Структура обзора «Российский рынок DLP-систем 2021. Проблемы и решения»:
ЧАСТЬ 1. ОСОБЕННОСТИ СОВРЕМЕННОГО РЫНКА DLP-СИСТЕМ
1. Рынок DLP-систем в цифрах и фактах: оценка аналитиков. Специфика российского рынка DLP в сравнении с зарубежными.
2. Тренды рынка DLP-систем.
2.1. Мнения аналитиков.
2.2. Мнения представителей интеграторов.
2.2. Мнения представителей вендоров.
3. Современная функциональность DLP-систем.
3.1. Мнения представителей интеграторов.
3.2. Мнения представителей вендоров.
4. Искусственный интеллект и машинное обучение как перспективные направления развития DLP-систем.
ЧАСТЬ 2. ГРАМОТНОЕ ВНЕДРЕНИЕ DLP-СИСТЕМ
- Потребности разных сегментов бизнеса (малый, средний, крупный) в DLP-системах.
- Факторы, влияющие на выбор DLP-системы.
- Обзор ведущих DLP-систем на российском рынке.
В обзоре приняли участие представители компаний и организаций:
- аналитика: «ФИНАМ», «Отечественный софт», РУССОФТ, «Рустелеком»;
- системная интеграция: Softline, «Инфосистемы Джет», КОМПЛИТ, ЛАНИТ, ТАЛМЕР;
- разработка ПО: InfoWatch, DeviceLock, Falcongaze, Zecurion, «Ростелеком-Солар», «СёрчИнформ».
1. Рынок DLP в цифрах и фактах: оценка аналитиков. Специфика российского рынка DLP в сравнении с зарубежными
Статистический агрегатор Statista оценивает глобальный рынок DLP-систем в $1,64 млрд и прогнозирует его рост к 2023 году до $2,28 млрд.
ФГ «ФИНАМ», анализируя данные различных источников, оценивает российский рынок DLP-систем в широком диапазоне от 2,5 до 8,0 млрд руб. Темпы прироста лучше согласуются между собой и составляют 17-18% в год.
Леонид Делицын, аналитик ФГ «ФИНАМ»
«На зарубежных рынках с традиционными DLP-системами активно конкурируют брокеры безопасности доступа к облаку (CASB), предоставляющие ПО, которое находится между пользователями и облачными приложениями. Оно мониторит угрозы безопасности, предупреждает администраторов относительно потенциально опасных действий, обеспечивает совместимость с требованиями политики безопасности и автоматически предотвращает работу вредоносного программного обеспечения (mailware). На волне интереса к облачной индустрии американским CASB-брокерам удается привлечь значительные инвестиции, и они активно расширяют предложение своих услуг на глобальных рынках. Стартовать с таким предложением из России сейчас значительно сложнее, поскольку трудно привлечь крупного партнёра-облачного оператора», – комментирует аналитик ФГ «ФИНАМ» Леонид Делицын.
Среди глобальных лидеров рынка DLP-систем аналитики отмечают российские компании: Zecurion, InfoWatch, SearchInform, «Гарда Технологии». Напомним, что с 2017 года три российские компании входят в рейтинг Gartner Magic Quadrant for Enterprise Data Loss Prevention как нишевые игроки: InfoWatch, SearchInform и Zecurion.
Виталий Орлов, руководитель Комитета по информационной безопасности АРПП «Отечественный софт»
«Современный российский рынок DLP-систем является достаточно зрелым и динамично растущим. У российского и зарубежного рынков, на мой взгляд, больше общего, чем отличий, что косвенно подтверждается похожими функциональными возможностями отечественных и иностранных продуктов. Тем не менее зарубежные продукты в большей степени направлены на блокировку передачи конфиденциальных данных и обладают меньшей функциональностью в аналитической части по сравнению с отечественными аналогами. Также стоит отметить, что рынок DLP-систем является высокомаржинальным, на нем присутствуют много игроков, поэтому клиенту важно внимательно подходить к выбору продукта», – добавляет руководитель Комитета по информационной безопасности АРПП «Отечественный софт», исполнительный директор ООО «Смарт-Софт» Виталий Орлов.
По мнению экспертов НП «РУССОФТ», российский рынок DLP-систем имеет особенности по сравнению с зарубежными. Основной драйвер российского рынка – не compliance (соответствие формальным требованиям безопасности от внешних вторжений в систему), как в США или Европе, а состояние внутренней безопасности, то есть предотвращение рисков, вызываемых персоналом. Такая специфика привела к тому, что присутствие западных вендоров DLP-систем в России свелось практически к нулю задолго до развертывания госпрограмм импортозамещения. С другой стороны, некоторые российские решения не содержат базовые для DLP функции блокировки опасных или подозрительных транзакций, совершаемых компанией по многим каналам, – по сути, не обеспечивая предупреждения внешних рисков (Prevention – третья буква в аббревиатуре DLP).
На западе с DLP работают в основном «айтишники», они понимают систему как «контроль и блокировка трафика». В России с системами DLP на старте работали выходцы из органов безопасности, которые гораздо лучше работают с информацией и знают, как использовать ее для расследования и предотвращения инцидентов. Получается, что в России решения в области DLP выходят за пределы изначальных требований к ним. Поэтому иностранные DLP-системы могут закрыть только узкую часть потребностей заказчиков. Если говорить в зарубежных терминах, то российские системы DLP закрывают требования не только ИБ, но и forensic (судебная экспертиза), compliance (соответствие требованиям), risk management (управление рисками).
