Все, что известно о DLP-системах человеку неискушенному, можно уместить в трех словах: сложно, дорого, непонятно. Даже Википедия не знает, как правильнее: Data Leak Prevention или Data Loss Prevention. Хотя, суть технологии прямо соответствует названию: защита от случайных утечек данных. Ни больше, ни меньше. Мы зарелизили первый в России интернет-шлюз с модулем DLP. Может, вообще первый в мире (китайцы наверняка и это уже изобрели), хотя это так логично — фильтровать трафик именно на шлюзе, не вкорячивая отдельную систему до или после него. DLP-модуль не нужно внедрять или настраивать — он уже в дистрибутиве. Домашним пользователям за него даже не надо платить — качай, как говорится, лицензионное.Прежде всего, дисклеймер на тему DLP. Суть технологии — защита служебных данных (или любых, которые вы считаете конфиденциальными) от случайного распространения. Помните, как у Мозиллы кто-то талантливый выложил базу аккаунтов на открытый сервер? Так вот, DLP позволяет этого не допустить. Вы загружаете в DLP-систему документы (таблицы, видео, и т.п.) для снятия цифровых отпечатков. Документы на сервере не хранятся, хранятся только отпечатки. DLP-модуль сканирует весь исходящий трафик (почта, веб-протоколы) и при обнаружении «секретных» документов срабатывает, блокируя их передачу и уведомляя обе стороны (админ и пользователь) о попытке распространения внутренней информации. Работает также с измененными документами, т.е. не только на полное соответствие. В идеале DLP-система контролирует также выгрузку на разные носители и вывод на принтер. Да, она не бьет инсайдеров по рукам (на это есть служба безопасности), её задача — защита от глупости и случайности.
Наш модуль DLP обеспечивает фильтрацию всего, что утекает через интернет-канал. Для обнаружения конфиденциальных данных в исходящем потоке трафика мы применяем сравнение по md5 хешу файлов, в этом случае поддерживаются любые форматы файлов. Так же, для более тщательной фильтрации текстовых документов, применяется новейшая технология SmartID — если пересылаемые файлы были модифицированы то в зависимости от степени изменения их сходство будет искаться с ранее загруженными на сервер документами.
Небольшая презентация от нашего ведущего разработчика DLP:
Если вы не смотрели видео, подытожу: наш модуль будет развиваться и стремиться закрыть все дыры и возможности утечки данных. Сейчас он контролирует основные каналы и вполне справляется с 95% утечек. Основная функция нашего продукта — это доступ и контроль доступа в интернет, так что DLP-фильтрация вполне логично дополняет его инструментарий безопасности.
Итак,
Плюсы модуля DLP в интернет-шлюзе IdecoICS:
- не надо внедрять — он включен в дистрибутив шлюза
- настройка легка и понятна без мануала
- он не стоит дополнительных денег, а в сетях до 5 компьютеров им легально можно пользоваться бесплатно (как и основным продуктом — шлюзом)
Минусы нашего модуля DLP:
- пока в нем нет защиты от копирования на устройства и флешки
- пока нет возможности серфить сообщения в мессенджерах на предмет передачи текстов
- следить за политикой и загружать документы может только администратор сети (или несколько). В будущем будет аккаунт Security Officer, который будет контролировать DLP, не имея доступа к настройкам самого шлюза
В любом случае, продукт развивается и будет развиваться. Сейчас модуль полноценно работает в нашей сети и у некоторых клиентов, которые вносят неоценимый вклад в его разработку. Если у вас, дорогие хабровчане, есть оформленные пожелания по его функционалу, можете принять участие в обсуждении на Реформале: dlp.reformal.ru, вы нам очень поможете.
