Методы и примеры применения DLP для экономической безопасности
Информационная безопасность Информационная безопасность

О DLP-системе как инструменте экономической безопасности

Главная>Информационная безопасность>DLP в деле безопасности бизнеса
Информационная безопасность Тема номера

DLP в деле безопасности бизнеса

Дата публикации:
22.09.2015
Посетителей:
636
Просмотров:
531
Время просмотра:
3.7 мин.

Авторы

Автор
Евгений Акимов В прошлом - эксперт Центра информационной безопасности компании "Инфосистемы Джет"
О DLP-системе как инструменте экономической безопасности

 

 

DLP на службе экономической безопасности

 

Еще совсем недавно решения класса DLP (Data Leak Prevention) использовались в точном соответствии с их названием – для предотвращения утечки данных. Современная практика использования DLP-систем показывает, что они являются инструментом не столько предотвращения утечек конфиденциальной информации, сколько контроля корпоративных коммуникаций. Выявление лиц, потенциально способных «слить» закрытую информацию внешним контрагентам, обнаружение фактов подозрительных переговоров (ведущихся «не по рангу», чересчур интенсивно и т. п.) – это те функции, которые реально могут выполнять и все чаще выполняют системы DLP. Если эту информацию правильно использовать, то получается инструмент скорее экономической, нежели информационной безопасности.

 

 

Примеры применения DLP в качестве инструмента экономической безопасности в нашей стране уже есть. Алгоритм обычно таков: служба экономической безопасности подает запрос в службу информационной безопасности, чтобы та подняла архивную переписку определенных сотрудников – по конкретной теме, с конкретными контрагентами и пр. Полученная подборка анализируется вручную. Этот процесс может занимать довольно много времени и не гарантирует своевременности реакции на подозрительную коммуникацию.

 

Для ускорения процесса его можно автоматизировать. Нужна интеграция систем DLP с другими автоматизированными системами, которые используются службами безопасности, –это дает более ощутимый результат.

SOC и DLP

 

Интеграция DLP с системами класса SIEM – уже устоявшаяся практика. Это дает возможность контролировать события в сети в режиме реального времени, видеть корреляции между разными типами событий и выявлять уязвимые точки. Поскольку SIEM-система содержит архив записей о событиях (логов), совместная работа DLP и SIEM позволит при необходимости восстановить историю событий, что бывает необходимо, например, в случае служебного расследования.

 

Набирает популярность интеграция DLP с аналитическими (BI) системами, в частности, системами, которые все чаще называют Security Intelligence или Security BI. Эти относительно недавно появившиеся аналитические системы адаптированы конкретно под задачи безопасности. В отличие от SIEM-систем, которые работают только с логами, системы Security Intelligence работают с любыми видами информации, они не ориентированы на выдачу алертов в режиме реального времени, но позволяют выявлять тенденции и строить прогнозы.

 

DLP для задач HR

 

Получая информацию от DLP, система Security Intelligence позволяет, например, делать выводы о настроениях в коллективе. Предположим, руководство компании задумало провести организационные изменения. Мониторинг коммуникаций сотрудников в сочетании с аналитическими функциями даст возможность выяснить отношение разных групп сотрудников к грядущим изменениям, увидеть каналы и источники распространения «негатива» (или, наоборот, «позитива») в коллективе. Результаты анализа позволят, например, определить, с кем из сотрудников стоит провести индивидуальную работу, какие можно предложить компенсационные меры и т. д. Лояльность сотрудников – один из важнейших факторов экономической безопасности, поэтому пренебрегать информацией о настроениях в коллективе не стоит.

 

DLP и контроль контрагентов

 

Перспективное направление – интеграция DLP с автоматизированными системами проверки и контроля контрагентов. Реализованных проектов в этой области пока нет, но многие компании рассматривают такую возможность. Автоматизированные системы проверки контрагентов используются крупными организациями, работающими с большим количеством поставщиков и подрядчиков. Привлекая и анализируя данные из реестра юридических лиц, учредительных документов, различную коммерчески доступную информацию о компаниях, такая система позволяет сделать выводы о надежности подрядчика, его законопослушности, компетенциях и пр.

Что может привнести в проверку контрагентов система DLP? Рассмотрим пример из жизни.

