Методы и примеры применения DLP для экономической безопасности
Информационная безопасность Информационная безопасность

О DLP-системе как инструменте экономической безопасности

Главная>Информационная безопасность>DLP в деле безопасности бизнеса
Информационная безопасность Тема номера

DLP в деле безопасности бизнеса

Дата публикации:
22.09.2015
Посетителей:
728
Просмотров:
630
Время просмотра:
2.3

Авторы

Автор
Евгений Акимов В прошлом - эксперт Центра информационной безопасности компании "Инфосистемы Джет"
О DLP-системе как инструменте экономической безопасности

 

 

DLP на службе экономической безопасности

 

Еще совсем недавно решения класса DLP (Data Leak Prevention) использовались в точном соответствии с их названием – для предотвращения утечки данных. Современная практика использования DLP-систем показывает, что они являются инструментом не столько предотвращения утечек конфиденциальной информации, сколько контроля корпоративных коммуникаций. Выявление лиц, потенциально способных «слить» закрытую информацию внешним контрагентам, обнаружение фактов подозрительных переговоров (ведущихся «не по рангу», чересчур интенсивно и т. п.) – это те функции, которые реально могут выполнять и все чаще выполняют системы DLP. Если эту информацию правильно использовать, то получается инструмент скорее экономической, нежели информационной безопасности.

 

 

Примеры применения DLP в качестве инструмента экономической безопасности в нашей стране уже есть. Алгоритм обычно таков: служба экономической безопасности подает запрос в службу информационной безопасности, чтобы та подняла архивную переписку определенных сотрудников – по конкретной теме, с конкретными контрагентами и пр. Полученная подборка анализируется вручную. Этот процесс может занимать довольно много времени и не гарантирует своевременности реакции на подозрительную коммуникацию.

 

Для ускорения процесса его можно автоматизировать. Нужна интеграция систем DLP с другими автоматизированными системами, которые используются службами безопасности, –это дает более ощутимый результат.

SOC и DLP

 

Интеграция DLP с системами класса SIEM – уже устоявшаяся практика. Это дает возможность контролировать события в сети в режиме реального времени, видеть корреляции между разными типами событий и выявлять уязвимые точки. Поскольку SIEM-система содержит архив записей о событиях (логов), совместная работа DLP и SIEM позволит при необходимости восстановить историю событий, что бывает необходимо, например, в случае служебного расследования.

 

Набирает популярность интеграция DLP с аналитическими (BI) системами, в частности, системами, которые все чаще называют Security Intelligence или Security BI. Эти относительно недавно появившиеся аналитические системы адаптированы конкретно под задачи безопасности. В отличие от SIEM-систем, которые работают только с логами, системы Security Intelligence работают с любыми видами информации, они не ориентированы на выдачу алертов в режиме реального времени, но позволяют выявлять тенденции и строить прогнозы.

 

DLP для задач HR

 

Получая информацию от DLP, система Security Intelligence позволяет, например, делать выводы о настроениях в коллективе. Предположим, руководство компании задумало провести организационные изменения. Мониторинг коммуникаций сотрудников в сочетании с аналитическими функциями даст возможность выяснить отношение разных групп сотрудников к грядущим изменениям, увидеть каналы и источники распространения «негатива» (или, наоборот, «позитива») в коллективе. Результаты анализа позволят, например, определить, с кем из сотрудников стоит провести индивидуальную работу, какие можно предложить компенсационные меры и т. д. Лояльность сотрудников – один из важнейших факторов экономической безопасности, поэтому пренебрегать информацией о настроениях в коллективе не стоит.

 

DLP и контроль контрагентов

 

Перспективное направление – интеграция DLP с автоматизированными системами проверки и контроля контрагентов. Реализованных проектов в этой области пока нет, но многие компании рассматривают такую возможность. Автоматизированные системы проверки контрагентов используются крупными организациями, работающими с большим количеством поставщиков и подрядчиков. Привлекая и анализируя данные из реестра юридических лиц, учредительных документов, различную коммерчески доступную информацию о компаниях, такая система позволяет сделать выводы о надежности подрядчика, его законопослушности, компетенциях и пр.

Что может привнести в проверку контрагентов система DLP? Рассмотрим пример из жизни.

 

Строительная компания закупила противоморозную присадку для бетона у поставщика, победившего в тендере. После возведения нескольких этажей здания выяснилось, что качество бетона не соответствует стандартам, хотя все документы на продукцию были в порядке. На каком этапе и каким образом произошел обман? Что было упущено? Строительная компания смогла это выяснить задним числом, проанализировав учредительные документы поставщика – владелец бизнеса оказался родственником топ-менеджера строительной компании, он заранее знал о тендере и успел «подготовиться».

 

Понятно, что факт родственных связей автоматизированная система далеко не всегда может установить – доступных реестров с такой информацией нет. Однако если бы система проверки контрагентов была интегрирована с системой DLP, компания смогла бы, как минимум, зафиксировать факт коммуникаций топ-менеджера с одним из потенциальных участников тендера и поинтересоваться их содержанием. Напомним, что DLP-система может контролировать не только почтовую переписку, но и мессенджеры, активность в соцсетях и даже некоторые виды голосовых коммуникаций – все каналы обмена информацией, какими сотрудник пользуется с корпоративного терминала. Интенсивность коммуникаций, период их ведения, статус и полномочия участников коммуникаций – автоматизированное сопоставление этих факторов позволит службе экономической безопасности своевременно обнаруживать ситуации, потенциально способные нанести компании вред.

 

DLP против «левых» доходов

 

Более сложные сценарии анализа можно задавать при подключении к комплексу HR-системы. В этом случае можно задать круг сотрудников, чьи коммуникации с контрагентами подлежат контролю в том или ином случае – исходя из должности, круга обязанностей, занятости в конкретном проекте и т. д. На конференции, посвященной корпоративной безопасности, руководитель службы экономической безопасности одной из компаний-участниц рассказал, как он проверяет менеджеров на предмет получения «нечестных доходов» – он следит за их тратами. Делается это от случая к случаю, да и пока менеджер среднего звена не приедет на работу на новеньком «порше», факт открытия офшора «сватом или братом» отследить сложновато. Хорошим подспорьем в такой работе может быть анализ коммуникаций людей, находящихся на определенных должностях (эти данные извлекаются из HR-системы) с потенциальными или уже состоявшимися контрагентами.

 

Резюме: DLP в новом качестве

 

Противодействие утечкам – не единственная функция DLP и даже не всегда основная: сегодня при использовании этих систем функция Data Leak Prevention зачастую отходит на второй план. Система DLP все чаще рассматривается как инструмент работы не столько с информацией, сколько с людьми. Для этого эффективно ее использовать с связке не только с SIEM (это уже классика жанра), но и Security BI, системами проверки контрагентов, HR-системами, а в дальнейшем и с антифрод-системами. Можно ожидать, что это даст DLP-решениям «второе дыхание» и позволит обеспечивать безопасность бизнеса на уровне, до сей поры недостижимом.

Уведомления об обновлении тем – в вашей почте

SIEM в России — состояние и перспективы рынка

В дискуссии приняли участие Артем Медведев, Евгений Афонин, Александр Чигвинцев, Михаил Чернышев, Алексей Горелышев, Олег Бакшинский

В тылу врага: киберразведка как способ борьбы со шпионажем

Кибершпионы и киберразведчики. Выявление слабых мест в ИБ. Контрольная закупка у хакера.

Инструментальный анализ уязвимости бизнес-процессов

Когда речь заходит о применении DLP-систем, воображение сразу рисует картины противостояния специалистов службы ИБ и инсайдеров, передающих за охраняемый периметр конфиденциальную информацию.

Есть ли жизнь после DLP, или Будущее кибербезопасности

Специалисты размышляют о том, какое будущее ждет информационную безопасность и найдется ли в нем место для DLP

TOП 3 самых популярных задач для DLP

Как показывает наша практика, можно выделить определенный набор задач информационной безопасности, решение которых позволяет организации защитить наиболее критичные данные

Новая версия DLP-системы Дозор-Джет - что же нового?

Какие изменения содержит в себе 28-й релиз комплекса защиты от утечек информации «Дозор-Джет»?

DLP - не роскошь, а средство комфортного предупреждения утечек

Как нам кажется, DLP-систему в части ее назначения и функционирования вполне можно сравнить с автомобилем.

Интегрировать нельзя игнорировать

Разумеется, мы хотим интеграцию с максимально возможным количеством систем, хотим выжать всю возможную информацию из всех мыслимых источников…

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня