Не все DLP «одинаково полезны». Как выбрать систему и не разочароваться

Не все DLP «одинаково полезны». Как выбрать систему и не разочароваться

DLP для многих компаний — ​решение из категории обязательных, когда речь идёт о защите от утечек информации и прочих инсайдерских рисков. Но опыт работы в программе для пользователей оказывается не всегда приятным. В статье мы рассмотрим заслуженные и несправедливые упрёки в адрес DLP, разберёмся, какие касаются естественных ограничений класса систем, а какие — ​недостатков конкретных продуктов.

1. НЕ ХВАТАЕТ ФУНКЦИЙ ДЛЯ РЕШЕНИЯ ЗАДАЧ

DLP-системы давно переросли своё первоначальное назначение — ​контроль утечек данных. Сейчас они используются для решения гораздо более широкого круга задач информационной, экономической, кадровой безопасности. DLP сегодня — ​это настоящие супермашины.

Тем не менее заказчику может не хватать функций. Часто это выясняется после внедрения, потому что заказчик пренебрегает полноценным тестированием, ориентируясь на маркетинговые описания и чужие сравнительные таблицы. Тестирование отнимает время на старте, но сильно экономит его, когда дело доходит до эксплуатации. Поэтому к нему нужно подготовиться. Составьте свою сравнительную таблицу, ставьте на тест последовательно несколько систем и смотрите, как они отработают по наиболее критичным именно для вас задачам.

Например, одному нашему клиенту было важно блокировать пересылку файлов по метаданным, другие случаи пересылки его не интересовали. Перед покупкой нашей DLP-системы («СёрчИнформ КИБ») компания тестировала несколько других, и выяснилось, что они с задачей не справляются. Хотя в брошюрах напротив этого типа блокировки стояла галочка.

Ограничение функциональности также может быть связано с тем, что в DLP применяются сторонние разработки. Иногда это целые движки, модули, платформы или даже whitelabeling чужого продукта под видом своего. В результате вендор ограничен функциональностью чужого программного продукта и его планами развития. Это частая проблема и иностранных, и ряда отечественных DLP-систем.

Мы в своё время приняли решение работать на собственном поисковом движке, его используем не только в DLP, но и в других продуктах. Все остальные элементы наших систем также самописные. Если клиенту потребуются доработки, исправление ошибок или техническая поддержка, он гарантированно их получит.

Часто ограничения DLP-системы связаны с тем, что заказчику требуется специфическая функциональность. Если это важные функции, которые к тому же окажутся полезны многим заказчикам, вендоры часто включают их в план разработки. У нас в системе из таких пожеланий появилась интеграция со СКУД-, BI-системами, таск-менеджер, элементы фразового поиска и многое-многое другое.

Но для решения многих задач клиента не всегда нужны специфические возможности, бывает достаточно комбинации существующих функций ПО. Клиент, понятно, не всегда об этом знает, лучшими практиками должен делиться разработчик. Но в основном у вендоров это просто не предусмотрено, а всё сопровождение ограничивается техподдержкой. У нас, кроме техподдержки, есть отдел внедрения, которого нет у других. Специалисты подключаются к работе с первых дней тестов, учат работе с DLP, рассказывают о нюансах, помогают делать все настройки, чтобы «подогнать» систему под конкретные задачи. А потом — ​сопровождают клиента во время эксплуатации.

Ещё один фактор, который нужно учитывать, есть ли у вендора что предложить, кроме DLP. Эта система сегодня стала центральным элементом защиты от любых инсайдерских рисков, поэтому, выбирая её, заказчик, по сути, выбирает экосистему и других защитных продуктов. Если такой линейки у разработчика нет, компания может столкнуться с проблемой интеграции разных программ. Часто это сложная и даже нерешаемая задача, нужно помнить о ней заранее.

2. DLP СЛОЖНО ВНЕДРЯТЬ, ОНА «ПРОЖОРЛИВА» В ПЛАНЕ РЕСУРСОВ

Это одна из ключевых проблем. Разработчики по-разному подходят к оптимизации работы DLP-систем, в результате программы сильно отличаются по «прожорливости». Несмотря на то что вендоры подробно описывают минимальные технические требования, во время внедрения может произойти неприятный сюрприз. Чем больше объём внедрения, тем более он вероятен.

Варианта два. Идеальный — ​устраивать полноценный нагрузочный тест (развернуть все модули на максимальном количестве компьютеров). Но это не всегда возможно. Второй вариант — ​спрашивать мнение тех ИБ-специалистов, у которых стоит DLP-система на схожий с вами объём машин. Просите рассказать откровенно, с какими трудностями столкнулась компания.

Мы сами последовательно работаем над тем, чтобы снизить требовательность системы к «железу». Ещё в прошлом году изменили архитектуру, и это позволило увеличить быстродействие DLP на 30 % и расширить спектр решаемых задач — ​искать данные в очень больших сетях, например. Раньше для этого заказчикам приходилось выделять большие мощности, размещать дополнительные сервера. В результате нашему КИБу нужно в 2–3 раза меньше серверных ресурсов, чем ближайшим конкурентам.

Имеет значение и скорость внедрения, ненормально, если оно занимает недели и уж тем более месяцы. Процесс может затянуться, если клиент ограничивает доступ или у него нет технического специалиста. Но в любом случае нормальная скорость внедрения типового пилота — ​несколько часов. Мы обеспечиваем её за счёт того, что на нашей стороне с клиентом работает технический специалист (инженер) и специалист внедрения (который обучит работе с программой, поможет настроить политики и решить конкретные задачи).

3. МНОГО ЛОЖНЫХ СРАБОТОК

Опытные ИБ-специалисты понимают, что это неизбежное «зло»: лучше почитать ложные сработки, чем упустить важное. Но это не значит, что вся работа должна превратиться в разбор потенциальных инцидентов. У хороших программ число ложных сработок можно свести к минимуму за счёт гибкой настройки политик безопасности. Важно вовремя остановиться и найти баланс.

Например, можно исключить из мошеннической политики сработки на слово «кинуть», чтобы не получать ложные алерты «кинь мне деньги на карточку/телефон». Но мы советуем этого не делать, потому что можно пропустить разговор о том, как сотрудники собираются кого-то обмануть.

Возможность настроить политики гибко — ​одна из сильных сторон нашей DLP-системы. У нас реализованы множество разных видов анализа: по словам, словарям, морфологии, атрибутам, по регулярным выражениям, цифровым отпечаткам, по алгоритму «поиск похожих», статистическим и комплексным поисковым запросам, а также любым комбинациям вышеперечисленных. При правильном подходе и с привлечением отдела внедрения можно настроить политики безопасности максимально тонко, но эффективно.

4. ПРОГРАММА КАЖЕТСЯ СЛОЖНОЙ, НЕКОМУ РАБОТАТЬ

DLP-система не работает как антивирус (поставил — ​и он работает). «Заводских» настроек программы для защиты от утечек хватит, чтобы вести мониторинг, блокировать пересылку по готовым политикам безопасности. Конечно, это уже обеспечит защищённость, но для её повышения нужно пересматривать политики безопасности, бизнес-процессы, проводить расследования. И если у заказчика нет понимания, что делать с этими данными дальше, он будет использовать от силы 10–20 % возможностей DLP.

Другая проблема в том, что с программой бывает некому работать или текучка ИБ-специалистов такая, что новый человек просто не успевает обучаться. Если вендоры не учитывают этот аспект, их система в какой-то момент рискует стать мёртвым грузом на балансе клиента. С неизбежным разочарованием в DLP-системе как в классе ПО.

Мы давно работаем с этой проблемой. Так появился учебный центр и сильный отдел внедрения, который, по сути, делит с клиентом большой объём работ. В результате мы можем развернуть и обеспечить работу DLP-системы независимо от того, какова квалификация ИБ-специалистов и укомплектован ли их штат у клиента.

Но мы пошли ещё дальше и запустили аутсорсинг DLP, чтобы полностью снять с клиентов головную боль за аналитику и отчётность. В таком формате аутсорсинг может работать и в тех компаниях, где вовсе нет ИБ-отдела, а если такой есть — ​как подмога ему. Мы регулярно слушаем обратную связь от пользователей DLP-систем. Те, кто сумел правильно выбрать программу и использует её на 100%, знают, какие огромные возможности она даёт для управления безопасностью, кадрами и бизнеса в целом. Но чтобы система не разочаровала, а превосходила ожидания, её нужно тестировать. Запросите дополнительную информацию о возможностях DLP-системы «СёрчИнформ КИБ» по ссылке.