Что такое DLP-система и для чего она используется?
В сфере IT-технологий быстро набирает популярность сегмент DLP-систем (от англ. Data Leak Prevention - профилактика утечки данных): рынок таких решений наращивает обороты, а сами они быстро совершенствуются и переходят языковые барьеры. Это связано с тем, что со стороны политики управления предприятиями все большее внимание уделяется предотвращению утечек информации конфиденциального характера. Потеря внутренних наработок, переход перспективных бизнес-идей к конкурентам, попадание финансовой информации в третьи руки - вот лишь малая часть причин, почему важна информационная безопасность организации. Все это может обернуться столь значительными денежными и репутационными потерями, что затраты на внедрение DLP-системы в сравнении окажутся несущественными. Потребность в защите корпоративных данных связана и с развитием удаленной работы, когда компьютер, позиционируемый как служебный (как минимум часть времени в течение суток), физически может находиться вне периметра предприятия, что не снимает важности корректного обращения с доверенной информацией.
Однако информационная безопасность предприятия - это главная, но далеко не единственная задача DLP-систем. Помимо того, что они создают защищенный цифровой контур, куда не проникают внешние угрозы, а внутренние важные данные не переходят его границ, такие программные продукты используются для мониторинга работы персонала, оценки его продуктивности и соответствия занимаемой должности. Таким образом, современные DLP-системы - это универсальные средства для всеобъемлющего контроля безопасной и эффективной работы компании.
Контроль персонала независимо от локации
Мониторинг действий штатных и удаленных сотрудников
Bitcop содержит в себе базовый функционал DLP-систем, который решает все основные задачи по контролю персонала и позволяет оптимизировать штат специалистов, которые анализируют данные.
Попробовать бесплатноКлассификация DLP-систем
DLP-системы делятся на несколько классов, в зависимости от различных критериев их классификации.
По локализации (сетевой архитектуре) DLP-системы подразделяются на хостовые и шлюзовые.
Первые основаны на работе агента непосредственно на локальном компьютере конечного пользователя, что удобно, когда необходимо проконтролировать его обособленные действия (запись информации на носитель, ввод сомнительных поисковых запросов). Вторые располагаются на промежуточных шлюзах и проверяют сетевой трафик. Современные развитые системы по предотвращению утечек данных обычно совмещают в себе и хостовый, и шлюзовый компонент. При этом, в идеале, разбору подвергаются все исходящие потоки информации: передача данных через интернет, запись документов на внешний носитель, отправка их на печать, пересылка через Bluetooth и прочие действия пользователя.
По механизму определения степени конфиденциальности передаваемых данных выделяют два вида DLP-систем:
- Системы, которые устанавливают конфиденциальность на основе анализа маркеров документа,
- Системы, которые для этого проводят анализ содержимого документа.
Под первым способом понимается проверка названия, заголовков, подписей и грифов документа. Этот вариант более быстрый, но он неустойчив перед ситуацией, когда в маркеры документа вносятся изменения. Второй способ требует больших ресурсов, но он более надежен с позиции возможного удаления грифов перед отправкой файла или изменения его названия на незначительное с точки зрения мониторинга. К тому же, он поддается лучшей масштабируемости, поскольку количество обрабатываемых системой документов не будет зависеть от их специальных меток.
Еще одно деление DLP-систем основано на методах их реагирования на возникшие угрозы. Выделяют:
- активные системы, которые немедленно прерывают сомнительный процесс, тем самым упреждая возможный урон,
- пассивные системы, которые только фиксируют подозрительные факты, оформляя их в отчеты для последующего анализа со стороны службы безопасности.
Наконец, с точки зрения правомерности отслеживания действий пользователя можно выделить легальные и нелегальные DLP-системы. Легальными являются решения, официально распространяемые различными вендорами и нацеленные на предотвращение опасных инцидентов и контроль использования рабочего времени. Они действуют с ведома и согласия конечных пользователей или администратора информационной системы. К нелегальным системам относится вирусное и шпионское программное обеспечение, которое самостоятельно и несанкционированно устанавливается на компьютер пользователя с целью сбора конфиденциальных данных и использования их для извлечения выгоды (например, заражение кейлоггерами, собирающими личную и финансовую информацию с отправкой ее злоумышленнику).
Data Leak Prevention в упрощенном варианте
Предотвращение и расследование опасных ситуаций в сфере информационной безопасности - главное предназначение DLP-систем, однако в не меньшей степени они интересуют топ-менеджеров и с точки зрения контроля качества работы сотрудников. В ряде случаев сложные алгоритмы анализа данных оказываются излишни, и организация ставит в приоритет мониторинг использования рабочего времени (с дополнительными бонусами в виде первичного контроля основных манипуляций сотрудника). К тому же, для непрерывного анализа логов серьезной DLP-системы требуются подготовленные специалисты, количество которых прямо пропорционально численности штата организации, которые смогут своевременно предпринять верные действия в качестве ответа на инцидент (представление о том, насколько эта работа нетривиальна, может дать полезное руководство по реагированию на инциденты информационной безопасности).
Система Bitcop сочетает в себе развитый учет рабочего времени сотрудников с базовыми функциями полноценных DLP-систем, которых на практике оказывается вполне достаточно для всестороннего контроля работы персонала.
Выбирая Bitcop в качестве:
- дополнительного решения, нацеленного именно на мониторинг использования рабочего времени,
- или же главной и единственной DLP-системой с набором основных часто употребляемых опций,
организация может быть уверена, что закрывает ключевые потребности в контроле сотрудников, экономя на тяжеловесном и сложном программном продукте, требующем квалифицированной поддержки.
Задачи, которые решает Bitcop в качестве базовой DLP-системы
В Bitcop встроены те функции DLP-систем, которые являются основополагающими для эффективного контроля действий сотрудников. К ним относятся:
- Кейлоггер - функционал по перехвату нажатия клавиш с сохранением в протоколах зафиксированных наборов символов. Кейлоггер помогает получить точное представление о том, какие данные вводит пользователь - в частности, в поисковых запросах браузера. Проанализировав запросы пользователя, можно составить довольно достоверное представление о его текущих интересах. Так, сотрудник, который размещает резюме или осведомляется о вакансиях, становится сомнительным с точки зрения дальнейшего карьерного продвижения, - вместо этого следует задуматься о поиске замещающего специалиста, - а любитель отвлечься на интернет-серфинг, не связанный с прямыми служебными обязанностями, ставит под вопрос свое соответствие занимаемой должности. Полезным может быть кейлоггер, работающий применительно к корпоративной системе по обмену сообщениями - он вовремя даст сигнал о ведении "подковерной" борьбы.
- Скриншоты экрана, которые выполняются с заданной периодичностью и хранятся настраиваемый период времени. Они позволяют воочию контролировать деятельность сотрудников на компьютере через удобные временные интервалы и сразу увидеть нарушение трудовой политики организации.
- Перехват файлов, копируемых на USB-носитель - данная опция даст возможность предотвратить нежелательный вынос корпоративных документов на "флешках".
- Перехват файлов, пересылаемых через мессенджеры - такая возможность системы будет неоценимой, если сотрудник, замысливший передать третьему лицу конфиденциальный документ, решит сделать это через одно из распространенных средств обмена сообщениями.
- Перехват электронной почты - информация о заголовках и вложениях электронной корреспонденции поможет не только получить представление, чем в действительности занимается сотрудник в рабочее время, но и немедленно отреагировать на обмен информацией, выходящей за пределы служебной компетенции.
Сравнение версий Bitcop поможет определиться с наиболее подходящим вариантом использования системы.
О любом сомнительном действии пользователя, способном спровоцировать инцидент информационной безопасности или нарушение рабочего режима, ответственное лицо мгновенно уведомляется системой посредством электронной почты. Это позволяет оперативно принять меры по нивелированию угрозы. Добавив к этому подробные протоколы о запуске приложений и интервалах работы в различных программах, можно сделать вывод о том, что мониторинг Bitcop охватывает все основные аспекты деятельности пользователя за рабочим компьютером - как с точки зрения продуктивности, так и с точки зрения противодействия инцидентам. При этом анализ собранных данных не требует больших временных затрат или специальной подготовки, поскольку предлагается в виде наглядных отчетов, диаграмм и графиков, облегчающих принятие управленческих решений.