Валентин Макаров, президент НП «РУССОФТ»
«К сожалению, рынок не прозрачный, поэтому оценить объемы выручки довольно сложно. Ситуация с бюджетами на ИБ в разных отраслях неоднородная. Крупные компании (особенно из банковской сферы, производства, ритейла) затраты наращивают. В других отраслях ситуация с бюджетами менее радужная. Поэтому отношение к выбору DLP-систем становится более скрупулезным, а конкуренция между вендорами ужесточается. Выигрывает тот, кто предлагает не только более функциональное, но и экономичное решение. Заказчики сравнивают возможности ПО, требования к оборудованию, обращают внимание на инфраструктуру, возможности интеграции с другим ПО, возможности «закрывать» смежные задачи. Из-за кадровых проблем важно, как много людей необходимо для обслуживания программы. Если с помощью нашей DLP один ИБ-специалист сможет контролировать 1500-2000 ПК, а с помощью конкурентной – лишь 1000, выбор очевиден», – делают вывод эксперты НП «РУССОФТ». Позиция ассоциации основана на мнении президента НП «РУССОФТ» Валентина Макарова, генерального директора Zecurion Алексея Раевского и председателя совета директоров SearchInform Льва Матвеева.
2.1. Тренды рынка DLP-систем. Мнения аналитиков
Аналитики, в первую очередь, отмечают рост интереса коммерческих организаций и госструктур в целом к рынку к информационной безопасности. Такие факторы, как рост утечек данных (в том числе с помощью фото- и видеосъемки), распространение дистанционного и гибридного режимов работы, рост мобильности сотрудников, интерес госсектора к рынку ИБ, распространение облачных сервисов и размытие периметра ИБ – существенно влияют на рынок DLP-систем. Со стороны организаций это приводит к повышенным инвестициям в ИБ и расширению ресурсов (например, количества лицензий на виртуальные рабочие места, VPN). Со стороны вендоров – к разработке и выводу на рынок новый инструментов по контролю за сотрудниками и предотвращению утечек.
Леонид Делицын, аналитик ФГ «ФИНАМ»:
Основные драйверы роста рынка DLP-систем – рост проникновения мобильных приложений и переход сотрудников в режим удаленной работы. Проблема сейчас знакома не только организациям. В июне компания Eset сообщила, что 59% россиян обнаруживали свою персональную информацию в свободном доступе в Интернете. Режим работы BYOD (bring your own device) еще больше усугубляет проблему, потому что на собственном устройстве безопасность обеспечиваем мы сами. А пользователь обычно делает выбор в пользу скорости и удобства, а не безопасности. Кроме того, этим устройством могут эпизодически пользоваться члены семьи работника.
Растет доля утечек при помощи мультимедиа: фотографий и видео. Компании переходят от собственных информационных систем к облачным сервисам, и это еще усложняет обеспечение безопасности. Кроме того, компании оказывают услуги своим клиентам тоже при помощи облачных сервисов. В результате этого количество внешних пользователей данных компании значительно превосходит количество ее сотрудников. «Периметр безопасности» существенно расширился за пределы офиса и охватил всё, что связано с облачными сервисами. Возникает задача: обеспечить безопасность в облаке, но не ценой замедления работы приложений.
Юрий Брюквин, генеральный директор ИАА «Рустелеком»
Юрий Брюквин, генеральный директор ИАА «Рустелеком»:
Рынок ИБ в целом сейчас очень сильно растет. К примеру, рынок услуг сетевой безопасности, предоставляемых операторами связи (управляемые услуги безопасности, консалтинг для телеком-сетей, облачные услуги безопасности), по нашим оценкам, вырос за последний год на 30%. На мой взгляд, примерно такая же динамика и в направлении DLP. Обусловлена она, прежде всего, двумя факторами: влиянием пандемии и активными инвестициями госсектора в ИБ-системы. Организация защищенной работы сотрудников на «удаленке» – проблема, которая в прошлом году встала очень остро для многих предприятий, которые работают с чувствительной информацией, от банков до учреждений здравоохранения. Конечно, почти у всех были в арсенале какие-то наработки и программные решения, но они не были рассчитаны на такое количество удаленных работников. Приходилось их расширять, причем оперативно, а это, естественно, серьезные затраты. Кроме того, в России сейчас взят явный вектор на цифровизацию: банки, операторы связи – все хотят стать ИТ-компаниями, развивается электронная коммерция, генерируется и собирается большое количество данных, которые необходимо защищать.
В структуре системы ИБ предприятия DLP-система занимает центральное место – как база для реагирования, в первую очередь, на внутренние инциденты. В результате организационных изменений, перехода на дистанционные и гибридные модели рабочих мест роль DLP несколько размылась, стало необходимо обеспечивать безопасность каналов связи (VPN, шифрование) не только внутри периметра корпоративной сети, но и вне его. Поэтому защищать организацию от утечек данных стало гораздо сложнее и затратнее. И если раньше акцент делался на расширении уже имеющегося инструментария в зависимости от того, какая часть сотрудников организации уходила на удаленку (приобретении дополнительных ресурсов, мощностей в облаке и периметре организаций, дополнительных лицензий), то теперь мы наблюдаем движение в сторону облаков, виртуализации. Соответственно, нужно ожидать появления новых инструментов защиты, направленных на гибридные структуры, где используются и облачные, и on-premise решения.
