією. Точно можна сказати лише про те, що основними постачальниками на даний момент є:

• системи "Дозор", присутні на ринку з 2001 р .;
• продукти InfoWatch, що продаються з 2004 р .;
• WebSense CPS (почав продаватися в Росії і в усьому світі в 2007 р);
• Perimetrix (молода компанія, перша версія продуктів якої анонсована на її сайті на кінець 2008 р).

На закінчення хотілося б додати, що приналежність чи ні до класу DLP-систем, які не робить продукти гірше або краще - це просто питання класифікації і нічого більше.

Таблиця 1. Продукти, представлені на російському ринку і володіють певними властивостями DLP-cистем

компанія	продукт	можливості продукту
		Захист "даних в русі" (data-in-motion)	Захист "даних у використанні" (data-in-use)	Захист "даних в зберіганні" (data-at-rest)	Централізоване сховище і аудит
InfoWatch	IW Traffic Monitor	Так	Так	немає	Так
	IW CryptoStorage	немає	немає	Так	немає
Perimetrix	SafeSpace	Так	Так	Так	Так
Інфосистеми Джет	Дозор Джет (СКОТ)	Так	немає	немає	Так
	Дозор Джет (СМАП)	Так	немає	немає	Так
Смарт Лайн Інк	DeviceLock	немає	Так	немає	Так
SecurIT	Zlock	немає	Так	немає	немає
	SecrecyKeeper	немає	Так	немає	немає
SpectorSoft	Spector 360	Так	немає	немає	немає
Lumension Security	Sanctuary Device Control	немає	Так	немає	немає
WebSense	Websense Content Protection	Так	Так	Так	немає
Информзащита	Security Studio	немає	Так	Так	немає
Праймтек	Insider	немає	Так	немає	немає
АтомПарк Софтваре	StaffCop	немає	Так	немає	немає
Софтінформ	SearchInform Server	Так	Так	немає	немає

Таблиця 2. Відповідність продуктів, представлених на російському ринку, критеріями приналежності до класу DLP-систем

компанія	продукт	Критерій приналежності до DLP системам
		багатоканальність	Уніфікований менеджмент	Активний захист	Облік як змісту, так і контексту
InfoWatch	IW Traffic Monitor	Так	Так	Так	Так
Perimetrix	SafeSpace	Так	Так	Так	Так
"Інфосистеми Джет"	"Дозор Джет" (СКОТ)	немає	немає	Так	Так
	"Дозор Джет" (СМАП)	немає	немає	Так	Так
"Смарт Лайн Інк"	DeviceLock	немає	немає	немає	немає
SecurIT	Zlock	немає	немає	немає	немає
Smart Protection Labs Software	SecrecyKeeper	Так	Так	Так	немає
SpectorSoft	Spector 360	Так	Так	Так	немає
Lumension Security	Sanctuary Device Control	немає	немає	немає	немає
WebSense	Websense Content Protection	Так	Так	Так	Так
"Інформзахист"	Security Studio	Так	Так	Так	немає
"Праймтек"	Insider	Так	Так	Так	немає
"АтомПарк Софтваре"	StaffCop	Так	Так	Так	немає
"Софтінформ"	SearchInform Server	Так	Так	немає	немає
"Інфооборона"	"Інфоперіметр"	Так	Так	немає	немає

D LP-систему використовують, коли необхідно забезпечити захист конфіденційних даних від внутрішніх загроз. І якщо фахівці з інформаційної безпеки в достатній мірі освоїли і застосовують інструменти захисту від зовнішніх порушників, то з внутрішніми справа йде не так гладко.

Використання в структурі інформаційної безпеки DLP-системи передбачає, що ІБ-фахівець розуміє:

• як співробітники компанії можуть організувати витік конфіденційних даних;
• яку інформацію слід захищати від загрози порушення конфіденційності.

Всебічні знання допоможуть фахівцеві краще зрозуміти принципи роботи технології DLP і налаштувати захист від витоків коректним чином.

DLP-система повинна вміти відрізняти конфіденційну інформацію від неконфіденційної. Якщо аналізувати всі дані всередині інформаційної системи організації, виникає проблема надмірного навантаження на IT-ресурси і персонал. DLP працює в основному «в зв'язці» з відповідальним фахівцем, який не тільки «вчить» систему коректно працювати, вносить нові і видаляє неактуальні правила, а й проводить моніторинг поточних, заблокованих або підозрілих подій в інформаційній системі.

Для настройки «КІБ СёрчІнформ» використовуються- правила реагування на ІБ-іцінденти. В системі є 250 встановлених політик, які можна коригувати з урахуванням завдань компанії.

Функціональність DLP-системи будується навколо «ядра» - програмного алгоритму, який відповідає за виявлення і категоризацію інформації, яка потребує захисту від витоків. В ядрі більшості DLP-рішень закладені дві технології: лінгвістичного аналізу і технологія, заснована на статистичних методах. Також в ядрі можуть використовуватися менш поширені техніки, наприклад, застосування міток або формальні методи аналізу.

