DLP — что это значит? Что такое DLP системы и особенности их использования на предприятии? Dlp системы.

Каналами утечки, приводящими к выведению информации за пределы информационной системы компании, могут стать сетевые утечки (например, электронная почта или ICQ), локальные (использование внешних USB-накопителей), хранимые данные (базы данных). Отдельно можно выделить утрату носителя (флэш-память, ноутбук). К классу DLP систему можно отнести, если она соответствует следующим критериям: многоканальность (мониторинг нескольких возможных каналов утечки данных); унифицированный менеджмент (унифицированные средства управления по всем каналам мониторинга); активная защита (соблюдение политики безопасности); учет как содержания, так и контекста.

Конкурентным преимуществом большинства систем является модуль анализа. Производители настолько выпячивают этот модуль, что часто называют по нему свои продукты, например «DLP-решение на базе меток». Поэтому пользователь выбирает решения зачастую не по производительности, масштабируемости или другим, традиционным для корпоративного рынка информационной безопасности критериям, а именно на основе используемого типа анализа документов.

Очевидно, что, поскольку каждый метод имеет свои достоинства и недостатки, использование только одного метода анализа документов ставит решение в технологическую зависимость от него. Большинство производителей используют несколько методов, хотя один из них обычно является «флагманским». Данная статья представляет собой попытку классификации методов, используемых при анализе документов. Дается оценка их сильных и слабых сторон на опыте практического применения нескольких типов продуктов. В статье принципиально не рассматриваются конкретные продукты, т.к. основной задачей пользователя при их выборе является отсев маркетинговых лозунгов типа «мы защитим все от всего», «уникальная запатентованная технология» и осознание того, с чем он останется, когда уйдут продавцы.

Контейнерный анализ

Этот метод анализирует свойства файла или другого контейнера (архива, криптодиска и т.п.), в котором находится информация. Просторечное название таких методов - «решения на метках», что довольно полно отражает их суть. Каждый контейнер содержит некую метку, которая однозначно определяет тип содержащегося внутри контейнера контента. Упомянутые методы практически не требуют вычислительных ресурсов для анализа перемещаемой информации, поскольку метка полностью описывает права пользователя на перемещение контента по любому маршруту. В упрощенном виде такой алгоритм звучит так: «есть метка - запрещаем, нет метки - пропускаем».

Плюсы такого подхода очевидны: быстрота анализа и полное отсутствие ошибок второго рода (когда открытый документ система ошибочно детектирует как конфиденциальный). Такие методы в некоторых источниках называют «детерминистскими».

Очевидны и минусы - система заботится только о помеченной информации: если метка не поставлена, контент не защищен. Необходимо разрабатывать процедуру расстановки меток на новые и входящие документы, а также систему противодействия переносу информации из помеченного контейнера в непомеченный посредством операций с буфером, файловых операций, копирования информации из временных файлов и т.д.

Слабость таких систем проявляется и в организации расстановки меток. Если их расставляет автор документа, то по злому умыслу он имеет возможность не пометить информацию, которую собирается похитить. При отсутствии злого умысла рано или поздно проявятся небрежность или беспечность. Если обязать расставлять метки определенного сотрудника, например офицера информационной безопасности или системного администратора, то он не всегда сможет отличить конфиденциальный контент от открытого, поскольку не знает досконально всех процессов в компании. Так, «белый» баланс должен быть выложен на сайте компании, а «серый» или «черный» нельзя выносить за пределы информационной системы. Но один от другого может отличить только главбух, т.е. один из авторов.

Метки обычно подразделяют на атрибутные, форматные и внешние. Как следует из названия, первые размещаются в атрибутах файлов, вторые - в полях самого файла и третьи - прикрепляются к файлу (ассоциируются с ним) внешними программами.

Контейнерные структуры в ИБ

Иногда плюсами решений на метках считаются также низкие требования к производительности перехватчиков, ведь они лишь проверяют метки, т.е. действуют как турникеты в метро: «есть билет - проходи». Однако не стоит забывать, что чудес не бывает - вычислительная нагрузка в этом случае перекладывается на рабочие станции.

Место решений на метках, какими бы они ни были - защита документных хранилищ. Когда компания имеет документное хранилище, которое, с одной стороны, пополняется достаточно редко, а с другой стороны - точно известны категория и уровень конфиденциальности каждого документа, то организовать его защиту проще всего как раз с использованием меток. Организовать расстановку меток на документах, поступающих в хранилище можно с помощью организационной процедуры. Например, перед тем как отправить документ в хранилище, сотрудник, отвечающий за его функционирование, может обратиться к автору и специалисту с вопросом, какой уровень конфиденциальности документу выставить. Особенно удачно эта задача решается с помощью форматных меток, т.е. каждый входящий документ сохраняется в защищенном формате и затем выдается по запросу сотрудника с указанием его в качестве допущенного к чтению. Современные решения позволяют присваивать право доступа на ограниченное время, а по истечении действия ключа документ просто перестает читаться. Именно по этой схеме организована, например, выдача документации на конкурсы по госзакупкам в США: система управления закупками генерирует документ, который могут прочитать без возможности изменить или скопировать содержимое только перечисленные в этом документе участники конкурса. Ключ на доступ действует только до срока подачи документов на конкурс, после чего документ перестает читаться.

Также с помощью решений, базирующихся на метках, компании организуют документооборот в закрытых сегментах сети, в которой обращаются интеллектуальная собственность и государственная тайна. Вероятно, теперь по требованиям ФЗ «О персональных данных» так же будет организован документооборот в отделах кадров крупных компаний.

Контентный анализ

При реализации описываемых в этом разделе технологий, в отличие от описанных ранее, напротив, совершенно безразлично, в каком контейнере хранится контент. Задача этих технологий - извлечь значащий контент из контейнера или перехватить передачу по каналу связи и проанализировать информацию на наличие запрещенного содержимого.

Основными технологиями в определении запрещенного контента в контейнерах являются контроль сигнатур, контроль на основе хеш-функций и лингвистические методы.

Сигнатуры

Самый простой метод контроля - поиск в потоке данных некоторой последовательности символов. Иногда запрещенную последовательность символов называют «стоп-словом», но в более общем случае она может быть представлена не словом, а произвольным набором символов, например той же меткой. Вообще этот метод не во всех его реализациях можно отнести к контентному анализу. Например, в большинстве устройств класса UTM поиск запрещенных сигнатур в потоке данных происходит без извлечения текста из контейнера, при анализе потока «as is». Или, если система настроена только на одно слово, то результат ее работы - определение 100%-го совпадения, т.е. метод можно отнести к детерминистским.

Однако чаще поиск определенной последовательности символов все же применяют при анализе текста. В подавляющем большинстве случаев сигнатурные системы настроены на поиск нескольких слов и частоту встречаемости терминов, т.е. мы будем все же относить эту систему к системам анализа контента.

К достоинствам этого метода можно отнести независимость от языка и простоту пополнения словаря запрещенных терминов: если вы хотите воспользоваться этим методом для поиска в потоке данных слова на языке пушту, вам не обязательно владеть этим языком, достаточно лишь знать, как оно пишется. Так же легко добавляется, например, транслитерированный русский текст или «олбанский» язык, что немаловажно, например, при анализе SMS -текстов, сообщений ICQ или постов в блогах.

Недостатки становятся очевидными при использования не-английского языка. К сожалению, большинство производителей систем анализа текстов работают для американского рынка, а английский язык очень «сигнатурен» - формы слов чаще всего образуются с помощью предлогов без изменения самого слова. В русском языке все гораздо сложнее. Возьмем, к примеру, милое сердцу сотрудника информационной безопасности слово «secret» (секрет). В английском оно означает и существительное «секрет», и прилагательное «секретный», и глагол «засекретить». В русском языке из корня «секрет» можно образовать несколько десятков различных слов. Т.е. если в англоговорящей организации сотруднику информационной безопасности достаточно ввести одно слово, в русскоговорящей придется вводить пару десятков слов и затем еще изменять их в шести различных кодировках.

Кроме того, такие методы неустойчивы к примитивному кодированию. Практически все они пасуют перед любимым приемом начинающих спамеров - заменой символов на похожие по начертанию. Автор неоднократно демонстрировал офицерам безопасности элементарный прием - проход конфиденциального текста через сигнатурные фильтры. Берется текст, содержащий, например, фразу «совершенно секретно», и почтовый перехватчик, настроенный на эту фразу. Если текст открыть в MS Word, то двухсекундная операция: Ctrl+F, «найти "o" (русской раскладки)», «заменить на "o" (английской раскладки)», «заменить все», «отослать документ» - делает документ абсолютно невидимым для этого фильтра. Тем более обидно, что такая замена проводится штатными средствами MS Word или любого другого текстового редактора, т.е. они доступны пользователю, даже если у него нет прав локального администратора и возможности запускать программы шифрования.

Чаще всего сигнатурный контроль потоков входит в функционал UTM-устройств, т.е. решений, очищающих трафик от вирусов, спама, вторжений и любых других угроз, детектирование которых происходит по сигнатурам. Поскольку эта функция является «бесплатной», зачастую пользователи считают, что этого достаточно. Такие решения действительно защищают от случайных утечек, т.е. в тех случаях, когда исходящий текст не изменяется отправителем с целью обойти фильтр, но против злонамеренных пользователей они бессильны.

Маски

Расширением функционала поиска сигнатур «стоп-слов» является поиск их масок. Он представляет собой поиск такого содержания, которое невозможно точно указать в базе «стоп-слов», но можно указать его элемент или структуру. К такой информации следует отнести любые коды, характеризующие персону или предприятие: ИНН, номера счетов, документов и т.д. Искать их с помощью сигнатур невозможно.

Неразумно задавать номер конкретной банковской карты в качестве объекта поиска, а хочется находить любой номер кредитной карты, как бы он не был написан - с пробелами или слитно. Это не просто желание, а требование стандарта PCI DSS : незашифрованные номера пластиковых карт запрещено посылать по электронной почте, т.е. обязанностью пользователя является находить такие номера в электронной почте и сбрасывать запрещенные сообщения.

Вот, например, маска, задающая такое стоп-слово, как название конфиденциального или секретного приказа, номер которого начинается с нуля. Маска учитывает не только произвольный номер, но и любой регистр и даже подмену русских букв латинскими. Маска записана в стандартной нотации «REGEXP», хотя у различных DLP-систем могут быть собственные, более гибкие нотации. Еще хуже дело обстоит с номерами телефонов. Эта информация отнесена к персональным данным, а писать ее можно десятком способов - с использованием различных сочетаний пробелов, разных типов скобок, плюса и минуса и т.д. Здесь, пожалуй, единственной маской не обойтись. Например, в антиспамовых системах, где приходится решать сходную задачу, для детектирования телефонного номера используют несколько десятков масок одновременно.

Множество различных кодов, вписанных в деятельность компаний и ее сотрудников, охраняются многими законами и представляют собой коммерческую тайну, банковскую тайну, персональные данные и другую защищаемую законом информацию, поэтому проблема детектирования их в трафике является обязательным условием любого решения.

Хеш-функции

Различного типа хеш-функции образцов конфиденциальных документов одно время считались новым словом на рынке защиты от утечек, хотя сама технология существует с 1970-х годов. На Западе этот метод иногда называется «digital fingerprints», т.е. «цифровые отпечатки пальцев», или «шиндлы» на научном сленге.

Суть всех методов одна и та же, хотя конкретные алгоритмы у каждого производителя могут существенно отличаться. Некоторые алгоритмы даже патентуются, что подтверждает уникальность реализации. Общий сценарий действия такой: набирается база образцов конфиденциальных документов. С каждого из них снимается «отпечаток», т.е. из документа извлекается значимое содержимое, которое приводится к некоторому нормальному, например (но не обязательно) текстовому виду, затем снимаются хеши всего содержимого и его частей, например абзацев, предложений, пятерок слов и т.д., детализация зависит от конкретной реализации. Эти отпечатки хранятся в специальной базе данных.

Перехваченный документ точно так же очищается от служебной информации и приводится к нормальному виду, затем с него по тому же алгоритму снимаются отпечатки-шиндлы. Полученные отпечатки ищутся в базе данных отпечатков конфиденциальных документов, и если находятся - документ считается конфиденциальным. Поскольку этот метод применяется для нахождения прямых цитат из документа-образца, технология иногда называется «антиплагиатной».

Большинство преимуществ такого метода являются одновременно его недостатками. Прежде всего, это требование использования образцов документов. С одной стороны, пользователю не надо беспокоиться о стоп-словах, значимых терминах и другой информации, совершенно неспецифической для офицеров безопасности деятельности. С другой стороны, «нет образца - нет защиты», что порождает те же самые проблемы с новыми и входящими документами, что и при обращении к технологиям, базирующимся на метках. Очень важным плюсом такой технологии является ее нацеленность на работу с произвольными последовательностями символов. Из этого следует, в первую очередь, независимость от языка текста - хоть иероглифы, хоть пушту. Далее, одно из главных следствий этого свойства - возможность снятия отпечатков с нетекстовой информации - баз данных, чертежей, медиафайлов. Именно эти технологии применяют голливудские студии и мировые студии звукозаписи для защиты медиаконтента в своих цифровых хранилищах.

К сожалению, низкоуровневые хеш-функции неустойчивы к примитивному кодированию, рассматривавшемуся в примере с сигнатурами. Они легко справляются с изменением порядка слов, перестановкой абзацев и другими ухищрениями «плагиаторов», но, например, изменение букв по всему документу разрушает хеш-образец и такой документ становится невидимым для перехватчика.

Использование только этого метода осложняет работу с формами. Так, пустая форма заявления на кредит является свободно распространяемым документом, а заполненная - конфиденциальным, поскольку содержит персональные данные. Если просто снять отпечаток с пустой формы, то перехваченный заполненный документ будет содержать всю информацию из пустой формы, т.е. отпечатки будут во многом совпадать. Таким образом, система либо пропустит конфиденциальную информацию, либо воспрепятствует свободному распространению пустых форм.

Несмотря на упомянутые недостатки, этот метод имеет широкое распространение, особенно в таком бизнесе, который не может себе позволить квалифицированных сотрудников, а действует по принципу «сложи всю конфиденциальную информацию в эту папку и спи спокойно». В этом смысле требование конкретных документов для их защиты чем-то похоже на решения, базирующиеся на метках, только хранящихся отдельно от образцов и сохраняющихся при изменении формата файла, копировании части файла и т.д. Однако крупный бизнес, имеющий в обороте сотни тысяч документов, зачастую просто не в состоянии предоставить образцы конфиденциальных документов, т.к. бизнес-процессы компании этого не требуют. Единственное, что есть (или, честнее, должно быть) на каждом предприятии, - «Перечень информации, составляющей коммерческую тайну». Сделать из нее образцы - нетривиальная задача.

Простота добавления образцов к базе контролируемого контента зачастую играет с пользователями злую шутку. Это ведет к постепенному увеличению базы отпечатков, существенно влияющему на производительность системы: чем больше образцов, тем больше сравнений каждого перехваченного сообщения. Поскольку каждый отпечаток занимает от 5 до 20% оригинала, база отпечатков постепенно разрастается. Пользователи отмечают резкое падение производительности, когда база начинает превышать объем оперативной памяти фильтрующего сервера. Обычно проблема решается регулярным аудитом образцов документов и удалением устаревших или дублирующихся образцов, т.е. экономя на внедрении, пользователи теряют на эксплуатации.

Лингвистические методы

Самым распространенным на сегодняшний день методом анализа является лингвистический анализ текста. Он настолько популярен, что зачастую именно он в просторечье именуется «контентной фильтрацией», т.е. несет на себе характеристику всего класса методов анализа содержимого. С точки зрения классификации и хеш-анализ, и анализ сигнатур, и анализ масок являются «контентной фильтрацией», т.е. фильтрацией трафика на основе анализа содержимого.

Как понятно из названия, метод работает только с текстами. Вы не защитите с его помощью базу данных, состоящую только из чисел и дат, тем более - чертежи, рисунки и коллекцию любимых песен. Зато с текстами этот метод творит чудеса.

Лингвистика как наука состоит из многих дисциплин - от морфологии до семантики. Поэтому лингвистические методы анализа тоже различаются между собой. Есть методы, использующие лишь стоп-слова, только вводящиеся на уровне корней, а сама система уже составляет полный словарь; есть базирующиеся на расставлении весов встречающихся в тексте терминов. Есть в лингвистических методах и свои отпечатки, базирующиеся на статистике; например, берется документ, считаются пятьдесят самых употребляемых слов, затем выбирается по 10 самых употребляемых из них в каждом абзаце. Такой «словарь» представляет собой практически уникальную характеристику текста и позволяет находить в «клонах» значащие цитаты.

Анализ всех тонкостей лингвистического анализа не входит в рамки этой статьи, поэтому сосредоточимся на достоинствах и недостатках.

Достоинством метода является полная нечувствительность к количеству документов, т.е. редкая для корпоративной информационной безопасности масштабируемость. База контентной фильтрации (набор ключевых словарных классов и правил) не меняется в размере от появления новых документов или процессов в компании.

Кроме того, пользователи отмечают в этом методе сходство со «стоп-словами» в той части, что если документ задержан, то сразу видно, из-за чего это произошло. Если система, базирующаяся на отпечатках, сообщает, что какой-то документ похож на другой, то офицеру безопасности придется самому сравнивать два документа, а при лингвистическом анализе он получит уже размеченный контент. Лингвистические системы наряду с сигнатурной фильтрацией так распространены, поскольку позволяют начать работать без изменений в компании сразу после инсталляции. Нет нужды возиться с расстановкой меток и снятием отпечатков, инвентаризировать документы и делать другую неспецифическую для офицера безопасности работу.

Недостатки столь же очевидны, и первый - зависимость от языка. В каждой стране, язык которой поддерживается производителем, это не является недостатком, однако с точки зрения глобальных компаний, имеющих кроме единого языка корпоративного общения (например, английского), еще множество документов на локальных языках в каждой стране, это явный недостаток.

Еще один недостаток - высокий процент ошибок второго рода, для снижения которого требуется квалификация в области лингвистики (для тонкой настройки базы фильтрации). Стандартные отраслевые базы обычно дают точность фильтрации 80-85%. Это означает, что каждое пятое-шестое письмо перехвачено ошибочно. Настройка базы до приемлемых 95-97% точности срабатывания связана обычно с вмешательством специально обученного лингвиста. И хотя для обучения корректировке базы фильтрации достаточно иметь два дня свободного времени и владеть языком на уровне выпускника средней школы, эту работу, кроме офицера безопасности, делать некому, а он обычно считает такую работу непрофильной. Привлекать же человека со стороны всегда рискованно - ведь работать ему придется с конфиденциальной информацией. Выходом из этой ситуации обычно является покупка дополнительного модуля - самообучающегося «автолингвиста», которому «скармливаются» ложные срабатывания, и он автоматически адаптирует стандартную отраслевую базу.