Виталий Орлов, руководитель Комитета по информационной безопасности АРПП «Отечественный софт»:
В условиях гибридного режима работы, когда увеличилась доля конфиденциальных документов в электронных каналах связи, а понятие «корпоративный периметр» стало размыто, значение средств защиты информации многократно возросло. Компании, которые даже не начинали задумываться об информационной безопасности, стали вынуждены принимать решение о внедрении средств защиты очень быстро. Кроме этого, появилась потребность контроля рабочего времени сотрудников и эффективности их работы на удаленке. Все перечисленные факторы привели к росту востребованности средств защиты информации, включая DLP-системы. Использование DLP-систем является обязательным условием для минимизации рисков несанкционированного распространения конфиденциальной информации. Но здесь возникает следующая проблема: многие работники используют для работы личные устройства, и установка DLP-системы позволит работодателю осуществлять контроль в том числе за действиями работника, не связанными с выполнением должностных обязанностей. Поэтому основной задачей является обеспечение удаленного персонала корпоративными устройствами для доступа в корпоративную сеть с предустановленными средствами защиты информации как от внешних, так и от внутренних угроз, включая возможные утечки конфиденциальных данных.
Позиция НП «РУССОФТ»:
По разным оценкам, рост российского рынка ИБ в 2020 году составил от 20 до 25%. Это неудивительно, ведь согласно опросу «РУССОФТ», 57% российских компаний в период пандемии сделали кибербезопасность одним из своих стратегических приоритетов. При этом по числу тендеров мы видели, что закупки DLP в 2020 году снизились, хотя и не радикально. Крупные внедрения, которые были давно забюджетированы, прошли по плану.
После весны 2020 года, когда всем пришлось перейти на удаленную работу, в сегменте DLP произошли большие перемены. Понятие «корпоративный периметр» стало размытым. Компаниям, которые даже не начинали задумываться о безопасности, пришлось принимать решение о внедрении средств защиты, причем делать это очень быстро. Помимо контроля и блокировки несанкционированных действий персонала выросла потребность в контроле рабочего времени сотрудников и эффективности их работы. Вместе с учетом рабочего времени сотрудников менеджмент получил возможность наблюдать, какие приложения были использованы на компьютере, на какие сайты заходил сотрудник и сколько времени он там провел: сразу стало понятно – выбирал ли сотрудник пылесос или участвовал в рабочем процессе. Также вырос спрос на модуль защиты от фотографирования экрана.
Резко усилился тренд DLP-рынка на переход от устранения последствий инцидентов к анализу и минимизации рисков. Если в DLP-системе проводится сбор данных о функционировании компании в целом и на их основе оцениваются риски безопасности, то это дает возможность быстро оценить опасность действий того или иного сотрудника, выделить тех сотрудников, которым департаменту безопасности нужно уделить больше внимания, прогнозировать возможные инциденты в будущем.
2.2. Тренды рынка DLP-систем. Мнения представителей интеграторов
По оценке представителей системных интеграторов, DLP стала ключевым элементом в организации комплексной защиты конфиденциальной информации. Эффективность работы удаленных сотрудников и защита домашних сетей выходят для организаций на первый план наряду с классической функцией предотвращения утечек. Внимание уделяется также защите облачных сред и контролю трафика.
Виолетта Красова, ведущий специалист направления защиты от утечек информации департамента информационной безопасности Softline:
В связи с гибридным режимом работы рынок DLP-систем растет, несмотря на кризисную составляющую. Если ряд компаний ранее только задумывался о необходимости системы, то в данных условиях это стало очевидным. В компаниях окончательно размылся периметр: на смену стационарному рабочему месту в офисе пришел удаленный доступ с использованием личных мобильных устройств, облаков, всевозможных мессенджеров и гаджетов. Таким образом, элементы больше не находятся в единой локальной сети, а значит, и речи о едином защищенном пространстве не идет.
Помимо классической функции защиты данных от утечек фокус развития DLP-систем расширился и на данный момент включает в себя также расследование нарушений и оценку эффективности работы сотрудников. «Человеческий фактор» стал еще более выраженным в условиях работы на удаленке в домашней обстановке, что, к сожалению, может привести к увеличению нарушений по неосторожности. Конечно, важным показателем для заказчиков стала продуктивность работы сотрудников на удаленке. Статистические данные показали, что не только снижение продуктивности ведет к нежелательным последствиям, но и переработка может вести к выгоранию и снижению лояльности сотрудника к компании. Это, в свою очередь, может спровоцировать непреднамеренную утечку данных. Таким образом, наиболее востребованными на сегодняшний день являются классическая функция DLP, защита облачных сред, расследование и контроль действий пользователя.
Мария Чередниченко, руководитель направления защиты от утечек данных центра информационной безопасности компании «Инфосистемы Джет»
Мария Чередниченко, руководитель направления защиты от утечек данных центра информационной безопасности компании «Инфосистемы Джет»
Компании стали уделять больше внимания решениям класса DLP, особенно тем их модулям, которые отвечают за контроль эффективности работы удаленных сотрудников. Вызвано это тем, что во многих компаниях сейчас практикуется гибридный режим работы, основная проблема которого – снижение полезной активности сотрудников. Дистанционно отслеживать активность работников довольно сложно, а специализированный модуль DLP-системы прекрасно справляется с этой задачей.
Большаков Максим, начальник отдела информационной безопасности КОМПЛИТ
Большаков Максим, начальник отдела информационной безопасности КОМПЛИТ:
Из-за пандемии многие работодатели перевели своих сотрудников на гибридный режим работы. Поэтому вопрос защиты данных и серверов стал актуален как никогда. Основная проблема – низкий уровень защиты домашних сетей. В офисе есть стабильное интернет-соединение, межсетевые экраны, лицензионные антивирусные средства. Но в условиях домашнего офиса чаще используют нелицензионное программное обеспечение и непроверенные технологии, которые могут поставить под угрозу кибербезопасность организации. Чтобы решить эту проблему, мы используем DLP-системы, которые предотвращают утечки данных и позволяют контролировать рабочие места как в рамках офиса, так и за его пределами.
Для управления киберрисками лучше сочетать технические средства контроля и анализ поведения пользователей. А это как раз основа DLP-систем.
Дмитрий Дудко, руководитель отдела проектирования и внедрения департамента информационной безопасности ЛАНИТ
Дмитрий Дудко, руководитель отдела проектирования и внедрения департамента информационной безопасности ЛАНИТ:
С начала пандемии и с развитием удаленного режима работы вся классическая архитектура информационной безопасности подверглась серьезным испытаниям на прочность. DLP-решения не стали исключением. Поскольку основной схемой работы DLP является связка агента и серверной части, предназначенной для перехвата трафика и его обработки, то основной вызов к DLP пришелся на агентов.
Если отбросить денежный вопрос, связанный с увеличением числа лицензий и объемом трафика, то техническая задача сводится к охвату всех удаленных точек компонентами DLP. И если агенты теоретически могут охватить все удаленные машины (например, можно выдавать машины для удаленной работы с предустановленными средствами защиты, или сделать принудительную установку при авторизации в домене, или просто проверять наличие необходимых средств защиты при авторизации), то заворачивание всего требующего внимания трафика на точки перехвата и его анализа потребует дополнительных мер. Зачастую сегменты подключения удаленных пользователей (чаще всего DMZ) отделены от места установки средств перехвата (чаще всего в месте сосредоточения контролируемых каналов), иногда даже физически.
И, разумеется, необходимо решить проблему ошибок первого и второго рода, ведь удаленная машина может быть личной, что породит большое количество нерабочего трафика, к которому будут применены все политики по защите информации. Все это требует корректировки правил корреляции и реагирования.
Владимир Ченцов, специалист по информационной безопасности ТАЛМЕР
Владимир Ченцов, специалист по информационной безопасности компании ТАЛМЕР:
DLP-система является одним из наиболее эффективных инструментов защиты от внутренних угроз, поэтому роль данной системы по отношению к другим средствам защиты информации возросла. DLP превратилась в ключевой элемент экосистемы по защите конфиденциальной информации, перестав быть отдельной системой.
В 2020 году наблюдался повышенный интерес к DLP-системам. В период начала пандемии мы увидели, что не все компании были готовы к переходу на удаленный режим работы. Возникла проблема расширения периметра, который необходимо контролировать и появились дополнительные каналы информационных потоков. Не все обладали требуемой инфраструктурой, возник дефицит ноутбуков, что провоцировало работу на неконтролируемых устройствах. Многие пользователи для решения рабочих задач стали использовать облачные сервисы, которые всегда были «головной болью» специалистов по информационной безопасности, поэтому данный канал коммуникации требует более тщательного внимания для обеспечения контроля передаваемой информации.
2.3. Тренды рынка DLP-систем. Мнения представителей вендоров
Взгляд на DLP-системы опрошенных экспертов, представляющих производителей софта, несколько отличается от оценки аналитиков и системных интеграторов. Не все согласны с тем, что рынок претерпевает большие изменения – вероятно, дело в различном подходе к оценке изменений рынка. Тем не менее каждый отмечает повышенный интерес клиентов к тем или иным функциональным возможностям DLP-систем.
Олеся Ярмоленко, генеральный директор DeviceLock DLP:
За прошедший год рынок DLP-решений изменился довольно сильно и, в первую очередь, в формате применения DLP как инструмента обеспечения информационной безопасности. В «офисном» режиме работы DLP-системы чаще всего использовались для сбора информации об инцидентах и попытках нарушений, которая затем реализовывалась службами безопасности через административные мероприятия: от воспитательных бесед с сотрудниками СБ или руководителями до увольнений. После перехода на удаленку такой подход перестал работать, а письма и телефонные звонки, как известно, воздействуют на нарушителей куда слабее личных встреч.
Кроме того, благодаря использованию на удаленке домашних и служебных компьютеров, подключенных одновременно к Интернету и корпоративной сети через VPN или терминальный сервер, увеличилось число и технических уязвимостей, и возможностей для инсайдерских утечек, которые потребовалось пресекать. В результате службы информационной безопасности буквально захлебнулись в потоке поступающей от DLP-систем информации об инцидентах, которую требовалось вручную проверять, классифицировать и реагировать на нее. В итоге резко вырос запрос на автоматический анализ действий пользователей и передаваемого ими контента. И главное – от DLP-систем потребовалось автоматически пресекать передачу критичных данных, «работая в разрыв».
Павел Пармон, сотрудник аналитического отдела Falcongaze
Павел Пармон, сотрудник аналитического отдела Falcongaze:
В условиях гибридного режима работы DLP-системы определенно поднялись в списке приоритетов среди программ, обеспечивающих защиту информационного периметра организации. В удаленном режиме работы сотрудник может решать личные и рабочие вопросы с одного устройства просто потому, что так удобнее и это меньше отвлекает от работы. Однако это повышает риск как случайных, так и намеренных утечек данных. Один неверный клик может отправить важную информацию не в те руки, и куда она уйдет дальше, неизвестно. Для защиты от этого и нужны DLP-системы.