Розробники систем протидії витокам доповнюють унікальний програмний алгоритм системними агентами, механізмами управління інцидентами, парсером, аналізаторами протоколів, перехоплювачами та іншими інструментами.

Ранні DLP-системи базувалися на одному методі в ядрі: або лінгвістичному, або статистичному аналізі. На практиці недоліки двох технологій компенсувалися сильними сторонами один одного, і еволюція DLP привела до створення систем, універсальних у плані «ядра».

Лінгвістичний метод аналізу працює безпосередньо з вмістом файлу і документа. Це дозволяє ігнорувати такі параметри, як ім'я файлу, наявність або відсутність в документі грифа, хто і коли створив документа. Технологія лінгвістичної аналітики включає:

• морфологічний аналіз - пошук по всіх можливих словоформам інформації, яку необхідно захистити від витоку;
• семантичний аналіз - пошук входжень важливою (ключовий) інформації по змісту файлу, вплив входжень на якісні характеристики файлу, оцінка контексту використання.

Лінгвістичний аналіз показує високу якість роботи з великим об'ємом інформації. Для об'ємного тексту DLP-система з алгоритмом лінгвістичного аналізу більш точно вибере коректний клас, віднесе до потрібної категорії і запустить налаштоване правило. Для документів невеликого обсягу краще використовувати методику стоп-слів, яка ефективно зарекомендувала себе в боротьбі зі спамом.

Учитися в системах з лінгвістичним алгоритмом аналізу реалізована на високому рівні. У ранніх DLP-комплексів були складності з завданням категорій і іншими етапами «навчання», проте в сучасних системах закладені налагоджені алгоритми самонавчання: виявлення ознак категорій, можливості самостійно формувати і змінювати правила реагування. Для настройки в інформаційних системах подібних програмних комплексів захисту даних вже не потрібно залучати лінгвістів.

До недоліків лінгвістичного аналізу зараховують прив'язку до конкретної мови, коли не можна використовувати DLP-систему з «англійським» ядром для аналізу російськомовних потоків інформації і навпаки. Інший недолік пов'язаний зі складністю чіткої категоризації з використанням імовірнісного підходу, що утримує точність спрацьовування в межах 95%, тоді як для компанії критичною може виявитися витік будь-якого обсягу конфіденційної інформації.

Статистичні методи аналізу, Навпаки, демонструють точність, близьку до 100-відсотковою. Недолік статистичного ядра пов'язаний з алгоритмом самого аналізу.

На першому етапі документ (текст) ділиться на фрагменти прийнятною величини (НЕ посимвольний, але досить, щоб забезпечити точність спрацьовування). З фрагментів знімається хеш (в DLP-системах зустрічається як термін Digital Fingerprint - «цифровий відбиток»). Потім хеш порівнюється з хешем еталонного фрагмента, взятого з документа. При збігу система позначає документ як конфіденційний і діє відповідно до політиками безпеки.

Недолік статистичного методу в тому, що алгоритм не здатний самостійно навчатися, формувати категорії і типізувати. Як наслідок - залежність від компетенцій фахівця і ймовірність завдання хешу такого розміру, при якому аналіз буде давати надмірну кількість помилкових спрацьовувань. Усунути недолік нескладно, якщо дотримуватися рекомендацій розробника з налаштування системи.

З формуванням хешів пов'язаний і інший недолік. У розвинених IT-системах, які генерують великі обсяги даних, база відбитків може досягати такого розміру, що перевірка трафіку на збіги з еталоном серйозно сповільнить роботу всієї інформаційної системи.

Перевага рішень полягає в тому, що результативність статистичного аналізу не залежить від мови та наявності в документі нетекстової інформації. Хеш однаково добре знімається і з англійської фрази, І з зображення, і з відеофрагменту.

Лінгвістичні та статистичні методи не підходять для виявлення даних певного формату для будь-якого документа, наприклад, номери рахунків або паспорта. Для виявлення в масиві інформації подібних типових структур в ядро \u200b\u200bDLP-системи впроваджують технології аналізу формальних структур.

У якісному DLP-рішення використовуються всі засоби аналізу, які працюють послідовно, доповнюючи один одного.

Визначити, які технології присутні в ядрі, можна.

Не менше значення, ніж функціональність ядра, мають рівні контролю, на яких працює DLP-система. Їх два:

Розробники сучасних DLP-продуктів відмовилися від відокремленої реалізації захисту рівнів, оскільки від витоку потрібно захищати і кінцеві пристрої, і мережу.

Мережевий рівень контролю при цьому повинен забезпечувати максимально можливий охоплення мережевих протоколів і сервісів. Мова йде не тільки про «традиційних» каналах (, FTP,), а й про більш нових системах мережного обміну (Instant Messengers,). На жаль, на мережевому рівні неможливо контролювати зашифрований зв'язок, але дана проблема в DLP-системах вирішена на рівні хоста.

Контроль на хостової рівнідозволяє вирішувати більше завдань з моніторингу та аналізу. Фактично ІБ-служба отримує інструмент повного контролю за діями користувача на робочій станції. DLP з хостовой архітектурою дозволяє відстежувати, що, які документи, що набирається на клавіатурі, записувати аудіоматеріали, робити. На рівні кінцевої робочої станції перехоплюється зашифрований зв'язок (), а для перевірки відкриті дані, які обробляються в поточний момент і які тривалий час зберігаються на ПК користувача.

Крім вирішення звичайних завдань, DLP-системи з контролем на хостової рівні забезпечують додаткові заходи щодо забезпечення інформаційної безпеки: контроль установки і зміни ПО, блокування портів введення-виведення і т.п.

Мінуси хостовой реалізації в тому, що системи з великим набором функцій складніше адмініструвати, вони більш вимогливі до ресурсів самої робочої станції. Керуючий сервер регулярно звертається до модулю- «агенту» на кінцевому пристрої, Щоб перевірити доступність і актуальність налаштувань. Крім того, частина ресурсів користувальницької робочої станції буде неминуче «з'їдатися» модулем DLP. Тому ще на етапі підбору рішення для запобігання витоку важливо звернути увагу на апаратні вимоги.

Принцип поділу технологій в DLP-системах залишився в минулому. сучасні програмні рішення для запобігання витоків задіють методи, які компенсують недоліки один одного. Завдяки комплексному підходу конфіденційні дані всередині периметра інформаційної безпеки стає більш стійкими до погроз.

Термін DLP часто розшифровується як Data Loss Prevention або Data Leakage Prevention - запобігання витокам даних. Відповідно, DLP-системи це програмні та програмно-апаратні засоби для вирішення завдання запобігання витокам даних.

Протидія витокам інформації технічними каналами можна умовно розділити на два завдання: боротьба із зовнішньою загрозою і боротьба з внутрішнім порушником.

Цінні корпоративні дані, які ваша організація намагається захистити за допомогою міжмережевих екранів і паролів, буквально витікають крізь пальці інсайдерів. Це відбувається як випадково, так і в результаті умисних дій - неправомірного копіювання інформації з робочих комп'ютерів на флеш-накопичувачі, смартфони, планшетні комп'ютери та інші носії даних. Крім того, дані можуть безконтрольно передаватися інсайдерами через електронну пошту, Служби миттєвого обміну повідомленнями, веб-форми, форуми та соціальні мережі. бездротові інтерфейси - Wi-Fi і Bluetooth- нарівні з каналами локальної синхронізації даних з мобільними пристроями відкривають додаткові шляхи для витоків інформації з комп'ютерів користувачів організації.

Крім інсайдерських погроз інший небезпечний сценарій витоків реалізується при зараженні комп'ютерів шкідливими програмами, які можуть записувати вводиться з клавіатури текст або окремі види збережених в оперативної пам'яті комп'ютера даних і згодом передавати їх в Інтернет.

Як DLP-система запобігає витоку інформації?

У той час, як жодна з описаних вище вразливостей не зникає ні традиційними механізмами мережевої безпеки, ні вбудованими засобами контролю ОС, програмний комплекс DeviceLock DLP ефективно запобігає витоку інформації з корпоративних комп'ютерів, використовуючи повний набір механізмів контекстного контролю операцій з даними, а також технології їх контентної фільтрації.

Підтримка віртуальних і термінальних середовищ в системі DeviceLock DLP істотно розширює можливості служб інформаційної безпеки в рішенні завдання запобігання витокам інформації при використанні різних рішень віртуалізації робочих середовищ, створених як в формі локальних віртуальних машин, Так і термінальних сесій робочих столів або опублікованих додатків на Гіпервізор.

Контекстний контроль і тематична фільтрація в DLP-системі

Ефективний підхід до захисту від витоків інформації з комп'ютерів починається з використання механізмів контекстного контролю - контролю передачі даних для конкретних користувачів в залежності від форматів даних, типів інтерфейсів і пристроїв, мережевих протоколів, напрямки передачі, часу доби і т.д.

Однак, у багатьох випадках потрібно більш глибокий рівень контролю - наприклад, перевірка вмісту переданих даних на наявність конфіденційної інформації в умовах, коли канали передачі даних не повинні блокуватися, щоб не порушувати виробничі процеси, але окремі користувачі входять до «групи ризику», оскільки підозрюються в причетності до порушень корпоративної політики. У подібних ситуаціях додатково до контекстного контролю необхідно застосування технологій контентного аналізу, що дозволяють виявити і запобігти передачі неавторизованих даних, не перешкоджаючи при цьому інформаційному обміну в рамках службових обов'язків співробітників.

Програмний комплекс DeviceLock DLP використовує як контекстні, так і засновані на аналізі контенту методи контролю, забезпечуючи надійний захист від витоків інформації з комп'ютерів користувачів і серверів корпоративних ІС. Контекстні механізми DeviceLock DLP реалізують гранульований контроль доступу користувачів до широкого спектру периферійних пристроїв і каналів введення-виведення, включаючи мережеві комунікації.

Подальше підвищення рівня захисту досягається за рахунок застосування методів контентного аналізу і фільтрації даних, що дозволяє запобігти їх несанкціоноване копіювання на зовнішні накопичувачі і Plug-and-Play пристрої, а також передачу з мережних протоколах за межі корпоративної мережі.

Як адмініструвати і управляти DLP-системою?

Поряд з методами активного контролю ефективність застосування DeviceLock DLP забезпечується за рахунок детального протоколювання дій користувачів і адміністративного персоналу, а також селективного тіньового копіювання даних, що передаються для їх подальшого аналізу, в тому числі з використанням методів повнотекстового пошуку.

Для адміністраторів інформаційної безпеки DeviceLock DLP пропонує найбільш раціональний і зручний підхід до управління DLP-системою - з використанням об'єктів групових політик домену Microsoft Active Directory і інтегрованою в редактор групових політик Windows. При цьому політики DeviceLock DLP автоматично поширюються засобами директорії як інтегральна частина її групових політик на всі комп'ютери домену, а також віртуальні середовища. Таке рішення дозволяє службі інформаційної безпеки централізовано і оперативно управляти DLP-політиками в масштабах всієї організації, а їх виконання розподіленими агентами DeviceLock забезпечує точну відповідність між бізнес-функціями користувачів і їх правами на передачу і зберігання інформації на робочих комп'ютерах.

Вступ

Огляд призначений для всіх, хто цікавиться ринком рішень в сфері DLP і, в першу чергу, для тих, хто хоче вибрати відповідне для своєї компанії DLP-рішення. В огляді розглядається ринок систем DLP в широкому розумінні цього терміна, дається короткий опис світового ринку і більш докладний - російського сегмента.

Системи захисту цінних даних існували з моменту їх появи. Протягом століть ці системи розвивалися і еволюціонували разом з людством. З початком комп'ютерної ери і переходом цивілізації в постіндустріальну епоху, інформація поступово стала головною цінністю держав, організацій і навіть приватних осіб. А основним інструментом її зберігання і обробки стали комп'ютерні системи.

Держави завжди захищали свої секрети, але у держав свої засоби і методи, які, як правило, не чинили впливу на формування ринку. У постіндустріальну епоху частими жертвами комп'ютерної витоку цінної інформації стали банки та інші кредитно-фінансові організації. Світова банківська система першою стала потребувати законодавчого захисту своєї інформації. Необхідність захисту приватного життя усвідомили і в медицині. В результаті, наприклад, в США були прийняті Health Insurance Portability and Accountability Act (HIPAA), Sarbanes-Oxley Act (SOX), а Базельський комітет з банківського нагляду випустив ряд рекомендацій, званий «Basel Accords». Такі кроки дали потужний поштовх розвитку ринку систем захисту комп'ютерної інформації. Слідом за зростаючим попитом стали з'являтися компанії, які пропонували перші DLP-системи.

Що таке DLP-системи?

Загальноприйнятих розшифровок терміна DLP кілька: Data Loss Prevention, Data Leak Prevention або Data Leakage Protection, що можна перевести на російську як «запобігання втрати даних», «запобігання витоку даних», «захист від витоку даних». Цей термін набув широкого поширення і закріпився на ринку приблизно в 2006 році. А перші DLP-системи виникли дещо раніше саме як засіб запобігання витоку цінної інформації. Вони були призначені для виявлення і блокування мережевий передачі інформації, упізнаваний по ключовими словами або виразів і по заздалегідь створеним цифровим «відбитками» конфіденційних документів.

Подальший розвиток DLP-систем визначалося інцидентами, з одного боку, і законодавчими актами держав, з іншого. Поступово, потреби щодо захисту від різних видів загроз привели компанії до необхідності створення комплексних систем захисту. В даний час, розвинені DLP-продукти, крім безпосередньо захисту від витоку даних, забезпечують захист від внутрішніх і навіть зовнішніх загроз, облік робочого часу співробітників, контроль всіх їх дій на робочих станціях, включаючи віддалену роботу.

При цьому, блокування передачі конфіденційних даних, канонічна функція DLP-систем, стала відсутні в деяких сучасних рішеннях, що відносяться розробниками до цього ринку. Такі рішення підходять виключно для моніторингу корпоративної інформаційної середовища, але в результаті маніпуляції термінологією стали іменуватися DLP і ставитися в цьому ринку в широкому розумінні.

В даний час основний інтерес розробників DLP-систем змістився в бік широти охоплення потенційних каналів витоку інформації і розвитку аналітичних інструментів розслідування і аналізу інцидентів. Новітні DLP-продукти перехоплюють перегляд документів, їх друк і копіювання на зовнішні носії, запуск додатків на робочих станціях і підключення зовнішніх пристроїв до них, а сучасний аналіз перехоплюваних мережевого трафіку дозволяє виявити витік навіть за деякими туннелируют і зашифрованим протоколам.

Крім розвитку власної функціональності, сучасні DLP-системи надають широкі можливості по інтеграції з різними суміжними і навіть з конкуруючими продуктами. Як приклади можна привести поширену підтримку протоколу ICAP, наданого проксі-серверами і інтеграцію модуля DeviceSniffer, що входить в «Контур інформаційної безпеки SearchInform», з Lumension Device Control. Подальший розвиток DLP-систем веде до їх інтеграції з IDS / IPS-продуктами, SIEM-рішеннями, системами документообігу та захисту робочих станцій.

DLP-системи розрізняють за способом виявлення витоку даних:

• при використанні (Data-in-Use) - на робочому місці користувача;
• при передачі (Data-in-Motion) - в мережі компанії;
• при зберіганні (Data-at-Rest) - на серверах і робочих станціях компанії.

DLP-системи можуть розпізнавати критичні документи:

• за формальними ознаками - це надійно, але вимагає попередньої реєстрації документів в системі;
• з аналізу вмісту - це може давати помилкові спрацьовування, але дозволяє виявляти критичну інформацію в складі будь-яких документів.

Згодом, змінилися і характер загроз, і склад замовників і покупців DLP-систем. Сучасний ринок висуває до цих систем такі вимоги:

• підтримка декількох способів виявлення витоку даних (Data in-Use, Data -in-Motion, Data-at-Rest);
• підтримка всіх популярних мережевих протоколів передачі даних: HTTP, SMTP, FTP, OSCAR, XMPP, MMP, MSN, YMSG, Skype, різних P2P-протоколів;
• наявність вбудованого довідника веб-сайтів і коректна обробка переданого на них трафіку (веб-пошта, соціальні мережі, форуми, блоги, сайти пошуку роботи і т.д.);
• бажана підтримка туннелирующих протоколів: VLAN, MPLS, PPPoE, і їм подібних;
• прозорий контроль захищених SSL / TLS протоколів: HTTPS, FTPS, SMTPS та інших;
• підтримка протоколів VoIP-телефонії: SIP, SDP, H.323, T.38, MGCP, SKINNY та інших;
• наявність гібридного аналізу - підтримки декількох методів розпізнавання цінної інформації: за формальними ознаками, за ключовими словами, за випадковим збігом вмісту з регулярним виразом, На основі морфологічного аналізу;
• бажана можливість виборчого блокування передачі критично важливої \u200b\u200bінформації з будь-якого контрольованого каналу в режимі реального часу; виборчого блокування (для окремих користувачів, Груп або пристроїв);
• бажана можливість контролю дій користувача над критичними документами: перегляд, друк, копіювання на зовнішні носії;
• бажана можливість контролювати мережеві протоколи роботи з поштовими серверами Microsoft Exchange (MAPI), IBM Lotus Notes, Kerio, Microsoft Lync і т.д. для аналізу і блокування повідомлень в реальному часі по протоколам: (MAPI, S / MIME, NNTP, SIP і т.д.);
• бажаний перехоплення, запис і розпізнавання голосового трафіку: Skype, IP-телефонія, Microsoft Lync;
• наявність модуля розпізнавання графіки (OCR) і аналізу вмісту;
• підтримка аналізу документів на декількох мовах;
• ведення докладних архівів і журналів для зручності розслідування інцидентів;
• бажано наявність розвинених засобів аналізу подій і їх зв'язків;
• можливість побудови різної звітності, включаючи графічні звіти.

Завдяки новим тенденціям у розвитку інформаційних технологій, стають затребуваними і нові функції DLP-продуктів. З широким поширенням віртуалізації в корпоративних інформаційних системах з'явилася необхідність її підтримки і в DLP-рішеннях. Повсюдне використання мобільних пристроїв як інструменту ведення бізнесу послужило стимулом для виникнення мобільного DLP. Створення як корпоративних так і публічних «хмар» зажадало їх захисту, в тому числі і DLP-системами. І, як логічне продовження, призвело до появи «хмарних» сервісів інформаційної безпеки (security as a service - SECaaS).

Принцип роботи DLP-системи

Сучасна система захисту від витоку інформації, як правило, є розподіленим програмно-апаратним комплексом, що складається з великого числа модулів різного призначення. Частина модулів функціонує на виділених серверах, частина - на робочих станціях співробітників компанії, частина - на робочих місцях співробітників служби безпеки.

Виділені сервера можуть знадобитися для таких модулів як база даних і, іноді, для модулів аналізу інформації. Ці модулі, по суті, є ядром і без них не обходиться жодна DLP-система.

База даних необхідна для зберігання інформації, починаючи від правил контролю і докладної інформації про інциденти та закінчуючи всіма документами, які потрапили в поле зору системи за певний період. У деяких випадках, система навіть може зберігати копію всього мережевого трафіку компанії, перехопленого протягом заданого періоду часу.

Модулі аналізу інформації відповідають за аналіз текстів, витягнутих іншими модулями з різних джерел: мережевий трафік, документи на будь-яких пристроях зберігання інформації в межах компанії. У деяких системах є можливість вилучення тексту із зображень і розпізнавання перехоплених голосових повідомлень. Всі аналізовані тексти зіставляються з наперед заданими правилами і відзначаються відповідним чином при виявленні збігу.

Для контролю дій співробітників на їх робочі станції можуть бути встановлені спеціальні агенти. Такий агент повинен бути захищений від втручання користувача в свою роботу (на практиці це не завжди так) і може вести як пасивне спостереження за його діями, так і активно перешкоджати тим з них, які користувачеві заборонені політикою безпеки компанії. Перелік контрольованих дій може обмежуватися входом / виходом користувача із системи і підключенням USB-пристроїв, а може включати перехоплення і блокування мережевих протоколів, тіньове копіювання документів на будь-які зовнішні носії, друк документів на локальні і мережеві принтери, передачу інформації по Wi-Fi і Bluetooth і багато іншого. Деякі DLP-системи здатні записувати всі натискання на клавіатурі (key-logging) і зберігати копій екрану (screen-shots), але це виходить за рамки загальноприйнятих практик.

Зазвичай, у складі DLP-системи є модуль управління, призначений для моніторингу роботи системи і її адміністрування. Цей модуль дозволяє стежити за працездатністю всіх інших модулів системи і виробляти їх настройку.

Для зручності роботи аналітика служби безпеки в DLP-системі може бути окремий модуль, що дозволяє налаштовувати політику безпеки компанії, відстежувати її порушення, проводити їх детальне розслідування і формувати необхідну звітність. Як не дивно, при інших рівних саме можливості аналізу інцидентів, проведення повноцінного розслідування і звітність виходять на перший план за важливістю в сучасній DLP-системі.

Світовий DLP-ринок

Ринок DLP-систем почав формуватися вже в цьому столітті. Як було сказано на початку статті, саме поняття «DLP» поширилося приблизно в 2006 році. найбільше число компаній, що створювали DLP-системи, виникло в США. Там був найбільший попит на ці рішення і сприятлива обстановка для створення і розвитку такого бізнесу.

Майже всі компанії, які починали створення DLP-систем і домоглися в цьому помітних успіхів, були куплені або поглинені, а їхні продукти і технології інтегровані в більші інформаційні системи. Наприклад, Symantec придбала компанію Vontu (2007), Websense - компанію PortAuthority Technologies Inc. (2007), EMC Corp. придбала компанію RSA Security (2006), а McAfee поглинула цілий ряд компаній: Onigma (2006), SafeBoot Holding B.V. (2007), Reconnex (2008), TrustDigital (2010), tenCube (2010).

В даний час, провідними світовими виробниками DLP-систем є: Symantec Corp., RSA (підрозділ EMC Corp.), Verdasys Inc, Websense Inc. (В 2013 куплена приватною компанією Vista Equity Partners), McAfee (в 2011 куплена компанією Intel). Помітну роль на ринку відіграють компанії Fidelis Cybersecurity Solutions (в 2012 куплена компанією General Dynamics), CA Technologies і GTB Technologies. Наочною ілюстрацією їх позицій на ринку, в одному з розрізів, може служити магічний квадрант аналітичної компанії Gartner на кінець 2013 роки (рисунок 1).

Малюнок 1. РозподілпозиційDLP-систем на світовому ринку поGartner

Російський DLP-ринок

У Росії ринок DLP-систем став формуватися майже одночасно зі світовим, але зі своїми особливостями. Відбувалося це поступово, у міру виникнення інцидентів і спроб з ними боротися. Першим в Росії у 2000 році почала розробляти DLP-рішення компанія «Інфосистеми Джет» (спочатку це був поштовий архів). Трохи пізніше в 2003 році був заснований InfoWatch, як дочірня компанія «Лабораторії Касперського». Саме вирішення цих двох компаній і задали орієнтири для інших гравців. У їх число, трохи пізніше, увійшли компанії Perimetrix, SearchInform, DeviceLock, SecureIT (в 2011 перейменована в Zecurion). У міру створення державою законодавчих актів, що стосуються захисту інформації (ГК РФ стаття 857 «Банківська таємниця», 395-1-ФЗ «Про банки і банківську діяльність», 98-ФЗ «Про комерційну таємницю», 143-ФЗ «Про актах громадянського стану », 152-ФЗ« Про персональних даних », і інші, всього близько 50 видів таємниць), зростала потреба в інструментах захисту і зростав попит на DLP-системи. І через кілька років на ринок прийшла «друга хвиля» розробників: Falcongaze, «МФІ Софт», Trafica. Варто відзначити, що всі ці компанії мали напрацювання в області DLP набагато раніше, але стали заменть на ринку відносно недавно. Наприклад, компанія «МФІ Софт» почала розробку свого DLP-рішення ще в 2005 році, а заявила про себе на ринку тільки в 2011 році.

Ще пізніше, російський ринок став цікавий і іноземним компаніям. У 2007-2008 роках у нас стали доступні продукти Symanteс, Websense і McAfee. Зовсім недавно, в 2012, на наш ринок вивела свої рішення компанія GTB Technologies. Інші лідери світового ринку теж не залишають спроб прийти на російський ринок, але поки без помітних результатів. В останні роки російський DLP-ринок демонструє стабільне зростання (понад 40% щорічно) протягом декількох років, що залучає нових інвесторів і розробників. Як приклад, можна назвати компанію Iteranet, з 2008 року розробляє елементи DLP-системи для внутрішніх цілей, потім для корпоративних замовників. В зараз компанія пропонує своє рішення Business Guardian російським і закордонним покупцям.

Компанія відокремилася від «Лабораторії Касперського» в 2003 році. За підсумками 2012 року InfoWatch займає більше третини російського DLP-ринку. InfoWatch пропонує повний спектр DLP-рішень для замовників, починаючи від середнього бізнесу і закінчуючи великими корпораціями і держструктурами. Найбільш затребувана на ринку рішення InfoWatch Traffic Monitor. Основні переваги їх рішень: розвинений функціонал, унікальні запатентовані технології аналізу трафіку, гібридний аналіз, підтримка безлічі мов, вбудований довідник веб-ресурсів, масштабованість, велика кількість встановлених конфігурацій і політик для різних галузей. Відмінними рисами рішення InfoWatch є єдина консоль управління, контроль дій співробітників, що перебувають під підозрою, інтуїтивно зрозумілий інтерфейс, формування політик безпеки без використання булевої алгебри, створення ролей користувачів (офіцер безпеки, керівник компанії, HR-директор і т.д.). Недоліки: відсутність контролю за діям користувачів на робочих станціях, ваговитість InfoWatch Traffic Monitor для середнього бізнесу, висока вартість.

Компанія заснована ще в 1991 році, на сьогоднішній день є одним із стовпів російського DLP-ринку. Спочатку компанія розробляла системи захисту організацій від зовнішніх загроз і її вихід на DLP-ринок - закономірний крок. Компанія «Інфосистеми Джет» - важливий гравець російського ІБ-ринку, який надає послуги системної інтеграції і розробляє власне ПО. Зокрема, власне DLP-рішення «Дозор-Джет». Основні його переваги: \u200b\u200bмасштабованість, висока продуктивність, можливість роботи з Big Data, великий набір перехоплювачів, вбудований довідник веб-ресурсів, гібридний аналіз, оптимізована система зберігання, активний моніторинг, робота «в розрив», кошти швидкого пошуку і аналізу інцидентів, розвинена технічна підтримка, В тому числі в регіонах. Також комплекс має можливості для інтеграції з системами класів SIEM, BI, MDM, Security Intelligence, System and Network Management. Власне ноу-хау - модуль «Досьє», призначений для розслідування інцидентів. Недоліки: недостатній функціонал агентів для робочих станцій, слабкий розвиток контролю за діями користувачів, орієнтованість рішення тільки на великі компанії, висока вартість.

Американська компанія, що починала свій бізнес в 1994 році як виробник ПО з інформаційної безпеки. У 1996 році представила свою першу власну розробку «Internet Screening System» для контролю за діями персоналу в мережі Інтернет. Надалі компанія продовжила роботу в сфері інформаційної безпеки, освоюючи нові сегменти і розширюючи асортимент продуктів і послуг. У 2007 році компанія посилила свої позиції на DLP-ринку, придбавши компанію PortAuthority. У 2008 році Websense прийшла на російський ринок. На даний момент компанія пропонує комплексний продукт Websense Triton для захисту від витоків конфіденційних даних, а також зовнішніх видів загроз. Основні переваги: \u200b\u200bєдина архітектура, продуктивність, масштабованість, кілька варіантів поставки, встановлені політики, розвинені засоби звітності та аналізу подій. Недоліки: немає підтримки ряду IM-протоколів, немає підтримки морфології російської мови.

Корпорація Symantec є визнаним світовим лідером на ринку DLP-рішень. Сталося це після покупки в 2007 році компанії Vontu, великого виробника DLP-систем. З 2008 року Symantec DLP офіційно представлена \u200b\u200bі на російському ринку. В кінці 2010 року, першою з іноземних компаній, Symantec локалізувала свій DLP-продукт для нашого ринку. Основними перевагами цього рішення є: потужний функціонал, велика кількість методів для аналізу, можливість заблокувати витік з будь-якого контрольованого каналу, вбудований довідник веб-сайтів, можливість масштабування, розвинений агент для аналізу подій на рівні робочих станцій, багатий міжнародний досвід впровадження та інтеграція з іншими продуктами Symantec. До недоліків системи можна віднести високу вартість і відсутність можливостей контролю деяких популярних IM-протоколів.

ця російська компанія була заснована в 2007 році як розробник засобів інформаційної безпеки. Основні переваги рішення Falcongaze SecureTower: простота установки і настройки, зручний інтерфейс, контроль більшої кількості каналів передачі даних, розвинені засоби аналізу інформації, можливість моніторингу дій співробітників на робочих станціях (включаючи перегляд скріншотів робочого столу), граф-аналізатор взаємозв'язків персоналу, масштабованість, швидкий пошук по перехоплених даними, наочна система звітності за різними критеріями.

Недоліки: не передбачена робота в розрив на рівні шлюзу, обмежені можливості блокування передачі конфіденційних даних (тільки SMTP, HTTP і HTTPS), відсутність модуля пошуку конфіденційних дані в мережі підприємства.

Американська компанія, заснована в 2005 році. Завдяки власним напрацюванням в області інформаційної безпеки має великий потенціал розвитку. На російський ринок прийшла в 2012 і успішно реалізувала кілька корпоративних проектів. Переваги її рішень: висока функціональність, контроль безлічі протоколів і каналів потенційної витоку даних, оригінальні патентовані технології, модульність, інтеграція з IRM. Недоліки: часткова російська локалізація, немає російської документації, відсутність морфологічного аналізу.

Російська компанія, заснована в 1999 році як системний інтегратор. У 2013 році реорганізована в холдинг. Одним з напрямків діяльності є надання широкого спектра послуг і продуктів для захисту інформації. Один з продуктів компанії - DLP-система Business Guardian власної розробки.

Переваги: \u200b\u200bвисока швидкість обробки інформації, модульність, територіальна масштабованість, морфологічний аналіз на 9 мовах, підтримка широкого спектру протоколів тунелювання.

Недоліки: обмежені можливості блокування передачі інформації (підтримується тільки плагінами під MS Exchange, MS ISA / TMG і Squid), обмежена підтримка шифрованих мережевих протоколів.

«МФІ Софт» - це російська компанія-розробник систем інформаційної безпеки. Історично компанія спеціалізується на комплексних рішеннях для операторів зв'язку, тому велику увагу приділяє швидкості обробки даних, відмовостійкості та ефективному зберіганню. Розробки в області інформаційної безпеки «МФІ Софт» веде з 2005 року. Компанія пропонує на ринку DLP-систему АПК «Гарда Підприємство», орієнтоване на великі і середні підприємства. Переваги системи: простота розгортання і налаштування, висока продуктивність, гнучкі настройки правил детектування (включаючи можливість запису всього трафіку), широкі можливості контролю каналів комунікації (крім стандартного набору включають VoIP-телефонію, P2P і туннелируют протоколи). Недоліки: відсутність деяких видів звітів, відсутність можливостей блокування передачі інформації і пошуки місць зберігання конфіденційної інформації в мережі підприємства.

Російська компанія, заснована в 1995 році, спочатку спеціалізувалася на розробці технологій зберігання і пошуку інформації. Пізніше компанія застосувала свій досвід і напрацювання в області інформаційної безпеки, створив DLP-рішення під назвою «Контур інформаційної безпеки». Переваги цього рішення: широкі можливості перехоплення трафіку і аналізу подій на робочих станціях, контроль робочого часу співробітників, модульність, масштабованість, розвинені інструменти пошуку, швидкість обробки пошукових запитів, Граф-зв'язку співробітників, власний запатентований пошуковий алгоритм «Пошук схожих», власний навчальний центр для навчання аналітиків і технічних фахівців клієнтів. Недоліки: обмежені можливості блокування передачі інформації, відсутність єдиної консолі управління.

Російська компанія, заснована в 1996 році і спеціалізується на розробці DLP- і EDPC-рішень. У категорію DLP-виробників компанія перейшла в 2011 році, додавши до свого всесвітньо відомому в категорії EDPC рішенням DeviceLock (контроль пристроїв і портів на робочих станціях Windows) компоненти, що забезпечують контроль мережевих каналів і технології контентного аналізу і фільтрації. Сьогодні DeviceLock DLP реалізує всі способи виявлення витоку даних (DiM, DiU, DaR). Переваги: \u200b\u200bгнучка архітектура і помодульно ліцензування, простота установки і управління DLP-політиками, в т.ч. через групові політики AD, оригінальні патентовані технології контролю мобільних пристроїв, підтримка віртуалізованних середовищ, наявність агентів для Windows і Mac OS, повноцінний контроль мобільних співробітників поза корпоративної мережі, резидентний модуль OCR (використовуваний в тому числі при скануванні місць зберігання даних). Недоліки: відсутність DLP-агента для Linux, версія агента для Mac-комп'ютерів реалізує тільки контекстні методи контролю.

Молода російська компанія, що спеціалізується на технологіях глибокого аналізу мережевого трафіку (Deep Packet Inspection - DPI). На основі цих технологій компанія розробляє власну DLP-систему під назвою Monitorium. Переваги системи: простота установки і настройки, зручний призначений для користувача інтерфейс, гнучкий і наочний механізм створення політик, підходить навіть для невеликих компаній. Недоліки: обмежені можливості аналізу (немає гібридного аналізу), обмежені можливості контролю на рівні робочих станцій, відсутність можливостей пошуку місць зберігання несанкціонованих копій конфіденційної інформації в корпоративній мережі.

висновки

Подальший розвиток DLP-продуктів йде в напрямку укрупнення і інтеграції з продуктами суміжних областей: контроль персоналу, захист від зовнішніх загроз, інші сегменти інформаційної безпеки. При цьому, майже всі компанії працюють над створенням полегшених версій своїх продуктів для малого і середнього бізнесу, де простота розгортання DLP-системи і зручність її використання важливіше складного і потужного функціоналу. Також, триває розвиток DLP для мобільних пристроїв, підтримки технологій віртуалізації і SECaaS в «хмарах».

З урахуванням усього сказаного, можна припустити, що бурхливий розвиток світового, і особливо російського DLP-ринків, приверне і нові інвестиції і нові компанії. А це, в свою чергу, повинно привести до подальшого зростання кількості і якості пропонованих DLP-продуктів і послуг.