Место DLP в системе безопасности

Место DLP в системе безопасности

Задачи, стоящие перед DLP-системами и смежными технологиями, проблемы адаптации службы ИБ, ее инструментов и подходов под новые профили нарушителей и сопутствующие им риски, устройство экосистемы внутренней безопасности – эти и другие темы были в фокусе обсуждения тематического трека «DLP и все вокруг. Место DLP в системе безопасности», который прошел в рамках Форума DLP+ 2022.

С ключевым докладом «Защита от внутренних угроз: экосистема или лоскутное одеяло?» выступила Галина Рябова, директор центра продуктов SolarDozor, «Ростелеком-Солар».Она представила вниманию аудитории свое видение проблемы защиты от внутренних угроз, обратив внимание на различные аспекты этого вопроса.

«Архитектурный сэндвич» – именно так, по мнению эксперта, можно изобразить автоматизацию любых процессов. «На верхнем слое  есть процессы и они непрерывные, – отметила эксперт. – Далее они отображаются на уровень  задач и функций, т.е. раскладываются на какие-то конкретные взаимосвязанные задачи и функции, которые нужно решить. Дальше мы переходим на область бизнес-приложений, т. е. на область тех программных продуктов, которые мы как вендоры предлагаем заказчикам. Поскольку бизнес-приложения должны реализовывать те функции, которые этажом выше, то они тоже будут непрерывными».

В безопасности есть ожидания, и есть реальность, и они не совпадают, считает эксперт. «Каковы ожидания? Что в области защиты от внутренних угроз есть набор программно-аппаратных средств, которые закрывают всю область задач таким условно непрерывным «одеялом», – объяснила Галина Рябова. – И если там есть какие-то «дырочки», в которые может просочиться нарушитель, то они небольшие и понятно, как их можно закрывать».

Реальность заключается в том, что вендор как правило предлагает отдельные решения, в рамках которых «пытается придумать, как их развить и тем самым удивить заказчика».

По словам эксперта, внутренние утечки очень часто воспринимаются не очень серьезно и потери оцениваются как незначительные. «Вдруг все поменялось, – отметила эксперт, – оказалось, что и секреты наши очень нужны, и сотрудники могут быть достаточно политизированы для того, чтобы умышленно или неумышленно сливать секреты заинтересованным лицам».

Алексей Ковалёв, экс начальник отдела информационной безопасности СКЗ, Газпром Энерго выступил с докладом «Как сменить DLP-вендора за две недели без нервов». Он привел примеры того, как DLP могут быть неэффективными и по каким причинам, причем, как зарубежные, так и отечественные. А также рассказал о кейсе по внедрению системы DLP от компании  Zecurion и о том, как складывалась работа с новым вендором.

Алексей Быстров, старший эксперт по информационной безопасности, ПАО «Полюс», представлял компанию, которая также использует решения Zecurion, причем, делает это уже на протяжении пяти лет. Он рассказал, как организация пришла к этому, по какой причине и как сейчас функционирует система.

«К необходимости внедрения DLP мы пришли в 2015 году. На тот момент в компании уже была довольно внушительная база нормативно-методической документации, которая содержала четко сформулированные требования по обращению с конфиденциальной информацией. Было очевидно, что для их выполнения, нам надо контролировать каналы потенциальной утечки. Отсюда возникли следующие задачи, которые мы планировали решать с помощью DLP-системы: предотвращение утечек, расследование инцидентов, выявление нелояльных сотрудников, выполнение требований законодательства. Первоначально речь шла в основном о выполнении 152-ФЗ. Потом уже в процессе использования системы мы закрывали требования и других законов», – объяснил эксперт.

Он рассказал, как выбирали систему: «На тот момент было много вендоров, в том числе западных. Выбирали по функционально-техническим требованиям. Одним из важнейших требований по функционалу была работа на больших объемах при сохранении всех бизнес-функций».

Решение Zecurion выбрали по ряду причин. Пилотный проект показал, что у Zecurionсильный самодостаточный агент, т. е. весь необходимый функционалу по анализу трафика, по расшифровке, по всем аналитическим возможностям показал себя с лучшей стороны. При этом он может работать автономно, что важно для компании, поскольку много сотрудников работает удаленно и необходимо, чтобы агент умел работать в случае необходимости без сервера.

Также присутствует контроль всех необходимых каналов и решение может работать на больших объемах и предоставлять возможность блокировки.

Алексей Быстров рассказал о том, как проходило внедрение. Оно осуществлялось вендором, участие самой компании было минимальным и только на начальном этапе. Весь проект по внедрению занял примерно месяц.

Эксперт подчеркнул, что использование системы даже поначалу не вызывало трудностей, во многом благодаря простой и очень понятной консоли.

«По итогам пятилетнего использования системы могу сказать, что нашим бизнес-пользователям система нравится, она удобна в работе, помогает решать все необходимые задачи, функционал ее совершенствуется, – отметил Алексей Быстров.

Александр Куликов, консультант по внедрению, Zecurion, выступил с докладом «DLP и системные требования: как справиться в эпоху перемен». По его мнению, эпоха перемен началась с февраля 2022 года в связи с санкциями и прочими ограничениями.

Технические требования, которые предъявляются к системе DLP сейчас достаточно высокие, отметил эксперт, большие требования также к аппаратной части.

«Конечно, существуют и минимальные требования, но, как правило, заказчикам хочется немного большего и при этом использовать различный режим работы», – сказал он.

Эксперт рассказал о шагах, которые предпринимают заказчики, тестируя систему в пилотном режиме.

Одна из задач, возникающих в последнее время, это требования по блокировке спама и различного рода сообщений с политической окраской. «Стало ясно, что нужно блокировать не только внутренние каналы, но и внешние, в результате чего нагрузка на сервера стала возрастать, и нам пришлось оптимизировать решение, чтобы оно отвечало современным требованиям», – объяснил Александр Куликов.

По завершению тематических докладов состоялась дискуссия, модератором которой, как и самого трека выступил Владимир Дрюков, директор центра противодействия кибератакамSolar JSOC, «Ростелеком-Солар».