Александр Клевцов, руководитель направления InfoWatch Traffic Monitor
Александр Клевцов, руководитель направления InfoWatch Traffic Monitor:
По понятным причинам на вынужденный гибридный режим работы отреагировали все отрасли, однако с разной степенью вовлеченности. Для некоторых компаний не стало проблемой перестроить традиционный формат работы и при этом обеспечить должный уровень ИБ, а какие-то организации попытались «сильнее закрутить гайки» даже во вред бизнес-процессам. Кто-то форсировал бюджеты, а кто-то не делал ничего.
Изменения затронули несколько аспектов работы компаний, которые находятся в прямой связи с применением DLP-систем. Например, изменились правовые взаимоотношения между компаниями и сотрудниками, связанные с контролем активности людей на «удаленке». Трансформировалась процедура сбора доказательной базы нарушений политик ИБ и применения ее в суде в контексте контроля действий удаленных сотрудников, часто работающих на личных устройствах.
Всё это повлекло за собой пересмотр моделей ИБ-угроз, а также привело к обновлению технологий выявления и описания информационных активов компании. Это требуется для классификации рисков, которые стали присущи IT-инфраструктуре, оставшейся с окончательно размытым корпоративным периметром.
Вендоры, естественно, отреагировали на эти вызовы, но по-разному. Одни оперативно доработали свои решения под текущие потребности рынка, другие ограничились сменой маркетинговой «обертки» старых решений. Кто-то изменил стратегии коммуникаций с клиентами. А кому-то даже не пришлось никого ни в чем убеждать: потребители сами осознали свои новые потребности, например, в решениях по контролю за действиями сотрудников.
Александр Ковалёв, заместитель генерального директора Zecurion
Александр Ковалёв, заместитель генерального директора Zecurion:
Сегодня увеличилась доля ноутбуков и удаленных сессий с домашних ПК, что добавило особые условия работы к агентам DLP-систем: по-хорошему, они должны уметь анализировать всё внутри себя без постоянного «дергания» центрального сервера анализа и связи с Интернетом. Для Zecurion это стало плюсом, так как мы изначально шли от агентских решений.
Алексей Кубарев, руководитель группы развития бизнеса центра продуктов Dozor компании «Ростелеком-Солар»
Алексей Кубарев, руководитель группы развития бизнеса центра продуктов Dozor компании «Ростелеком-Солар»:
Рынок DLP-систем существенно не изменился, DLP-системы давно заняли свое почетное место в инфраструктурах безопасности организаций, используются повсеместно в том или ином виде и режиме работы. Был переходный период в 2020, когда компаниям пришлось перестроить режим работы DLP-систем в зависимости от того, какую ИТ-инфраструктуру выбрали ИТ-службы. На передний план вышел контроль таких облачных сервисов как Cisco Webex, Zoom, Microsoft Teams. Более пристальное внимание обратил на себя Microsoft Outlook Web Access (OWA), которым на удаленке стали пользоваться чаще, и который даёт возможность беспрепятственного скачивания текста и вложений в обход DLP. Этот канал можно закрыть бандл-решением – связкой DLP-системы и прокси-сервера, поддерживающего режим реверс-прокси.
Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ»
Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ»:
Роль DLP-систем выросла: у компаний кратно увеличивается потребность в полноценном контроле сотрудников (защите информации от утечек, активов от мошенничества, повышения дисциплины). Во время удаленного или гибридного формата работы сделать это без автоматизированных средств невозможно, DLP-система оказалась востребованной даже у тех, кто раньше сомневался в необходимости программ контроля. С технической точки зрения нет ничего сложного в том, чтобы использовать DLP в гибридной инфраструктуре. Требуются только небольшие донастройки, с которыми заказчики справляются самостоятельно или с помощью вендоров. В начале пандемии компаниям в первую очередь было важно убедиться, что не страдает дисциплина, поэтому запрос на этот функционал возрос.
После экстренного решения вопросов с бизнес-процессами компании вернулись к вопросам безопасности, возникла потребность контролировать все удаленные подключения, общение по новым каналам. Поэтому мы оперативно расширили перечень популярных бизнес-мессенджеров (в том числе Zoom), которые можно контролировать нашей DLP.
Заказчики стали чаще спрашивать про блокировку пересылаемой информации, что также подтолкнуло нас быстрее завершить функционал по расширению возможностей блокировок. Теперь у нас есть контентная блокировка передачи информации не только по почте, но и по множеству разных каналов. Также появилась возможность блокировать информацию по содержимому в любом произвольном приложении.
Еще один запрос, который мы видим, – это более активное движение к импортозамещению. Это подстегивает наши планы разработки по доработке наших Linux-агентов для КИБа.
Среди проблем, которые испытывают заказчики, – сокращение расходов на ИБ, притом третий год подряд. Это в меньшей степени касается трат на DLP, но все же вендорам приходится работать над тем, чтобы DLP обходилась дешевле и окупалась быстрее. Мы отреагировали на этот тренд тем, что ввели сервисный подход. Это позволяет заказчику оптимизировать затраты и сделать эффект от использования ИТ-решения более предсказуемым. В результате на практике оказывается, что система возвращает инвестиции уже в первый год и раньше.
3.1. Современная функциональность DLP-систем. Мнения представителей интеграторов
В продолжение разговора о функциональности современных DLP-систем мы попросили экспертов ответить на вопрос, насколько присутствующее на рынке ПО соответствует потребностям организаций и какие новые разработки, технологии, направления существуют в этой области. Представители интеграторов, отметив широкую функциональность современных систем и новые инструменты, также обратили внимание на «узкие места» этого софта и необходимость их устранения.
Виолетта Красова, Softline:
DLP-системы на данный момент обладают огромным спектром возможностей перехвата трафика, широким спектром технологий анализа и высокой точностью детектирования. Из новых разработок можно выделить функционал UBA и разработки в области инструментов расследования, модернизированную систему аналитической составляющей.
Можно также выделить новую услугу «DLP как сервис». Она включает в себя как предоставление компаниями-интеграторами «человеческих» компетенций в виде аналитики, мониторинга и расследования инцидентов, так и полностью DLP «из облака». Данный сервис особенно актуален, так как учитывает особенности гибридного формата работы и позволяет экономить ресурсов компании.
Что касается потребностей заказчиков, вне зависимости от категории, то у всех свои цели. Именно под решение конкретной задачи мы подбираем систему с учетом всех особенностей и факторов.
Мария Чередниченко, «Инфосистемы Джет»:
DLP-системы решают основные задачи в части защиты от внутренних утечек, но есть узкие места, которые не покрываются стандартным функционалом таких систем. Большинство вендоров либо разрабатывают новые модули DLP-систем, чтобы закрыть эти узкие места, либо прорабатывают варианты интеграции. Значительное внимание сейчас уделяется так называемому нулевому этапу защиты данных, который нацелен на защиту внутри периметра организации: это позволяет замечать риск утечки еще до того, как она произошла.
Максим Большаков, КОМПЛИТ:
Основные задачи DLP-систем – снизить риски утечки конфиденциальной информации и собрать данные для расследований подобных случаев. Почти в каждом сегменте экономики сейчас происходит цифровая революция и автоматизация процессов, что сопровождается ростом объемов данных, поэтому и DLP-системы необходимо модернизировать, чтобы они могли работать с большими объемами информации.
Современные DLP-системы должны быть масштабируемыми, гибкими, иметь простые правила контроля и использовать механизмы поведенческой аналитики. Компании, работающие на российском рынке DLP-систем, все чаще анонсируют свои новые разработки: модули с усилением механизмов аутентификации, машинным обучением, доверенными средами для работы на мобильных устройствах.
Дмитрий Дудко, ЛАНИТ:
Технологии защиты от утечек сейчас на довольно высоком уровне развития. Можно организовать контроль практически за всеми электронными каналами утечки от электронной почты до WhatsApp. Таким образом, обычному злоумышленнику при правильно организованном контроле практически не остается инструментов для кражи информации из информационных систем с помощью утечки. Ему остается либо сфотографировать экран на личный мобильный телефон – и противодействие этому будет вершиной развития DLP, – либо запоминать и воспроизводить информацию по памяти, но этому воспрепятствовать могут только телепаты.
К сожалению, в двух данных направлениях результаты пока очень скромны. Нет удовлетворительно работающих технических решений, которые бы не стоили, как чугунный мост. В данный момент компании обходятся организационными мерами: например, не разрешают проносить личные телефоны на рабочие места.
Владимир Ченцов, ТАЛМЕР:
Сегодня на рынке DLP высокая конкуренция, продукты совершенствуются и развиваются, дорабатываются функциональные возможности и появляются новые. Подобное развитие продуктов соответствует ожиданиям заказчиков и вызовам, с которыми они сталкиваются.
DLP-система – прежде всего инструмент для обеспечения безопасности, который настраивается для каждого заказчика с учетом его специфики, основываясь на отраслевых особенностях компании, корпоративных бизнес-процессах, каналах коммуникации и многих других факторах. Развитие данных систем во многом базируется на таких технологиях, как искусственный интеллект, машинное обучение и предиктивная аналитика. Совершенствование технологий позволяет вендорам улучшать алгоритмы работы DLP-систем.
Новая функциональность DLP-систем
3.2. Современная функциональность DLP-систем. Мнение представителей вендоров
Представители вендоров подтвердили точку зрения интеграторов о том, что «узкие места» в современных DLP-системах существуют: например, защита от фотографирования экрана. Они также обратили внимание на необходимость глубокой интеграции DLP с другими компонентами комплексной системы ИБ, увеличения ее производительности и масштабируемости, автоматизации с помощью искусственного интеллекта, также обучения пользователей взаимодействию с DLP.
Олеся Ярмоленко, DeviceLock DLP:
Массовый переход на удаленку выявил главную проблему: DLP-систем, «работающих в разрыв», на российском рынке очень мало. Также значительная часть DLP-решений оказалась не готова к контролю программ, использующих сквозное шифрование, в первую очередь, мессенджеров. Кроме того, потребовался более гибкий подход к работе с пользователями, их обучению взаимодействию с DLP-системой и взаимной адаптации друг к другу.
Ключевой проблемой, которую производители DLP-систем стараются, но пока не могут решить, остается борьба с фотографированием экрана с помощью мобильных устройств. Разрабатываемые многими компаниями решения, интегрирующие DLP и видеонаблюдение, пока оказываются недостаточно эффективными.
