«Сам путь к вашей идеальной DLP-системе – это и есть счастье»

Как выглядит идеальная DLP-система и как к ней прийти? Существует ли она уже или нам еще долго придется что-то делать, чтобы ее построить? Какие шаги нас отделяют от идеала? Об этом в своем докладе рассказал главный инженер Центра киберзащиты Департамента кибербезопасности Сбербанка Евгений Котов на Форуме DLP+. 

По словам спикера, идеальная DLP — это та система, которой не существует, а ее функции продолжают выполняться, причем эти функции со 100% нагрузкой. 
Представить это достаточно сложно, поэтому эксперт предложил ввести несколько условных уровней идеальности и посмотреть, где же мы находимся сейчас. 

 

Уровни идеальности 

Первый уровень — появляется в нужный момент в нужном месте. «Я уверен, что в жизни вы сталкивались с таким. Сейчас система стоит везде и контролирует все», — прокомментировал Евгений Котов. 

Второй уровень — самоисполнение, когда все действия в системе выполняются самостоятельно без действий человека. По словам спикера, вполне понятный уровень, однако человек до сих пор еще участвует в процессе создания правил, их оптимизации и реагировании. 

Третий уровень — система становится функцией, то есть появляется в нужный момент в нужном времени и выполняется без участия человека. 

Четвертый уровень — космос — самый идеальный уровень, когда даже функция перестает быть нужной. «Такое тяжело представить, потому что все вокруг нас должно стать идеальным — и люди, и общество, и организация, и даже информация», — отметил Евгений Котов. 

 

И где же мы сейчас? 

По словам эксперта, если мы возьмем эту линейку уровней, то увидим, что на самом деле до единицы у нас есть еще некоторое расстояние. Вот как раз на этом расстоянии мы и находимся. 

«Дело в том, что покупая коробочку DLP, мы получаем коробку с технологиями, которая как конструктор Lego. Мы видим, что на картинке, понимаем, что должно получится в итоге, но процесс сборки зависит только от нас и в итоге может получиться совсем не то, что нарисовано», — пояснил спикер. 

 

Проблемы, проблемы и еще раз проблемы 

Как отметил Евгений Котов, когда он впервые познакомился с коробкой DLP, самым сложным для него было представить, как это все сможет работать у них в организации, какими параметрами должна обладать система, чтобы обеспечить обработку более 3 млн сообщений в сутки и переварить через себя более 15 Тб трафика.

С 2014 года они прошли долгий путь и приняли ряд тяжелых решений. Например, развивался код продукта, который позволил привести систему в разрыв, чтобы реализовать онлайн-выявление защищаемой информации с возможностью приостановки до принятия решения офицером безопасности. «Но и это произошло не сразу. Это было, на самом деле, тяжелое решение, потому что нам пришлось разрывать бизнес-процесс», — рассказал Евгений Котов. 

Также они столкнулись с тем, что внедрение системы занимает чуть больше года, и проблема здесь — нет четкой методики расчета конечного оборудования, что приводит к повышенной нагрузке и дополнительным затратам в процессе эксплуатации. Еще в рамках эксплуатации можно столкнуться с тем, что на создание и поддержание тестовой лаборатории на мощностях вендора в нем может просто не хватить ресурсов. 

С точки зрения реагирования тоже можно столкнуться с проблемами. Например, в интерфейсе системы нет возможности выбрать колонки, которые будут выгружаться — выгружается только то, что производитель счел нужным.  
«Также у нас руководители реагирования сталкиваются с проблемой, что у них отсутствует возможность посмотреть историю инцидента: кто брал его в работу и менял вердикт — они видят только последнее выполненное действие», — поделился эксперт. 

Продолжать можно еще долгосрочной, и у каждого будут свои нюансы. Поэтому они решили сформировать некий список критериев к DLP-системе, которые приблизят ее в идеалу. 

 

Критерии создания идеальной DLP-системы

Первый критерий — масштабируемость и гибкость. Когда каждый компонент системы может быть дополнен для увеличения производительности или изменения его роли в системе.

«Сейчас добавление нового узла в систему сопровождается перезапуском всех сервисов на всех узлах, что приводит к прерыванию бизнес-процесса. Это недопустимо, хотя в интерфейсе это происходит всего ли за несколько кликов», — рассказал Евгений Котов. 

Второй критерий — прозрачность. Система должна быть незаметна для бизнеса и не создавать ощутимых задержек для бизнес-процессов, а также их не нарушать. 

Третий критерий — эффективность и простота контроля. По словам спикера, правила контроля должны создаваться в системе предельно просто, по следующей схеме: предмет контроля > условия детектирования и информирования > применение к контролируемым каналам к максимальной эффективностью. 

Четвертый критерий — открытость системы, то есть возможности подключения

различных источников и справочников, позволяющих повысить эффективность расследования. «Это могут быть и как коробочные решения типа спам-фильтра, так и какие-то кастомные, которые есть в вашей организации», — пояснил Евгений Котов. 

Пятый критерий — защищенность. Как отметил эксперт, он включает в себя несколько параметров. «Они, в принципе, простые, но перечислю те, на которые стоит обратить внимание. Это ограничение контроля доступа, гибкая ролевая модель, шифрование и маскирование хранимых данных и логирование всех действий пользователя, передача их в SIEM», — перечислил он. 

Шестой критерий — надежность. Этот пункт включает в себя балансирование, виртуализацию, кластеризацию и отказоустойчивость. 

Также спикер отметил, что это не конечный список, но он позволит обозначить то, что нужно вам сейчас, и увидеть границы будущего, куда вы должны стремиться.

«Для нас эти критерии позволили по-другому взглянуть на определение DLP-системы. И получается, что система DLP является системой только тогда, когда сама становится частью организации. То есть не просто мы заблокировали какую-то информацию, а попытались связаться с владельцем бизнес-процесса и изменить этот бизнес-процесс таким образом, чтобы данная информация более не попадалась», — рассказал эксперт. 

«Поэтому не надо ждать счастья, когда появится идеальная DLP-система, ведь сам путь к вашей идеальной DLP-системе — это и есть счастье», — заключил Евгений Котов. 

 

BIS Journal — инфопартнёр форума DLP+

27 мая, 2021

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.07.2025
Конгрессмен рассказал агентам ФБР про кибербез (не наоборот)
04.07.2025
«Это ускорит развитие национальной платёжной инфраструктуры»
04.07.2025
«Пар»? «Ростелеком» строит свой Steam
04.07.2025
«Не будет никакой остановки». Европейский AI Act — на марше
04.07.2025
В России всё же создадут базу биометрии мошенников
03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных