Pull to refresh

Разница в подходах к ИБ у «нас» и у «них» (на примере DLP)

Reading time 3 min
Views 8.9K
Современная DLP-система — огромный комбайн, которым можно пользоваться очень по-разному. Разработчики DLP-систем еще пару лет назад оказались в таком положении, что у всех у них получился приблизительно одинаковый продукт, который нужно как-то развивать, но не совсем понятно куда. Примерно тогда обозначились два разных подхода, которые можно условно поделить на «западный» и «восточный». Скорее всего связано это с различиями в бизнес-культурах и вообще с различиями принципов работы «безопасников».
В чем же состоят эти различия?

image image

Слева западный подход «все закрыть, ничего нельзя», справа наш «контролируем все и вся»

Если утрировать, то DLP-система это программа, которая анализирует весь трафик в организации и блокирует передачу, если передаваемая информация выглядит как конфиденциальная.


На схеме изображен принцип работы DLP на примере правила «запретить передачу данных кредитных карт». Отправляется два письма, в письме №1 есть данные кредиток, в письме №2 нет. После анализа на почтовом сервере письмо №2 отправляется адресату, а письмо №1 возвращается адресату, а безопасник/администратор получает уведомление о попытке нарушения

Специалисты по безопасности «западного» направления используют программу только для блокировки «чувствительной» информации. Практически это выглядит так — систему устанавливают, помечают, что понимают под важной информацией, настраивают правила безопасности, устанавливая опцию блокировки на определенные операции, и возвращаются к системе раз в месяц, чтобы доработать правила и проверить работоспособность. Все, что не предназначено для работы — блокируется другими инструментами, а DLP контролирует разрешенный трафик (чаще всего почтовый) на предмет нарушений.

Соответственно западные разработчики озабочены в первую очередь обеспечением быстрых и безотказных блокировок, понятного алгоритма настройки правил, оставляя какую-нибудь мало-мальскую аналитику на откуп другим системам (например, SIEM). Иногда в «их» системах даже нет возможности сохранять перехваченные данные и, соответственно, проводить ретроспективный анализ и расследования — зачем, ведь система не для этого предназначена и этим функционалом не пользуются?

В то же время «восточный» подход характеризуется другим способом управления полученным в руки инструментом. DLP во время работы собирает огромный массив информации — все переговоры сотрудников, время работы в приложениях, посещенные сайты, набранный текст и т.д. В процессе сбора система может не только проверять на именно передачу чувствительной информации, но и анализировать и обрабатывать информацию в соответствии с внесенными настройками — и эти данные можно сделать доступными в наглядной форме в виде графиков, диаграмм, таблиц, схем передачи документов и коммуникации сотрудников.

Я специально не хочу упоминать этическую сторону вопроса, это слишком необъятная тема и заслуживает отдельного разговора, но этот функционал востребован — поэтому отечественные (и азиатские, у них похожий подход) разработчики большее внимание уделяют аналитическим возможностям, а современные DLP в какие-то моменты все больше напоминают инструменты для отслеживания поведения пользователей, продукты класса UBA. При таком подходе в большей степени обеспечивается экономическая безопасность организаций, безопасникам такой продукт интересен как инструмент для полноценных расследований, а на инструменты блокировки — главный функционал «классической» DLP — обращают внимание гораздо реже.

Разница между подходами заметна невооруженным взглядом, а вот с чем она связана — вопрос остается открытым. Возможно, это связано с разным законодательством и отношением к пресловутому privacy, а может быть важен исторический контекст и «наши» ребята на пару с китайцами больше любят «ручной» режим управления, чем автоматизацию. Также было бы интересно узнать, есть ли похожие примеры столь разного разветвления функционала похожих продуктов при эволюции «у нас» и «у них», кто вспомнит — присылайте.
Tags:
Hubs:
+10
Comments 16
Comments Comments 16

Articles