Александр Клевцов, InfoWatch Traffic Monitor:
Я уверен, что будущее DLP-систем связано с развитием технологий контент-анализа: объем данных все больше, а скорость изменений внутри компаний все выше. В таких условиях решение должно уметь автоматически подстраиваться под меняющуюся ситуацию. Если, как и ранее, настраивать политики безопасности вручную, очень скоро DLP-система будет защищать «вчерашний день». Поэтому мы занимаемся разработками новых технологий на основе искусственного интеллекта.
Существуют и другие тенденции, зависящие от масштаба и характера бизнеса клиентов. Например, крупные компании имеют развитую филиальную сеть, а их IT-инфраструктура включает несколько сетевых контуров. В такой ситуации DLP-система должна быть стабильной, работать под большими нагрузками и обладать высокой производительностью. Кроме того, большие компании — это большой штат отделов безопасности, им нужны разграничение прав доступа, инструменты совместной работы и возможность аудита.
DLP-система должна также обладать интеграционными возможностями, чтобы защищать данные из бизнес-систем и облачных сервисов. Сложно назвать современной систему, если она не имеет возможностей анализа данных, характерных для BI-систем, а также инструментов предиктивной аналитики.
Алексей Кубарев, «Ростелеком-Солар»:
Современные DLP-системы, в большей степени российские, давно вышли за рамки классического понимания DLP-систем. Теперь они позволяют не просто контролировать каналы коммуникаций, но и вести наблюдение за пользователями в режиме реального времени, например, по web-камере или микрофону. Кстати, такая функциональность больше востребована в малом и среднем бизнесе, так как при масштабировании на enterprise сегмент функциональность практически невозможно нормально использовать: слишком большой объем данных и высокая нагрузка, в том числе на офицеров ИБ, которым надо это все просматривать и прослушивать.
Из новых разработок я бы отметил функциональность UBA (User Behavior Analytics), которая четко лежит в плоскости классических DLP-систем, а именно принципа предотвращения утечек. UBA предоставляет офицеру информационной безопасности данные, которые предвосхищают потенциальные угрозы утечек и тем самым позволяют принимать профилактические меры на ранних стадиях.
Алексей Дрозд, «СёрчИнформ»:
DLP-системы – достаточно зрелый класс продуктов, требования к ним уже сложились. Передовые решения отвечают основным потребностям клиентов. Система в их представлении должна отслеживать все основные каналы передачи информации, находить в перехвате любые данные, вовремя предупреждать о вероятном инциденте с минимумом ложных сработок, предоставлять удобные отчеты.
Новые потребности чаще всего возникают не к аналитическим способностям DLP, а к функционалу. Например, в пандемию экстренно возникла необходимость мониторить общение сотрудников в Zoom. Стоит задача подтягивать функционал Linux-агентов до уровня возможностей DLP-систем под Windows, создавать агенты под Mac. Распознавание фотографирования экранов – это тоже желаемый функционал, хотя сам вопрос выбора концепции контроля мобильных устройств остается дискуссионным.
Отмечу, что динамика развития DLP у разных вендоров очень отличается. Часть вендоров предпочитает дорабатывать только существующие возможности ПО, но это не то, чего ждут сегодня заказчики. У клиентов могут быть специфические пожелания, которые вендору сложно воплотить, но обычно именно их запрос влияет на план разработки. У нас так, например, появились интеграция со СКУД и BI-системами, таск-менеджер, новые возможности фразового поиска, обработка речи (speech-to-text) и многое другое.
Иногда клиенты недостаточно знают продукт и считают, что он не отвечает их потребностям. Если вендор берет на себя труд обучать и сопровождать клиента, таких проблем не возникает. Мы этот вопрос ставим в приоритет, поэтому помимо инженеров техподдержки у нас работает отдел внедрения, который делится с заказчиками лучшими практиками применения программ. Иногда, напротив, заказчики считают систему сложной, функции избыточными. Это в нашем случае решается модульностью исполнения DLP: легко собрать ПО только из нужных элементов и позже нарастить возможности, если ситуация изменилась.
Что касается новых направлений – налицо возрастающий запрос заказчиков на облачное исполнение DLP, а также в целом на ИБ как сервис. За рубежом этот тренд существует не один год. В России его подстегнула удаленка. Мы развиваем аутсорсинг с 2019 года, в прошлом году представили облачную DLP, в этом – представим интеграцию c Microsoft Azure.
Из технологий клиентам интересны возможности по использованию искусственного интеллекта в DLP, чтобы сокращать число ложных сработок и предсказывать инциденты. На нынешнем этапе эти задачи быстрее и надежнее решаются с помощью умных алгоритмов. Поэтому мы сами постоянно дорабатываем их, добавляем новые типы поисков, это позволяет максимально тонко настроить политики безопасности.
4. Искусственный интеллект и машинное обучение как перспективные направления DLP-систем
Говоря о новых направлениях современных DLP-систем, участники обзора уже подчеркивали повышающуюся роль технологий искусственного интеллекта и машинного обучения. Насколько это направление уже развито у производителей софта, и какие задачи еще предстоит решить?
Олеся Ярмоленко, DeviceLock DLP:
Пока машинное обучение используется в наших продуктах только при анализе поведения пользователей, однако, будучи нацеленными на максимальную автоматизацию процесса борьбы с утечками данных, мы постоянно ищем новые пути его применения.
