Журнал "Information Security/ Информационная безопасность" #3, 2023

Термин Next Generation (NG) получил широкое распространение в ИБ благо- даря аналитикам Gartner и коллегам из сетевой безопасности, которые предло- жили и начали активно продвигать его более 10 лет назад. Штамп понравился как профессиональным участникам рынка, так и потребителям. Со временем к названиям все большего количества продуктов и сегментов стали добавлять эту приписку, чтобы показать прогрес- сивность и выделиться среди конкурен- тов. Но не все эксперименты в нейминге прижились. Из истории DLP Поколения DLP, да и вообще любых систем, – градация весьма условная, тем не менее можно выделить некоторые типовые стандарты, по которым созда- вались DLP на определенном этапе их развития. Предложенная градация нестрогая. Она содержит не DLP-системы как тако- вые, а скорее задачи, которые ставят перед ними заказчики. Первое поколение DLP было основано на требованиях законодательных актов, то есть на выполнении достаточно узких задач в соответствии с положениями кон- кретных законов или отраслевых актов. Следующим этапом развития стал контроль коммерческой тайны, защита интеллектуальной собственности ком- паний. Здесь фокус был на расширении используемых технологий и поддержи- ваемых каналов коммуникаций, класси- фикации перехватываемых данных. Затем возможности DLP были расши- рены для решения задач внутренней безопасности в целом: выявления фак- тов сговора, других внутренних наруши- телей, расследования инцидентов. И наконец, задумались о DLP следую- щего поколения. Сами продукты могут выполняют сразу несколько задач: соблюдение требова- ний законодательных актов, расследо- вание инцидентов и т.д. Нас интересует последнее, самое современное, поколе- ние. Как же его можно характеризиро- вать? Next Generation Если говорить о последних годах раз- вития DLP, то важным этапом стал конт- роль нестандартных каналов утечки. Например, DLP научились распознавать и классифицировать естественную речь в аудиокоммуникациях, собирать звуки с использованием встроенных микро- фонов и предотвращать утечку конфи- денциальных данных через фотографи- рование экрана (Screen Photo Detector). Возможности DLP-систем при этом серь- езно возросли. Но достаточно ли, чтобы сказать о смене поколений? Едва ли: для этого требуется больше оснований – архитектурных или принци- пиальных технологических изменений. Одним из таких измене- ний может стать смена парадигмы – отход от классической модели раз- бора инцидентов к оценке рисков. Такая, более зрелая, модель помогает не толь- ко выполнять проверку базовых правил политик безопасности, но и про- гнозировать угрозы, детектировать неочевид- ные для специалистов безопасности и обычных DLP-систем мошеннические схемы внутри компании. Помимо этого, она может указать на наиболее уязви- мые сущности, а также на сотрудников, которых стоит взять под усиленный конт- роль, что является особенно важным для крупных компаний и офицеров без- опасности, которым приходится наблю- дать за работой более тысячи пользо- вателей. Любой консультант расскажет, как важна оценка рисков – именно это лежит в основе ИБ компании. Тем более удиви- тельно, что, собирая кучу информации со своих сенсоров, DLP практически не захо- дили на поле риск-менеджмента, хотя все возможности для этого были и есть. Еще более важное с точки зрения перспектив использования продукта – добавление в DLP NG, то есть интегра- ция возможностей DCAP, которые тра- диционно использовались (если исполь- зовались вообще) автономно. Рассмот- рим эту связку подробнее. Хранимые данные под угрозой Классический принцип защиты инфор- мации от утечки предполагает контроль данных на этапах хранения, использо- вания и перемещения. При этом на практике в DLP-системах основной фокус делается на последнем этапе: информация отлавливается в момент копирования/отправки, далее операция проверяется на соответствие корпора- тивным политикам. Профиль использо- вания может контролироваться, напри- мер, UBA-модулями (поведенческий ана- лиз) и уже упомянутым Screen Photo Detector. Но касательно контроля хра- нимой информации – инструментов явно не хватает. В некоторых DLP исполь- зуются Discovery-модули, которые помо- гают выявить места хранения конфи- денциальной информации, но на этом защита data at rest заканчивается. Львиная доля рисков для конфиден- циальности корпоративной информации возникает не в момент передачи данных, а уже на этапе хранения. Эти риски могут создавать: 14 • СПЕЦПРОЕКТ Next Generation DLP. Поспорим о терминах ода на термин Next Generation не миновала сегмент защиты информации от утечек (DLP), причем разные эксперты вкладывают в него свой смысл. Рассмотрим краткую ретроспективу эволюции развития DLP и попробуем осмыслить возможность использования эпитета по отношению к современным DLP-системам. М Владимир Ульянов, руководитель аналитического центра Zecurion Этапы развития DLP-систем. Zecurion, 2023