Лингвистические методы выбирают тогда, когда хотят минимизировать вмешательство в бизнес, когда служба защиты информации не имеет административного ресурса изменить существующие процессы создания и хранения документов. Они работают всегда и везде, хотя и с упомянутыми недостатками.

Трудности внедрения

Помимо очевидных трудностей внедрению DLP препятствует и сложность выбора подходящего решения, поскольку различные поставщики систем DLP исповедуют собственные подходы к организации защиты. У одних запатентованы алгоритмы анализа контента по ключевым словам, а кто-то предлагает метод цифровых отпечатков. Как в этих условиях выбрать оптимальный продукт? Что эффективнее? Ответить на эти вопросы очень сложно, так как внедрений систем DLP на сегодня крайне мало, а реальных практик их использования (на которые можно было бы полагаться) еще меньше. Но те проекты, которые все же были реализованы, показали, что более половины объема работ и бюджета в них составляет консалтинг, и это обычно вызывает большой скепсис у руководства. Кроме того, как правило, под требования DLP приходится перестраивать существующие бизнес-процессы предприятия, а на это компании идут с трудом.

Насколько внедрение DLP помогает соответствовать действующим требованиям регуляторов? На Западе внедрение DLP-систем мотивируют законы, стандарты, отраслевые требования и другие нормативные акты. По мнению экспертов, имеющиеся за рубежом четкие требования законодательства, методические указания по обеспечению требований являются реальным двигателем рынка DLP, так как внедрение специальных решений исключает претензии со стороны регуляторов. У нас в этой сфере положение совсем иное, и внедрение DLP-систем не помогает соответствовать законодательству.

Неким стимулом для внедрения и использования DLP в корпоративной среде может стать необходимость защищать коммерческие секреты компаний и выполнить требования федерального закона «О коммерческой тайне».

Почти на каждом предприятии приняты такие документы, как «Положение о коммерческой тайне» и «Перечень сведений, составляющих коммерческую тайну», и их требования следует выполнять. Существует мнение, что закон «О коммерческой тайне» (98-ФЗ) не работает, тем не менее руководители компаний хорошо осознают, что им важно и нужно защищать свои коммерческие секреты. Причем это осознание гораздо выше понимания важности закона «О персональных данных» (152-ФЗ), и любому руководителю намного проще объяснить необходимость внедрить конфиденциальный документооборот, чем рассказывать про защиту персональных данных.

Что мешает использовать DLP в процессах автоматизации защиты коммерческой тайны? По гражданскому кодексу РФ, для введения режима защиты коммерческой тайны необходимо лишь, чтобы информация обладала некой ценностью и была включена в соответствующий перечень. В этом случае обладатель такой информации по закону обязан принять меры к охране конфиденциальных сведений.

Вместе с тем очевидно, что и DLP не сможет решить всех вопросов. В частности, прикрыть доступ к конфиденциальной информации третьим лицам. Но для этого существуют другие технологии. Многие современные DLP-решения умеют с ними интегрироваться. Тогда при выстраивании этой технологической цепочки может получиться работающая система защиты коммерческой тайны. Такая система будет более понятной для бизнеса, и именно бизнес сможет выступить заказчиком системы защиты от утечек.

Россия и Запад

По мнению аналитиков, В России иное отношение к безопасности и иной уровень зрелости компаний, поставляющих решения DLP. Рынок России ориентируется на специалистов по безопасности и узкоспециализированные проблемы. Люди, занимающиеся предотвращением утечки данных, не всегда понимают, какие данные имеют ценность. В России «милитаристский» подход к организации систем безопасности: прочный периметр с межсетевыми экранами и все усилия прилагаются к тому, чтобы не допустить проникновения внутрь.

Но если сотрудник компании имеет доступ к количеству информации, которое не требуется для выполнения его обязанностей? С другой стороны, если посмотреть, какой подход формировался на Западе в последние 10-15 лет, то можно сказать, что больше внимания уделяется ценности информации. Ресурсы направляются туда, где находится ценная информация, а не на всю информацию подряд. Пожалуй, это самая большая культурологическая разница между Западом и Россией. Однако, говорят аналитики, ситуация меняется. Информация начинает восприниматься как деловой актив, а на эволюцию потребуется какое-то время.

Не существует всеобъемлющего решения

Стопроцентной защиты от утечек еще не разработал ни один производитель. Проблемы с использованием DLP-продуктов некоторые эксперты формулируют примерно так: эффективное использование опыта борьбы с утечками, применяемого в DLP-системах, требует понимания, что значительная работа по обеспечению защиты от утечек должна быть проведена на стороне заказчика, поскольку никто лучше него не знает собственных информационных потоков.

Другие считают, что защититься от утечек нельзя: предотвратить утечку информации невозможно. Поскольку информация имеет для кого-нибудь ценность, она будет получена раньше или позже. Программные средства могут сделать получение этой информации более дорогостоящим и требующим больших временных затрат процессом. Это может значительно снизить выгоду обладания информацией, ее актуальность. Значит, эффективность работы DLP-систем стоит контролировать.

Эффективность бизнеса во многих случаях зависит от сохранения конфиденциальности, целостности и доступности информации. В настоящее время одной из наиболее актуальных угроз в области информационной безопасности (ИБ) является защита конфиденциальных данных от несанкционированных действий пользователей.
Это обусловлено тем, что большая часть традиционных средств защиты таких как антивирусы, межсетевые экраны (Firewall) и системы предотвращения вторжений (IPS) не способны обеспечить эффективную защиту от внутренних нарушителей (инсайдеров), целью которых может являться передача информации за пределы компании для последующего использования – продажи, передачи третьим лицам, опубликования в открытом доступе и т.д. Решить проблему случайных и умышленных утечек конфиденциальных данных, призваны системы предотвращения утечек данных (DLP — Data Loss Prevention) .
Подобного рода системы создают защищенный «цифровой периметр» вокруг организации, анализируя всю исходящую, а в ряде случаев и входящую информацию. Контролируемой информацией выступает не только интернет-трафик, но и ряд других информационных потоков: документы, которые выносятся за пределы защищаемого контура безопасности на внешних носителях, распечатываемые на принтере, отправляемые на мобильные носители через Bluetooth, WiFi и т.д.
DLP-системы осуществляют анализ потоков данных, пересекающих периметр защищаемой информационной системы. При обнаружении в этом потоке конфиденциальной информации срабатывает активная компонента системы и передача сообщения (пакета, потока, сессии) блокируется. Выявление конфиденциальной информации в потоках данных осуществляется путем анализа содержания и выявления специальных признаков: грифа документа, специально введённых меток, значений хэш-функции из определенного множества и т.д.
Современные DLP-системы обладают огромным количеством параметров и характеристик, которые обязательно необходимо учитывать при выборе решения для организации защиты конфиденциальной информации от утечек. Пожалуй, самым важным из них является используемая сетевая архитектура. Согласно этому параметру продукты рассматриваемого класса подразделяются на две большие группы: шлюзовые (рис. 1) и хостовые (рис. 2).
В первой группе используется единый сервер, на который направляется весь исходящий сетевой трафик корпоративной информационной системы. Этот шлюз занимается его обработкой в целях выявления возможных утечек конфиденциальных данных.

Рис. 1. Функциональная схема шлюзового DLP-решения

Второй вариант основан на использовании специальных программ – агентов, которые устанавливаются на конечных узлах сети – рабочих станциях, серверах приложений и пр.

Рис. 2. Функциональная схема хостового DLP решения

В последнее время наблюдается стойкая тенденция к универсализации DLP-систем. На рынке уже не осталось или почти не осталось решений, которые можно было бы назвать сугубо хостовыми или шлюзовыми. Даже те разработчики, которые долгое время развивали исключительно какое-то одно направление, добавляют к своим решениям модули второго типа.
Причины перехода к универсализации DLP-решений две. Первая из них – разные области применения у систем разных типов. Как было сказано выше, хостовые DLP-решения позволяют контролировать всевозможные локальные, а сетевые – интернет-каналы утечки конфиденциальной информации. Основываясь на том, что в подавляющем большинстве случаев организация нуждается в полной защите, то ей нужно и то, и другое. Второй причиной универсализации являются некоторые технологические особенности и ограничения, которые не позволяют сугубо шлюзовым DLP-системам полностью контролировать все необходимые интернет-каналы.
Поскольку полностью запретить использование потенциально опасных каналов передачи данных не представляется возможным, то можно поставить их под контроль. Суть контроля заключается в мониторинге всей передаваемой информации, выявлении среди нее конфиденциальной и выполнение тех или иных операций, заданных политикой безопасности организации. Очевидно, что основной, наиболее важной и трудоемкой задачей является анализ данных. Именно от его качества зависит эффективность работы всей DLP-системы.

Методы анализа потоков данных для DLP

Задачу анализа потока данных с целью выявления конфиденциальной информации можно смело назвать нетривиальной. Поскольку поиск нужных данных осложнен множеством факторов, требующих учета. Поэтому, на сегодняшний день разработано несколько технологий для детектирования попыток передачи конфиденциальных данных. Каждая из них отличается от других своим принципом работы.
Условно все способы обнаружения утечек можно разделить на две группы. К первой относятся те технологии, которые основаны на анализе непосредственно самих текстов передаваемых сообщений или документов (морфологический и статистический анализы, шаблоны). По аналогии с антивирусной защитой их можно назвать проактивными. Вторую группу составляют реактивные способы (цифровые отпечатки и метки). Они определяют утечки по свойствам документов или наличию в них специальных меток.

Морфологический анализ

Морфологический анализ является одним из самых распространенных контентных способов обнаружения утечек конфиденциальной информации. Суть этого метода заключается в поиске в передаваемом тексте определенных слов и/или словосочетаний.
Главным преимуществом рассматриваемого метода является его универсальность. С одной стороны, морфологический анализ может использоваться для контроля любых каналов связи, начиная с файлов, копируемых на съемные накопители, и заканчивая сообщениями в ICQ, Skype, социальных сетях, а с другой – с его помощью могут анализироваться любые тексты и отслеживаться любая информация. При этом конфиденциальные документы не нуждаются в какой-либо предварительной обработке. А защита начинает действовать сразу после включения правил обработки и распространяется на все заданные каналы связи.
Основным недостатком морфологического анализа является относительно низкая эффективность определения конфиденциальной информации. Причем зависит она как от используемых в системе защиты алгоритмов, так и от качества семантического ядра, применяющегося для описания защищаемых данных.

Статистический анализ

Принцип работы статистических методов заключается в вероятностном анализе текста, который позволяет предположить его конфиденциальность или открытость. Для их работы обычно требуется предварительное обучение алгоритма. В ходе него вычисляется вероятность нахождения тех или иных слов, а также словосочетаний в конфиденциальных документах.
Преимуществом статистического анализа является его универсальность. При этом стоит отметить, что данная технология работает в штатном режиме только в рамках поддержания постоянного обучения алгоритма. Так, например, если в процессе обучения системе было предложено недостаточное количество договоров, то она не сможет определять факт их передачи. То есть качество работы статистического анализа зависит от корректности его настройки. При этом необходимо учитывать вероятностный характер данной технологии.

Регулярные выражения (шаблоны)

Суть метода такова: администратор безопасности определяет строковый шаблон конфиденциальных данных: количество символов и их тип (буква или цифра). После этого система начинает искать в анализируемых текстах сочетания, удовлетворяющие ему, и применять к найденным файлам или сообщениям указанные в правилах действия.
Главным преимуществом шаблонов является высокая эффективность обнаружения передачи конфиденциальной информации. Применительно к инцидентам случайных утечек она стремится к 100%. Случаи с преднамеренными пересылками сложнее. Зная о возможностях используемой DLP-системы, злоумышленник может противодействовать ей, в частности, разделяя символы различными символами. Поэтому используемые методы защиты конфиденциальной информации должны держаться в секрете.
К недостаткам шаблонов относится, в первую очередь, ограниченная сфера их применения. Они могут использоваться только для стандартизованной информации, например, для защиты персональных данных. Ещё одним минусом рассматриваемого метода является относительно высокая частота ложных срабатываний. Например, номер паспорта состоит из шести цифр. Но, если задать такой шаблон, то он будет срабатывать каждый раз, когда встретится 6 цифр подряд. А это может быть номер договора, отсылаемый клиенту, сумма и т.п.

Цифровые отпечатки

Под цифровым отпечатком в данном случае понимается целый набор характерных элементов документа, по которому его можно с высокой достоверностью определить в будущем. Современные DLP-решения способны детектировать не только целые файлы, но и их фрагменты. При этом можно даже рассчитать степень соответствия. Такие решения позволяют создавать дифференцированные правила, в которых описаны разные действия для разных процентов совпадения.
Важной особенностью цифровых отпечатков является то, что они могут использоваться не только для текстовых, но и для табличных документов, а также для изображений. Это открывает широкое поле для применения рассматриваемой технологии.

Цифровые метки

Принцип данного метода следующий: на выбранные документы накладываются специальные метки, которые видны только клиентским модулям используемого DLP-решения. В зависимости от их наличия система разрешает или запрещает те или иные действия с файлами. Это позволяет не только предотвратить утечку конфиденциальных документов, но и ограничить работу с ними пользователей, что является несомненным преимуществом данной технологии.
К недостаткам данной технологии относится, в первую очередь, ограниченность сферы её применения. Защитить с ее помощью можно только текстовые документы, причем уже существующие. На вновь создаваемые документы это не распространяется. Частично этот недостаток нивелируется способами автоматического создания меток, например, на основе набора ключевых слов. Однако данный аспект сводит технологию цифровых меток к технологии морфологического анализа, то есть, по сути, к дублированию технологий.
Другим недостатком технологии цифровых меток является легкость ее обхода. Достаточно вручную набрать текст документа в письме (не скопировать через буфер обмена, а именно набрать), и данный способ будет бессилен. Поэтому он хорош только в сочетании с другими методами защиты.

Основные функции DLP-систем:

Основный функции DLP-систем визуализированы на рисунке ниже (рис. 3)

контроль передачи информации через Интернет с использованием E-Mail, HTTP, HTTPS, FTP, Skype, ICQ и других приложений и протоколов;
контроль сохранения информации на внешние носители — CD, DVD, flash, мобильные телефоны и т.п.;
защита информации от утечки путем контроля вывода данных на печать;
блокирование попыток пересылки/сохранения конфиденциальных данных, информирование администраторов ИБ об инцидентах, создание теневых копий, использование карантинной папки;
поиск конфиденциальной информации на рабочих станциях и файловых серверах по ключевым словам, меткам документов, атрибутам файлов и цифровым отпечаткам;
предотвращение утечек информации путем контроля жизненного цикла и движения конфиденциальных сведений.

Рис. 3. Основные функции DLP систем

Защита конфиденциальной информации в DLP-системе осуществляется на трех уровнях:

1 уровень — Data-in-Motion – данные, передаваемые по сетевым каналам:

web (HTTP/HTTPS протоколы);
службы мгновенного обмена сообщениями (ICQ, QIP, Skype, MSN и т.д.);
корпоративная и личная почта (POP, SMTP, IMAP и т.д.);
беспроводные системы (WiFi, Bluetooth, 3G и т.д.);
ftp – соединения.

2 уровень — Data-at-Rest – данные, статично хранящиеся на:

серверах;
рабочих станциях;
ноутбуках;
системах хранения данных (СХД).

3 уровень — Data-in-Use – данные, используемые на рабочих станциях.

Система класса DLP включает в себя следующие компоненты:

центр управления и мониторинга;
агенты на рабочих станциях пользователей;
сетевой шлюз DLP, устанавливаемый на Интернет-периметр.

В DLP-системах конфиденциальная информация может определяться по ряду различных признаков, а также различными способами, основными из них являются:

морфологический анализ информации;
статистический анализ информации;
регулярные выражения (шаблоны);
метод цифровых отпечатков;
метод цифровых меток.

Внедрение DLP-систем давно стало уже не просто модой, а необходимостью, ведь утечка конфиденциальных данных может привести к огромному ущербу для компании, а главное оказать не одномоментное, а длительное влияние на бизнес компании. При этом ущерб может носить не только прямой, но и косвенный характер. Потому что помимо основного ущерба, особенно в случае разглашения сведений об инциденте, Ваша компания «теряет лицо». Ущерб от потери репутации оценить в деньгах весьма и весьма сложно! А ведь конечной целью создания системы обеспечения безопасности информационных технологий, является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, ее носители и процессы обработки.

28.01.2014 Сергей Кораблев

Выбор любого продукта корпоративного уровня является для технических специалистов и сотрудников, принимающих решения, задачей нетривиальной. Выбор системы предотвращения утечек данных Data Leak Protection (DLP) – еще сложнее. Отсутствие единой понятийной системы, регулярных независимых сравнительных исследований и сложность самих продуктов вынуждают потребителей заказывать у производителей пилотные проекты и самостоятельно проводить многочисленные тестирования, определяя круг собственных потребностей и соотнося их с возможностями проверяемых систем

Подобный поход, безусловно, правильный. Взвешенное, а в некоторых случаях даже выстраданное решение упрощает дальнейшее внедрение и позволяет избежать разочарования при эксплуатации конкретного продукта. Однако процесс принятия решений в данном случае может затягиваться если не на годы, то на многие месяцы. Кроме того, постоянное расширение рынка, появление новых решений и производителей еще более усложняют задачу не только выбора продукта для внедрения, но и создание предварительного шорт-листа подходящих DLP-систем. В таких условиях актуальные обзоры DLP-систем имеют несомненную практическую ценность для технических специалистов. Стоит ли включать конкретное решение в список для тестирования или оно будет слишком сложным для внедрения в небольшой организации? Может ли решение быть масштабировано на компанию из 10 тыс. сотрудников? Сможет ли DLP-система контролировать важные для бизнеса CAD-файлы? Открытое сравнение не заменит тщательного тестирования, но поможет ответить на базовые вопросы, возникающие на начальном этапе работ по выбору DLP.

Участники

В качестве участников были выбраны наиболее популярные (по версии аналитического центра Anti-Malware.ru на середину 2013 года) на российском рынке информационной безопасности DLP-системы компаний InfoWatch, McAfee, Symantec, Websense, Zecurion и «Инфосистем Джет».

Для анализа использовались коммерчески доступные на момент подготовки обзора версии DLP-систем, а также документация и открытые обзоры продуктов.

Критерии сравнения DLP-систем выбирались, исходя из потребностей компаний различного размера и разных отраслей. Под основной задачей DLP-систем подразумевается предотвращение утечек конфиденциальной информации по различным каналам.

Примеры продуктов этих компаний представлены на рисунках 1–6.

Рисунок 3. Продукт компании Symantec

Рисунок 4. Продукт компании InfoWatch

Рисунок 5. Продукт компании Websense

Рисунок 6. Продукт компании McAfee

Режимы работы

Два основных режима работы DLP-систем – активный и пассивный. Активный – обычно основной режим работы, при котором происходит блокировка действий, нарушающих политики безопасности, например отправка конфиденциальной информации на внешний почтовый ящик. Пассивный режим чаще всего используется на этапе настройки системы для проверки и корректировки настроек, когда высока доля ложных срабатываний. В этом случае нарушения политик фиксируются, но ограничения на перемещение информации не налагаются (таблица 1).

В данном аспекте все рассматриваемые системы оказались равнозначны. Каждая из DLP умеет работать как в активном, так и в пассивном режимах, что дает заказчику определенную свободу. Не все компании готовы начать эксплуатацию DLP сразу в режиме блокировки – это чревато нарушением бизнес-процессов, недовольством со стороны сотрудников контролируемых отделов и претензиями (в том числе обоснованными) со стороны руководства.

Технологии

Технологии детектирования позволяют классифицировать информацию, которая передается по электронным каналам и выявлять конфиденциальные сведения. На сегодня существует несколько базовых технологий и их разновидностей, сходных по сути, но различных по реализации. Каждая из технологий имеет как преимущества, так и недостатки. Кроме того, разные типы технологий подходят для анализа информации различных классов. Поэтому производители DLP-решений стараются интегрировать в свои продукты максимальное количество технологий (см. таблицу 2).

В целом, продукты предоставляют большое количество технологий, позволяющих при должной настройке обеспечить высокий процент распознавания конфиденциальной информации. DLP McAfee, Symantec и Websense довольно слабо адаптированы для российского рынка и не могут предложить пользователям поддержку «языковых» технологий – морфологии, анализа транслита и замаскированного текста.

Контролируемые каналы

Каждый канал передачи данных – это потенциальный канал утечек. Даже один открытый канал может свести на нет все усилия службы информационной безопасности, контролирующей информационные потоки. Именно поэтому так важно блокировать неиспользуемые сотрудниками для работы каналы, а оставшиеся контролировать с помощью систем предотвращения утечек.

Несмотря на то, что лучшие современные DLP-системы способны контролировать большое количество сетевых каналов (см. таблицу 3), ненужные каналы целесообразно блокировать. К примеру, если сотрудник работает на компьютере только с внутренней базой данных, имеет смысл вообще отключить ему доступ в Интернет.

Аналогичные выводы справедливы и для локальных каналов утечки. Правда, в этом случае бывает сложнее заблокировать отдельные каналы, поскольку порты часто используются и для подключения периферии, устройств ввода-вывода и т. д.

Особую роль для предотвращения утечек через локальные порты, мобильные накопители и устройства играет шифрование. Средства шифрования достаточно просты в эксплуатации, их использование может быть прозрачным для пользователя. Но в то же время шифрование позволяет исключить целый класс утечек, связанных с несанкционированным доступом к информации и утерей мобильных накопителей.

Ситуация с контролем локальных агентов в целом хуже, чем с сетевыми каналами (см. таблицу 4). Успешно контролируются всеми продуктами только USB-устройства и локальные принтеры. Также, несмотря на отмеченную выше важность шифрования, такая возможность присутствует только в отдельных продуктах, а функция принудительного шифрования на основе контентного анализа присутствует только в Zecurion DLP.

Для предотвращения утечек важно не только распознавание конфиденциальных данных в процессе передачи, но и ограничение распространения информации в корпоративной среде. Для этого в состав DLP-систем производители включают инструменты, способные выявлять и классифицировать информацию, хранящуюся на серверах и рабочих станциях в сети (см. таблицу 5). Данные, которые нарушают политики информационной безопасности, должны быть удалены или перемещены в безопасное хранилище.

Для выявления конфиденциальной информации на узлах корпоративной сети используются те же самые технологии, что и для контроля утечек по электронным каналам. Главное отличие – архитектурное. Если для предотвращения утечки анализируется сетевой трафик или файловые операции, то для обнаружения несанкционированных копий конфиденциальных данных исследуется хранимая информация – содержимое рабочих станций и серверов сети.

Из рассматриваемых DLP-систем только InfoWatch и «Дозор-Джет» игнорируют использование средств выявления мест хранения информации. Это не является критичной функцией для предотвращения утечки по электронным каналам, но существенно ограничивает возможности DLP-систем в отношении проактивного предотвращения утечек. К примеру, когда конфиденциальный документ находится в пределах корпоративной сети, это не является утечкой информации. Однако если место хранения этого документа не регламентировано, если о местонахождении этого документа не знают владельцы информации и офицеры безопасности, это может привести к утечке. Возможен несанкционированный доступ к информации или к документу не будут применены соответствующие правила безопасности.

Удобство управления

Такие характеристики как удобство использования и управления могут быть не менее важными, чем технические возможности решений. Ведь действительно сложный продукт будет трудно внедрить, проект отнимет больше времени, сил и, соответственно, финансов. Уже внедренная DLP-система требует к себе внимания со стороны технических специалистов. Без должного обслуживания, регулярного аудита и корректировки настроек качество распознавания конфиденциальной информации будет со временем сильно падать.

Интерфейс управления на родном для сотрудника службы безопасности языке – первый шаг для упрощения работы с DLP-системой. Он позволит не только облегчить понимание, за что отвечает та или иная настройка, но и значительно ускорит процесс конфигурирования большого количества параметров, которые необходимо настроить для корректной работы системы. Английский язык может быть полезен даже для русскоговорящих администраторов для однозначной трактовки специфических технических понятий (см. таблицу 6).

Большинство решений предусматривают вполне удобное управление из единой (для всех компонентов) консоли c веб-интерфейсом (см. таблицу 7). Исключение составляют российские InfoWatch (отсутствует единая консоль) и Zecurion (нет веб-интерфейса). При этом оба производителя уже анонсировали появление веб-консоли в своих будущих продуктах. Отсутствие же единой консоли у InfoWatch обусловлено различной технологической основой продуктов. Разработка собственного агентского решения была на несколько лет прекращена, а нынешний EndPoint Security является преемником продукта EgoSecure (ранее известного как cynapspro) стороннего разработчика, приобретенного компанией в 2012 году.

Еще один момент, который можно отнести к недостаткам решения InfoWatch, состоит в том, что для настройки и управления флагманским DLP-продуктом InfoWatch TrafficMonitor необходимо знание специального скриптового языка LUA, что усложняет эксплуатацию системы. Тем не менее, для большинства технических специалистов перспектива повышения собственного профессионального уровня и изучение дополнительного, пусть и не слишком ходового языка должна быть воспринята позитивно.

Разделение ролей администратора системы необходимо для минимизации рисков предотвращения появления суперпользователя с неограниченными правами и других махинаций с использованием DLP.

Журналирование и отчеты

Архив DLP – это база данных, в которой аккумулируются и хранятся события и объекты (файлы, письма, http-запросы и т. д.), фиксируемые датчиками системы в процессе ее работы. Собранная в базе информация может применяться для различных целей, в том числе для анализа действий пользователей, для сохранения копий критически важных документов, в качестве основы для расследования инцидентов ИБ. Кроме того, база всех событий чрезвычайно полезна на этапе внедрения DLP-системы, поскольку помогает проанализировать поведение компонентов DLP-системы (к примеру, выяснить, почему блокируются те или иные операции) и осуществить корректировку настроек безопасности (см. таблицу 8).

В данном случае мы видим принципиальное архитектурное различие между российскими и западными DLP. Последние вообще не ведут архив. В этом случае сама DLP становится более простой для обслуживания (отсутствует необходимость вести, хранить, резервировать и изучать огромный массив данных), но никак не для эксплуатации. Ведь архив событий помогает настраивать систему. Архив помогает понять, почему произошла блокировка передачи информации, проверить, сработало ли правило корректно, внести в настройки системы необходимые исправления. Также следует заметить, что DLP-системы нуждаются не только в первичной настройке при внедрении, но и в регулярном «тюнинге» в процессе эксплуатации. Система, которая не поддерживается должным образом, не доводится техническими специалистами, будет много терять в качестве распознавания информации. В результате возрастет и количество инцидентов, и количество ложных срабатываний.

Отчетность – немаловажная часть любой деятельности. Информационная безопасность – не исключение. Отчеты в DLP-системах выполняют сразу несколько функций. Во-первых, краткие и понятные отчеты позволяют руководителям служб ИБ оперативно контролировать состояние защищенности информации, не вдаваясь в детали. Во-вторых, подробные отчеты помогают офицерам безопасности корректировать политики безопасности и настройки систем. В-третьих, наглядные отчеты всегда можно показать топ-менеджерам компании для демонстрации результатов работы DLP-системы и самих специалистов по ИБ (см. таблицу 9).

Почти все конкурирующие решения, рассмотренные в обзоре, предлагают и графические, удобные топ-менеджерам и руководителям служб ИБ, и табличные, более подходящие техническим специалистам, отчеты. Графические отчеты отсутствуют только в DLP InfoWatch, за что им и была снижена оценка.

Сертификация

Вопрос о необходимости сертификации для средств обеспечения информационной безопасности и DLP в частности является открытым, и в рамках профессиональных сообществ эксперты часто спорят на эту тему. Обобщая мнения сторон, следует признать, что сама по себе сертификация не дает серьезных конкурентных преимуществ. В то же время, существует некоторое количество заказчиков, прежде всего, госорганизаций, для которых наличие того или иного сертификата является обязательным.

Кроме того, существующий порядок сертификации плохо соотносится с циклом разработки программных продуктов. В результате потребители оказываются перед выбором: купить уже устаревшую, но сертифицированную версию продукта или актуальную, но не прошедшую сертификацию. Стандартный выход в этой ситуации – приобретение сертифицированного продукта «на полку» и использование нового продукта в реальной среде (см. таблицу 10).

Результаты сравнения

Обобщим впечатления от рассмотренных DLP-решений. В целом, все участники произвели благоприятное впечатление и могут использоваться для предотвращения утечек информации. Различия продуктов позволяют конкретизировать область их применения.

DLP-система InfoWatch может быть рекомендована организациям, для которых принципиально важно наличие сертификата ФСТЭК. Впрочем, последняя сертифицированная версия InfoWatch Traffic Monitor проходила испытания еще в конце 2010 года, а срок действия сертификата истекает в конце 2013 года. Агентские решения на базе InfoWatch EndPoint Security (известного также как EgoSecure) больше подходят предприятиям малого бизнеса и могут использоваться отдельно от Traffic Monitor. Совместное использование Traffic Monitor и EndPoint Security может вызвать проблемы с масштабированием в условиях крупных компаний.

Продукты западных производителей (McAfee, Symantec, Websense), по данным независимых аналитических агентств, значительно менее популярны, нежели российские. Причина - в низком уровне локализации. Причем дело даже не в сложности интерфейса или отсутствии документации на русском языке. Особенности технологий распознавания конфиденциальной информации, преднастроенные шаблоны и правила «заточены» под использование DLP в западных странах и нацелены на выполнение западных же нормативных требований. В результате в России качество распознавания информации оказывается заметно хуже, а выполнение требований иностранных стандартов зачастую неактуально. При этом сами по себе продукты вовсе не плохие, но специфика применения DLP-систем на российском рынке вряд ли позволит им в обозримом будущем стать более популярными, чем отечественные разработки.

Zecurion DLP отличается хорошей масштабируемостью (единственная российская DLP-система с подтвержденным внедрением на более чем 10 тыс. рабочих мест) и высокой технологической зрелостью. Однако удивляет отсутствие веб-консоли, что помогло бы упростить управление корпоративным решением, нацеленным на различные сегменты рынка. Среди сильных сторон Zecurion DLP – высокое качество распознавания конфиденциальной информации и полная линейка продуктов для предотвращения утечек, включая защиту на шлюзе, рабочих станциях и серверах, выявление мест хранения информации и инструменты для шифрования данных.

DLP-система «Дозор-Джет», один из пионеров отечественного рынка DLP, широко распространена среди российских компаний и продолжает наращивать клиентскую базу за счет обширных связей системного интегратора «Инфосистемы Джет», по совместительству и разработчика DLP. Хотя технологически DLP несколько отстает от более мощных собратьев, ее использование может быть оправдано во многих компаниях. Кроме того, в отличие от иностранных решений, «Дозор Джет» позволяет вести архив всех событий и файлов.

Утечка коммерчески значимой информации может привести к существенным убыткам компании – и финансовым, и репутационным. Настройка компонентов DLP позволяет отслеживать внутреннюю переписку, почтовые сообщения, обмен данными, работу с облачными хранилищами, запуск приложений на рабочем столе, подключение внешних устройств, отчеты, смс-сообщения, телефонные переговоры. Все подозрительные операции контролируются и создается база отчетности по отслеженным прецедентам. Для этого DLP-системы имеют встроенные механизмы определения системы конфиденциальной информации, для чего анализируются специальные маркеры документов и само их содержание (по ключевым словам, фразам, предложениям). Возможен ряд дополнительных настроек по контролю персонала (правомерности действий внутри компании, использования рабочих ресурсов, вплоть до распечаток на принтерах).

Если в приоритете полноценный контроль над передачей данных, то первоначальная настройка DLP будет заключаться в выявлении и определении возможных утечек информации, контроля конечных устройств и допуска пользователей к ресурсам компании. Если в приоритете статистика по перемещению важной корпоративной информации внутри организации, то для ее отслеживания вычисляются каналы и способы передачи данных. DLP-системы настраиваются индивидуально под каждое предприятие, исходя из предполагаемых моделей угроз, категорий нарушений, определения возможных каналов утечек информации.

DLP занимают большую нишу на рынке в сфере экономической безопасности. Исходя из исследований Аналитического центра Anti-Malware.ru , заметен рост потребности компаний в DLP-системах, увеличение продаж и расширение линейки продуктов. Актуальна настройка предотвращения передачи не желаемой информации не только изнутри наружу, но и снаружи внутрь информационной сети предприятия. Более того, учитывая распространенную виртуализацию в корпоративных информационных системах и повсеместное использования мобильных устройств, через которые ведется бизнес контроль мобильных сотрудников — одна из самых приоритетных задач.

Важно учитывать интеграцию выбранных DLP-систем с корпоративной IT-сетью, теми приложениями, которые использует компания. Для успешного предотвращения утечки данных и оперативных действий по пресечению злоупотребления корпоративной информацией, необходимо наладить стабильную работу DLP, настроить функционал в соответствии с задачами, установить работу с внутрикорпоративными электронными ящиками, USB-накопителями, мессенджерами, облачными хранилищами, мобильными устройствами, а в случае работы в большой корпорации — и интеграцию с SIEM системой в рамках SOC.

Доверьте внедрение системы DLP специалистам. Системный интегратор «Radius» осуществит установку и настройку DLP в соответствии со стандартами и нормами информационной безопасности, а также особенностями компании-клиента.

Введение

Обзор предназначен для всех интересующихся рынком решений в сфере DLP и, в первую очередь, для тех, кто хочет выбрать подходящее для своей компании DLP-решение. В обзоре рассматривается рынок систем DLP в широком понимании этого термина, даётся краткое описание мирового рынка и более подробное - российского сегмента.

Системы защиты ценных данных существовали с момента их появления. В течение веков эти системы развивались и эволюционировали вместе с человечеством. С началом компьютерной эры и переходом цивилизации в постиндустриальную эпоху, информация постепенно стала главной ценностью государств, организаций и даже частных лиц. А основным инструментом её хранения и обработки стали компьютерные системы.

Государства всегда защищали свои секреты, но у государств свои средства и методы, которые, как правило, не оказывали влияния на формирование рынка. В постиндустриальную эпоху частыми жертвами компьютерной утечки ценной информации стали банки и другие кредитно-финансовые организации. Мировая банковская система первой стала нуждаться в законодательной защите своей информации. Необходимость защиты частной жизни осознали и в медицине. В результате, например, в США были приняты Health Insurance Portability and Accountability Act (HIPAA), Sarbanes–Oxley Act (SOX), а Базельский комитет по банковскому надзору выпустил ряд рекомендаций, называемый «Basel Accords». Такие шаги дали мощный толчок развитию рынка систем защиты компьютерной информации. Вслед за растущим спросом стали появляться компании, предлагавшие первые DLP‑системы.

Что такое DLP-системы?

Общепринятых расшифровок термина DLP несколько: Data Loss Prevention, Data Leak Prevention или Data Leakage Protection, что можно перевести на русский как «предотвращение потери данных», «предотвращение утечки данных», «защита от утечки данных». Этот термин получил широкое распространение и закрепился на рынке примерно в 2006 году. А первые DLP‑системы возникли несколько раньше именно как средство предотвращения утечки ценной информации. Они были предназначены для обнаружения и блокирования сетевой передачи информации, опознаваемой по ключевым словам или выражениям и по заранее созданным цифровым «отпечаткам» конфиденциальных документов.

Дальнейшее развитие DLP‑систем определялось инцидентами, с одной стороны, и законодательными актами государств, с другой. Постепенно, потребности по защите от различных видов угроз привели компании к необходимости создания комплексных систем защиты. В настоящее время, развитые DLP‑продукты, кроме непосредственно защиты от утечки данных, обеспечивают защиту от внутренних и даже внешних угроз, учёт рабочего времени сотрудников, контроль всех их действий на рабочих станциях, включая удалённую работу.

При этом, блокирование передачи конфиденциальных данных, каноническая функция DLP-систем, стала отсутствовать в некоторых современных решениях, относимых разработчиками к этому рынку. Такие решения подходят исключительно для мониторинга корпоративной информационной среды, но в результате манипуляции терминологией стали именоваться DLP и относиться в этому рынку в широком понимании.

В настоящее время основной интерес разработчиков DLP-систем сместился в сторону широты охвата потенциальных каналов утечки информации и развитию аналитических инструментов расследования и анализа инцидентов. Новейшие DLP-продукты перехватывают просмотр документов, их печать и копирование на внешние носители, запуск приложений на рабочих станциях и подключение внешних устройств к ним, а современный анализ перехватываемого сетевого трафика позволяет обнаружить утечку даже по некоторым туннелирующим и зашифрованным протоколам.

Помимо развития собственной функциональности, современные DLP‑системы предоставляют широкие возможности по интеграции с различными смежными и даже с конкурирующими продуктами. В качестве примеров можно привести распространённую поддержку протокола ICAP, предоставляемого прокси‑серверами и интеграцию модуля DeviceSniffer, входящего в «Контур информационной безопасности SearchInform», с Lumension Device Control. Дальнейшее развитие DLP‑систем ведет к их интеграции с IDS/IPS-продуктами , SIEM‑решениями , системами документооборота и защите рабочих станций.

DLP‑системы различают по способу обнаружения утечки данных:

при использовании (Data-in‑Use) - на рабочем месте пользователя;
при передаче (Data-in‑Motion) - в сети компании;
при хранении (Data-at‑Rest) - на серверах и рабочих станциях компании.

DLP‑системы могут распознавать критичные документы:

по формальным признакам - это надёжно, но требует предварительной регистрации документов в системе;
по анализу содержимого - это может давать ложные срабатывания, но позволяет обнаруживать критичную информацию в составе любых документов.

Со временем, изменились и характер угроз, и состав заказчиков и покупателей DLP‑систем. Современный рынок предъявляет к этим системам следующие требования:

поддержка нескольких способов обнаружения утечки данных (Data in‑Use, Data -in‑Motion, Data-at‑Rest);
поддержка всех популярных сетевых протоколов передачи данных: HTTP, SMTP, FTP, OSCAR, XMPP, MMP, MSN, YMSG, Skype, различных P2P‑протоколов;
наличие встроенного справочника веб-сайтов и корректная обработка передаваемого на них трафика (веб-почта, социальные сети, форумы, блоги, сайты поиска работы и т.д.);
желательна поддержка туннелирующих протоколов: VLAN, MPLS, PPPoE, и им подобных;
прозрачный контроль защищенных SSL/TLS протоколов: HTTPS, FTPS, SMTPS и других;
поддержка протоколов VoIP‑телефонии: SIP, SDP, H.323, T.38, MGCP, SKINNY и других;
наличие гибридного анализа - поддержки нескольких методов распознавания ценной информации: по формальным признакам, по ключевым словам, по совпадению содержимого с регулярным выражением, на основе морфологического анализа;
желательна возможность избирательного блокирования передачи критически важной информации по любому контролируемому каналу в режиме реального времени; избирательного блокирования (для отдельных пользователей, групп или устройств);
желательна возможность контроля действий пользователя над критичными документами: просмотр, печать, копирование на внешние носители;
желательна возможность контролировать сетевые протоколы работы с почтовыми серверами Microsoft Exchange (MAPI), IBM Lotus Notes, Kerio, Microsoft Lync и т.д. для анализа и блокировки сообщений в реальном времени по протоколам: (MAPI, S/MIME, NNTP, SIP и т.д.);
желателен перехват, запись и распознавание голосового трафика: Skype, IP-телефония, Microsoft Lync;
наличие модуля распознавания графики (OCR) и анализа содержимого;
поддержка анализа документов на нескольких языках;
ведение подробных архивов и журналов для удобства расследования инцидентов;
желательно наличие развитых средств анализа событий и их связей;
возможность построения различной отчётности, включая графические отчеты.

Благодаря новым тенденциям в развитии информационных технологий, становятся востребованными и новые функции DLP‑продуктов. С широким распространением виртуализации в корпоративных информационных системах появилась необходимость её поддержки и в DLP‑решениях. Повсеместное использование мобильных устройств как инструмента ведения бизнеса послужило стимулом для возникновения мобильного DLP. Создание как корпоративных так и публичных «облаков» потребовало их защиты, в том числе и DLP‑системами. И, как логичное продолжение, привело к появлению «облачных» сервисов информационной безопасности (security as a service - SECaaS).

Принцип работы DLP-системы

Современная система защиты от утечки информации, как правило, является распределённым программно‑аппаратным комплексом, состоящим из большого числа модулей различного назначения. Часть модулей функционирует на выделенных серверах, часть - на рабочих станциях сотрудников компании, часть - на рабочих местах сотрудников службы безопасности.

Выделенные сервера могут потребоваться для таких модулей как база данных и, иногда, для модулей анализа информации. Эти модули, по сути, являются ядром и без них не обходится ни одна DLP‑система.

База данных необходима для хранения информации, начиная от правил контроля и подробной информации об инцидентах и заканчивая всеми документами, попавшими в поле зрения системы за определённый период. В некоторых случаях, система даже может хранить копию всего сетевого трафика компании, перехваченного в течение заданного периода времени.

Модули анализа информации отвечают за анализ текстов, извлечённых другими модулями из различных источников: сетевой трафик, документы на любых устройствах хранения информации в пределах компании. В некоторых системах есть возможность извлечения текста из изображений и распознавание перехваченных голосовых сообщений. Все анализируемые тексты сопоставляются с заранее заданными правилами и отмечаются соответствующим образом при обнаружении совпадения.

Для контроля действий сотрудников на их рабочие станции могут быть установлены специальные агенты. Такой агент должен быть защищён от вмешательства пользователя в свою работу (на практике это не всегда так) и может вести как пассивное наблюдение за его действиями, так и активно препятствовать тем из них, которые пользователю запрещены политикой безопасности компании. Перечень контролируемых действий может ограничиваться входом/выходом пользователя из системы и подключением USB‑устройств, а может включать перехват и блокировку сетевых протоколов, теневое копирование документов на любые внешние носители, печать документов на локальные и сетевые принтеры, передачу информации по Wi‑Fi и Bluetooth и много другое. Некоторые DLP-системы способны записывать все нажатия на клавиатуре (key‑logging) и сохранять копий экрана (screen‑shots), но это выходит за рамки общепринятых практик.

Обычно, в составе DLP-системы присутствует модуль управления, предназначенный для мониторинга работы системы и её администрирования. Этот модуль позволяет следить за работоспособностью всех других модулей системы и производить их настройку.

Для удобства работы аналитика службы безопасности в DLP-системе может быть отдельный модуль, позволяющий настраивать политику безопасности компании, отслеживать её нарушения, проводить их детальное расследование и формировать необходимую отчётность. Как ни странно, при прочих равных именно возможности анализа инцидентов, проведения полноценного расследования и отчетность выходят на первый план по важности в современной DLP-системе.

Мировой DLP-рынок

Рынок DLP‑систем начал формироваться уже в этом веке. Как было сказано в начале статьи, само понятие «DLP» распространилось примерно в 2006 году. Наибольшее число компаний, создававших DLP‑системы, возникло в США. Там был наибольший спрос на эти решения и благоприятная обстановка для создания и развития такого бизнеса.

Почти все компании, начинавшие создание DLP-систем и добившиеся в этом заметных успехов, были куплены или поглощены, а их продукты и технологии интегрированы в более крупные информационные системы. Например, Symantec приобрела компанию Vontu (2007), Websense - компанию PortAuthority Technologies Inc. (2007), EMC Corp. приобрела компанию RSA Security (2006), а McAfee поглотила целый ряд компаний: Onigma (2006), SafeBoot Holding B.V. (2007), Reconnex (2008), TrustDigital (2010), tenCube (2010).

В настоящее время, ведущими мировыми производителями DLP‑систем являются: Symantec Corp., RSA (подразделение EMC Corp.), Verdasys Inc, Websense Inc. (в 2013 куплена частной компанией Vista Equity Partners), McAfee (в 2011 куплена компанией Intel). Заметную роль на рынке играют компании Fidelis Cybersecurity Solutions (в 2012 куплена компанией General Dynamics), CA Technologies и GTB Technologies. Наглядной иллюстрацией их позиций на рынке, в одном из разрезов, может служить магический квадрант аналитической компании Gartner на конец 2013 года (рисунок 1).

Рисунок 1. Распределение позиций DLP -систем на мировом рынке по Gartner

Российский DLP-рынок

В России рынок DLP‑систем стал формироваться почти одновременно с мировым, но со своими особенностями. Происходило это постепенно, по мере возникновения инцидентов и попыток с ними бороться. Первым в России в 2000 году начала разрабатывать DLP-решение компания «Инфосистемы Джет» (сначала это был почтовый архив). Чуть позже в 2003 году был основан InfoWatch, как дочерняя компания «Лаборатории Касперского». Именно решения этих двух компаний и задали ориентиры для остальных игроков. В их число, чуть позже, вошли компании Perimetrix, SearchInform, DeviceLock, SecureIT (в 2011 переименованная в Zecurion). По мере создания государством законодательных актов, касающихся защиты информации (ГК РФ статья 857 «Банковская тайна», 395-1-ФЗ «О банках и банковской деятельности», 98-ФЗ «О коммерческой тайне», 143-ФЗ «Об актах гражданского состояния», 152-ФЗ «О персональных данных», и другие, всего около 50 видов тайн), возрастала потребность в инструментах защиты и рос спрос на DLP‑системы. И через несколько лет на рынок пришла «вторая волна» разработчиков: Falcongaze, «МФИ Софт», Trafica. Стоит отметить, что все эти компании имели наработки в области DLP намного ранее, но стали заменты на рынке относительно недавно. Например, компания «МФИ Софт» начала разработку своего DLP-решения еще в 2005 году, а заявила о себе на рынке только в 2011 году.

Ещё позже, российский рынок стал интересен и иностранным компаниям. В 2007-2008 годах у нас стали доступны продукты Symanteс, Websense и McAfee. Совсем недавно, в 2012, на наш рынок вывела свои решения компания GTB Technologies. Другие лидеры мирового рынка тоже не оставляют попыток прийти на российский рынок, но пока без заметных результатов. В последние годы российский DLP‑рынок демонстрирует стабильный рост (свыше 40% ежегодно) в течение нескольких лет, что привлекает новых инвесторов и разработчиков. Как пример, можно назвать компанию Iteranet, с 2008 года разрабатывающую элементы DLP‑системы для внутренних целей, потом для корпоративных заказчиков. В в настоящий момент компания предлагает своё решение Business Guardian российским и зарубежным покупателям.

Компания отделилась от «Лаборатории Касперского» в 2003 году. По итогам 2012 года InfoWatch занимает более трети российского DLP-рынка. InfoWatch предлагает полный спектр DLP‑решений для заказчиков, начиная от среднего бизнеса и заканчивая крупными корпорациями и госструктурами. Наиболее востребовано на рынке решения InfoWatch Traffic Monitor. Основные преимущества их решений: развитый функционал, уникальные запатентованные технологии анализа трафика, гибридный анализ, поддержка множества языков, встроенный справочник веб-ресурсов, масштабируемость, большое количество предустановленных конфигураций и политик для разных отраслей. Отличительными чертами решения InfoWatch являются единая консоль управления, контроль действий сотрудников, находящихся под подозрением, интуитивно понятный интерфейс, формирование политик безопасности без использования булевой алгебры, создание ролей пользователей (офицер безопасности, руководитель компании, HR-директор и т.д.). Недостатки: отсутствие контроля за действиям пользователей на рабочих станциях, тяжеловесность InfoWatch Traffic Monitor для среднего бизнеса, высокая стоимость.

Компания основана еще в 1991 году, на сегодняшний день является одним из столпов российского DLP‑рынка. Изначально компания разрабатывала системы защиты организаций от внешних угроз и ее выход на DLP‑рынок − закономерный шаг. Компания «Инфосистемы Джет» − важный игрок российского ИБ-рынка, оказывающий услуги системной интеграции и разрабатывающий собственное ПО. В частности, собственное DLP-решение «Дозор-Джет». Основные его преимущества: масштабируемость, высокая производительность, возможность работы с Big Data, большой набор перехватчиков, встроенный справочник веб-ресурсов, гибридный анализ, оптимизированная система хранения, активный мониторинг, работа «в разрыв», средства быстрого поиска и анализа инцидентов, развитая техническая поддержка, в том числе в регионах. Также комплекс имеет возможности для интеграции с системами классов SIEM, BI, MDM, Security Intelligence, System and Network Management. Собственное ноу-хау – модуль «Досье», предназначенный для расследования инцидентов. Недостатки: недостаточный функционал агентов для рабочих станций, слабое развитие контроля за действиями пользователей, ориентированность решения только на крупные компании, высокая стоимость.

Американская компания, начинавшая свой бизнес в 1994 году как производитель ПО по информационной безопасности. В 1996 году представила свою первую собственную разработку «Internet Screening System» для контроля за действиями персонала в сети Интернет. В дальнейшем компания продолжила работу в сфере информационной безопасности, осваивая новые сегменты и расширяя ассортимент продуктов и услуг. В 2007 году компания усилила свои позиции на DLP‑рынке, приобретя компанию PortAuthority. В 2008 году Websense пришла на российский рынок. В настоящий момент компания предлагает комплексный продукт Websense Triton для защиты от утечек конфиденциальных данных, а также внешних видов угроз. Основные преимущества: единая архитектура, производительность, масштабируемость, несколько вариантов поставки, предустановленные политики, развитые средства отчетности и анализа событий. Недостатки: нет поддержки ряда IM-протоколов, нет поддержки морфологии русского языка.

Корпорация Symantec является признанным мировым лидером на рынке DLP‑решений. Произошло это после покупки в 2007 году компании Vontu, крупного производителя DLP‑систем. С 2008 года Symantec DLP официально представлена и на российском рынке. В конце 2010 года, первой из иностранных компаний, Symantec локализовала свой DLP‑продукт для нашего рынка. Основными преимуществами этого решения являются: мощный функционал, большое количество методов для анализа, возможность заблокировать утечку по любому контролируемому каналу, встроенный справочник веб-сайтов, возможность масштабирования, развитый агент для анализа событий на уровне рабочих станций, богатый международный опыт внедрения и интеграция с другими продуктами Symantec. К недостаткам системы можно отнести высокую стоимость и отсутствия возможностей контроля некоторых популярных IM-протоколов.

Эта российская компания была основана в 2007 году как разработчик средств информационной безопасности. Основные преимущества решения Falcongaze SecureTower: простота установки и настройки, удобный интерфейс, контроль большего количества каналов передачи данных, развитые средства анализа информации, возможность мониторинга действий сотрудников на рабочих станциях (включая просмотр скриншотов рабочего стола), граф-анализатор взаимосвязей персонала, масштабируемость, быстрый поиск по перехваченным данным, наглядная система отчетности по различным критериям.

Недостатки: не предусмотрена работа в разрыв на уровне шлюза, ограниченные возможности блокировки передачи конфиденциальных данных (только SMTP, HTTP и HTTPS), отсутствие модуля поиска конфиденциальных данные в сети предприятия.

Американская компания, основанная в 2005 году. Благодаря собственным наработкам в области информационной безопасности имеет большой потенциал развития. На российский рынок пришла в 2012 и успешно реализовала несколько корпоративных проектов. Преимущества её решений: высокая функциональность, контроль множества протоколов и каналов потенциальной утечки данных, оригинальные патентованные технологии, модульность, интеграция с IRM. Недостатки: частичная русская локализация, нет русской документации, отсутствие морфологического анализа.

Российская компания, основанная в 1999 году как системный интегратор. В 2013 году реорганизована в холдинг. Одним из направлений деятельности является предоставление широкого спектра услуг и продуктов для защиты информации. Один из продуктов компании - DLP‑система Business Guardian собственной разработки.

Преимущества: высокая скорость обработки информации, модульность, территориальная масштабируемость, морфологический анализ на 9 языках, поддержка широкого спектра протоколов туннелирования.

Недостатки: ограниченные возможности блокирования передачи информации (поддерживается только плагинами под MS Exchange, MS ISA/TMG и Squid), ограниченная поддержка шифрованных сетевых протоколов.

«МФИ Софт» – это российская компания-разработчик систем информационной безопасности. Исторически компания специализируется на комплексных решениях для операторов связи, поэтому большое внимание уделяет скорости обработки данных, отказоустойчивости и эффективному хранению. Разработки в области информационной безопасности «МФИ Софт» ведет с 2005 года. Компания предлагает на рынке DLP-систему АПК «Гарда Предприятие», ориентированное на крупные и средние предприятия. Преимущества системы: простота развертывания и настройки, высокая производительность, гибкие настройки правил детектирования (включая возможность записи всего трафика), широкие возможности контроля каналов коммуникации (помимо стандартного набора включающие VoIP-телефонию, P2P и туннелирующие протоколы). Недостатки: отсутствие некоторых видов отчетов, отсутствие возможностей блокировки передачи информации и поиски мест хранения конфиденциальной информации в сети предприятия.

Российская компания, основанная в 1995 году, изначально специализировавшаяся на разработке технологий хранения и поиска информации. Позже компания применила свой опыт и наработки в области информационной безопасности, создал DLP-решение под названием «Контур информационной безопасности». Преимущества этого решения: широкие возможности перехвата трафика и анализа событий на рабочих станциях, контроль рабочего времени сотрудников, модульность, масштабируемость, развитые инструменты поиска, скорость обработки поисковых запросов, граф-связи сотрудников, собственный запатентованный поисковый алгоритм «Поиск похожих», собственный учебный центр для обучения аналитиков и технических специалистов клиентов. Недостатки: ограниченные возможности блокирования передачи информации, отсутствие единой консоли управления.

Российская компания, основанная в 1996 году и специализирующаяся на разработке DLP- и EDPC-решений. В категорию DLP-производителей компания перешла в 2011 году, добавив к своему всемирно известному в категории EDPC решению DeviceLock (контроль устройств и портов на рабочих станциях Windows) компоненты, обеспечивающие контроль сетевых каналов и технологии контентного анализа и фильтрации. Сегодня DeviceLock DLP реализует все способы обнаружения утечки данных (DiM, DiU, DaR). Преимущества: гибкая архитектура и помодульное лицензирование, простота установки и управления DLP-политиками, в т.ч. через групповые политики AD, оригинальные патентованные технологии контроля мобильных устройств, поддержка виртуализованных сред, наличие агентов для Windows и Mac OS, полноценный контроль мобильных сотрудников вне корпоративной сети, резидентный модуль OCR (используемый в том числе при сканировании мест хранения данных). Недостатки: отсутствие DLP-агента для Linux, версия агента для Mac-компьютеров реализует только контекстные методы контроля.

Молодая российская компания, специализирующаяся на технологиях глубокого анализа сетевого трафика (Deep Packet Inspection - DPI). На основе этих технологий компания разрабатывает собственную DLP‑систему под названием Monitorium. Преимущества системы: простота установки и настройки, удобный пользовательский интерфейс, гибкий и наглядный механизм создания политик, подходит даже для небольших компаний. Недостатки: ограниченные возможности анализа (нет гибридного анализа), ограниченные возможности контроля на уровне рабочих станций, отсутствие возможностей поиска мест хранения несанкционированных копий конфиденциальной информации в корпоративной сети.

Выводы

Дальнейшее развитие DLP-продуктов идёт в направлении укрупнения и интеграции с продуктами смежных областей: контроль персонала, защита от внешних угроз, другие сегменты информационной безопасности. При этом, почти все компании работают над созданием облегчённых версий своих продуктов для малого и среднего бизнеса, где простота разворачивания DLP‑системы и удобство её использования важнее сложного и мощного функционала. Также, продолжается развитие DLP для мобильных устройств, поддержки технологий виртуализации и SECaaS в «облаках».

С учётом всего сказанного, можно предположить, что бурное развитие мирового, и особенно российского DLP‑рынков, привлечёт и новые инвестиции и новые компании. А это, в свою очередь, должно привести к дальнейшему росту количества и качества предлагаемых DLP‑продуктов и услуг.