Александр Клевцов, InfoWatch Traffic Monitor:
Мы начали использовать искусственный интеллект 15 лет назад, и скоро анонсируем новые разработки, которые изменят ландшафт рынка DLP. Уже сейчас благодаря машинному зрению можно обучить нашу систему определять, что изображено на картинке, и тем самым выявлять утечки, связанные с графическими данными: например, со скриншотами чертежей или карт. И сделать это возможно, не обладая никакими специальными навыками: система самостоятельно распознает и классифицирует необходимые типы данных. В нашей DLP заложена возможность самостоятельного обучения на текстовых документах заказчика, это дает качественно другой результат по сравнению с созданными вручную правилами и политиками. Аномалии поведения сотрудников в InfoWatch Prediction тоже выявляет искусственный интеллект, предварительно изучив поведение каждого сотрудника в отдельности. Здесь используется машинное обучение без учителя.
Алексей Кубарев, «Ростелеком-Солар»:
На данный момент машинное обучение у нас используется в различных механизмах детектирования информации в трафике, а также применяется для автоматической корректировки политик DLP-систем с целью снижения ложно-положительных срабатываний.
Алексей Дрозд, «СёрчИнформ»:
Мы рассматриваем применение этой технологии для решения точечных задач: для распознавания карт, лиц, печатей. Сейчас готовим к релизу ожидаемую функцию – защиту от фотографирования экранов на мобильные телефоны, для работы которой нужно машинное обучение.
Мария Чередниченко, «Инфосистемы Джет»:
Искусственный интеллект – неотъемлемая часть любой DLP-системы. Именно ИИ позволяет таким системам обучаться на основе накопленных данных, чтобы в дальнейшем подсказывать сотруднику, какие политики нужно настраивать и на что обратить внимание. Благодаря этому эффективно использовать DLP значительно проще.
Виолетта Красова, Softline:
Машинное обучение и искусственный интеллект используются для различного рода задач. Прежде всего, невозможно создать все шаблоны документов, так как они генерируются ежедневно и в разных локациях (как исходящие, так и входящие). Аналогичная ситуация с технологиями: на данный момент есть обширный выбор технологий, но иногда надо защитить определенный документ и нет времени ждать кастомную технологию. Имеет значение конфиденциальность, бывают такие ситуации, в которых специалисты-аналитики не могут получить доступ на объект в виду его засекреченности, а у заказчика не хватает компетенций для допуска, в таком случае также используется машинное обучение.
Также на основе машинного обучения (на базе нейронных сетей) разработана технология «антифото», сообщающая о попытке пользователем сделать снимок экрана при помощи мобильного телефона. При обнаружении подозрительных действий пользователя система оповещает офицера безопасности о потенциальном риске утечек данных, а сам факт фиксируется в архиве DLP.
Максим Большаков, КОМПЛИТ:
Искусственный интеллект и машинное обучение помогают компаниям лучше анализировать угрозы безопасности и реагировать на атаки. Современные DLP-системы могут автоматически обнаруживать конфиденциальные данные, применяют такие меры защиты, как шифрование или DRM, способны анализировать поведение пользователей.
Например, для каждого сотрудника существует образец поведения, который фиксируется DLP-системой. С помощью машинного обучения система сравнивает этот образец с образцом сотрудников с аналогичными обязанностями. Если поведение сотрудника отклоняется от обычного шаблона (пример – загрузка конфиденциальных данных в три часа ночи), то система присваивает этому случаю оценку риска и сообщает о нем специалистам по информационной безопасности или передает данные в SOC. Благодаря оптимизации работы машинного обучения и анализа массивов данных скорость поиска нужной информации и выявления аномалий увеличивается в разы.
Дмитрий Дудко, ЛАНИТ:
Об использовании искусственного интеллекта лучше рассказывают представители производителей DLP. Заказчики и интеграторы работают с уже готовыми решениями. Есть области, где сила ИИ неоспорима: распознавание текстов, в том числе и рукописных, речи, изображений. Но я скептически настроен в отношении применения ИИ для выявления инцидентов утечки информации (если мы под ИИ не понимаем алгебру 8 класса, разумеется).
Результаты DLP-систем сильно подвержены ошибкам первого и второго рода. Работающие DLP – это набор огромного количества правил и исключений, подогнанные под конкретную организацию, а иногда отдельные департаменты или группы лиц. Это результат долгой работы и множества ошибок. Именно поэтому переход на удаленную работу стал вызовом для служб безопасности.
А что же предлагается? Отдать всю эту работу на откуп ИИ, который обучится за 6-12 месяцев и будет выдавать строго выверенные ответы? Если ИИ будет не слишком строг, то зачем нам такое средство защиты. Если же строгость будет максимальная, то полетят невинные головы. Или подразумевается, что во время эксплуатации можно будет настраивать параметры ИИ? Тогда зачем он такой нужен?
Владимир Ченцов, ТАЛМЕР:
Количество операций, производимых пользователями и системами, увеличивается каждый день. Сегодня уже невозможно представить анализ каждой транзакции в отдельности. Кроме того, передаваемые данные и файлы могут быть не нормированы (разный тип файлов, разный язык, каналы коммуникации, вид, представление, и т. д.). На помощь приходят современные ИТ-технологии: машинное обучение используется для распознавания, поиска контекста или конкретной информации, искусственный интеллект позволяет найти взаимосвязи не связанных на первый взгляд событий, сделать гипотезу или вывод о дальнейших последствиях, действиях пользователей. Технология поведенческого анализа, появившаяся в системах относительно недавно, «подсвечивает» опасные события специалистам информационной безопасности. Применение данных технологий способствует быстрому анализу большого количества разнородной информации и автоматизации процесса реагирования на события информационной безопасности.