КАКИЕ БЫВАЮТ DLP СИСТЕМЫ И КАК ОНИ РАБОТАЮТ

Михаил Светлов Автор статьи
Аббревиатура DLP расшифровывается как Data Loss Prevention, что переводится как предотвращение утечек данных. В корпоративном мире эти системы окружают ореол легкой паранойи и строгого контроля. Руководство компаний живет в постоянном страхе, что недовольный сотрудник скопирует на флешку базу клиентов, отправит чертежи нового продукта конкурентам на личную почту или просто по неосторожности выложит в открытый доступ финансовые отчеты. DLP-системы создаются для того, чтобы превратить этот страх в управляемый технологический процесс. Но DLP это не просто фильтр, который ищет кодовые слова. Это сложный комплекс инструментов, который имеет свою четкую архитектуру и разделение на типы.
Глобально все DLP-системы делятся на три основных архитектурных типа, в зависимости от того, где именно они контролируют данные: конечные точки, сеть и хранилища. Каждый из этих типов решает свои специфические задачи и имеет свои особенности внедрения.
Первый тип это терминальные или endpoint DLP-системы. Они устанавливаются непосредственно на рабочие компьютеры сотрудников в виде агентов. Это самый мощный и одновременно самый ненавистный пользователями инструмент. Endpoint DLP контролирует все, что происходит на конкретном устройстве. Система может заблокировать запись на USB-накопители, запретить печать определенных документов, перехватить и проанализировать содержимое буфера обмена, не дать отправить файл через мессенджер или загрузить его в личное облако. Преимущество такого подхода в том, что контроль происходит в самой нижней точке, еще до того как данные покинули устройство. Но есть и огромные минусы. Агенты потребляют ресурсы компьютера, могут вызывать конфликты с другим софтом, а пользователи постоянно пытаются их обойти или жалуются на снижение производительности.
Второй тип это сетевые DLP-системы. Они работают на уровне корпоративной сети и анализируют трафик, который уходит за периметр компании. Сетевая DLP встраивается в шлюзы, почтовые серверы или прокси-серверы. Ее главная задача перехватить данные, которые передаются по сети. Это может быть электронная почта, загрузка файлов на внешние веб-сервисы, передача по FTP или использование облачных хранилищ. Сетевые DLP отлично справляются с массовым анализом исходящего трафика и не требуют установки агентов на компьютеры, что очень радует IT-отдела и пользователей. Однако у них есть серьезная проблема современный интернет. Огромная доля трафика теперь шифруется по протоколу TLS. Чтобы сетевая DLP могла проанализировать содержимое, ей нужно расшифровывать трафик, что требует сложной настройки сертификатов и создает дополнительную нагрузку на шлюзы.
Третий тип это DLP для хранилищ или storage DLP. Эти системы не блокируют передачу данных в реальном времени, а сканируют уже существующие массивы информации. Они работают с файловыми серверами, базами данных, корпоративными порталами, SharePoint и облачными хранилищами. Задача storage DLP найти данные, которые лежат там, где им лежать не должно. Например, система может обнаружить, что файл с грифом коммерческая тайна лежит в общей папке, доступной всем сотрудникам, или что в базе данных хранятся незашифрованные номера кредитных карт клиентов. Это скорее инструмент аудита и наведения порядка, чем инструмент блокировки в реальном времени.
Независимо от типа, ядром любой DLP-системы является модуль контентного анализа. Именно он понимает, что именно передается. Простого поиска по ключевым словам давно недостаточно. Современные DLP используют регулярные выражения для поиска номеров паспортов и карт, лингвистический анализ для понимания смысла текста, оптическое распознавание символов для чтения текста со сканов и фотографий, и даже анализ структур файлов, чтобы понять, что внутри архива или документа.
Главная боль при внедрении DLP это ложные срабатывания. Если система начнет блокировать отправку легитимных договоров из-за того, что в них случайно попали персональные данные, бизнес встанет, а руководство будет в ярости. Поэтому настройка DLP это всегда долгий и кропотливый процесс. Сначала система работает в режиме аудита, просто фиксируя инциденты, аналитики разбирают их, донастраивают политики, и только потом, спустя месяцы, переходят к режиму блокировки. DLP это не волшебная таблетка, а сложный инструмент, который требует постоянного внимания и адаптации под меняющиеся бизнес-процессы.