 

Строительная компания закупила противоморозную присадку для бетона у поставщика, победившего в тендере. После возведения нескольких этажей здания выяснилось, что качество бетона не соответствует стандартам, хотя все документы на продукцию были в порядке. На каком этапе и каким образом произошел обман? Что было упущено? Строительная компания смогла это выяснить задним числом, проанализировав учредительные документы поставщика – владелец бизнеса оказался родственником топ-менеджера строительной компании, он заранее знал о тендере и успел «подготовиться».

 

Понятно, что факт родственных связей автоматизированная система далеко не всегда может установить – доступных реестров с такой информацией нет. Однако если бы система проверки контрагентов была интегрирована с системой DLP, компания смогла бы, как минимум, зафиксировать факт коммуникаций топ-менеджера с одним из потенциальных участников тендера и поинтересоваться их содержанием. Напомним, что DLP-система может контролировать не только почтовую переписку, но и мессенджеры, активность в соцсетях и даже некоторые виды голосовых коммуникаций – все каналы обмена информацией, какими сотрудник пользуется с корпоративного терминала. Интенсивность коммуникаций, период их ведения, статус и полномочия участников коммуникаций – автоматизированное сопоставление этих факторов позволит службе экономической безопасности своевременно обнаруживать ситуации, потенциально способные нанести компании вред.

 

DLP против «левых» доходов

 

Более сложные сценарии анализа можно задавать при подключении к комплексу HR-системы. В этом случае можно задать круг сотрудников, чьи коммуникации с контрагентами подлежат контролю в том или ином случае – исходя из должности, круга обязанностей, занятости в конкретном проекте и т. д. На конференции, посвященной корпоративной безопасности, руководитель службы экономической безопасности одной из компаний-участниц рассказал, как он проверяет менеджеров на предмет получения «нечестных доходов» – он следит за их тратами. Делается это от случая к случаю, да и пока менеджер среднего звена не приедет на работу на новеньком «порше», факт открытия офшора «сватом или братом» отследить сложновато. Хорошим подспорьем в такой работе может быть анализ коммуникаций людей, находящихся на определенных должностях (эти данные извлекаются из HR-системы) с потенциальными или уже состоявшимися контрагентами.

 

Резюме: DLP в новом качестве

 

Противодействие утечкам – не единственная функция DLP и даже не всегда основная: сегодня при использовании этих систем функция Data Leak Prevention зачастую отходит на второй план. Система DLP все чаще рассматривается как инструмент работы не столько с информацией, сколько с людьми. Для этого эффективно ее использовать с связке не только с SIEM (это уже классика жанра), но и Security BI, системами проверки контрагентов, HR-системами, а в дальнейшем и с антифрод-системами. Можно ожидать, что это даст DLP-решениям «второе дыхание» и позволит обеспечивать безопасность бизнеса на уровне, до сей поры недостижимом.

Уведомления об обновлении тем – в вашей почте

В главной роли – DLP

Почему работа с DLP-системой напоминает просмотр сериала «Санта-Барбара», повлиял ли экономический кризис на типы и ...

Круглый стол: «Лаборатория Касперского», Positive Technologies, R-Vision, Group-IB, UserGate и «Гарда Технологии» об изменениях в ИБ-отрасли

Как изменилась роль ИБ-отрасли за последние месяцы? Какова кадровая ситуация в сфере информационной безопасности? Почему далеко не все отечественные ИБ-решения нуждаются в доработке? Как относиться к Open Source (спойлер — единого мнения нет)?

DLP-отношения: от рабочей рутины до судебных процессов

Кто кому должен: обязанности компаний и сотрудников? Как регламентировать работу с конфиденциальной информацией? DLP-кейсы: почему компания может проиграть дело? Чек-лист: как оформлять данные из DLP для судебного разбирательства?

SIEM в России — состояние и перспективы рынка

В дискуссии приняли участие Артем Медведев, Евгений Афонин, Александр Чигвинцев, Михаил Чернышев, Алексей Горелышев, Олег Бакшинский

TOП 3 самых популярных задач для DLP

Как показывает наша практика, можно выделить определенный набор задач информационной безопасности, решение которых позволяет организации защитить наиболее критичные данные

Mobile DLP - уже реальность

Концепция BYOD (Bring Your Own Device) становится все более модной в корпоративной среде

Превосходный SOC, или Рецептура решения инцидентов

Как построить оптимальный SOC и грамотно выстроить процесс решения инцидентов

Волков бояться? Или все-таки в лес?

Если в компании встает вопрос о расследовании утечек информации, то, как правило, существуют те или иные признаки того, что подобная утечка вообще произошла

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня