Security

DLP

DLP (Data Loss Prevention) — система, которая контролирует каналы передачи данных и не даёт конфиденциальной информации уйти за пределы компании.

Что такое DLP

DLP расшифровывается как Data Loss Prevention (встречается и Data Leak Prevention) — предотвращение утечек данных. DLP-система анализирует всё, что уходит из компании наружу — почту, мессенджеры, загрузки в облако, печать, USB, буфер обмена — и блокирует или фиксирует передачу конфиденциальной информации.

Принципиальное отличие от остальных средств защиты: межсетевой экран и IPS смотрят наружу и ловят чужих, DLP смотрит изнутри и контролирует своих. Атакующего, который украл базу, ловит SIEM; менеджера, который перед увольнением отправляет клиентскую базу на личную почту, — только DLP.

Как DLP понимает, что данные конфиденциальные

Это и есть вся сложность продукта. Основные методы:

Метод Как работает Слабое место
Регулярные выраженияШаблоны: номер карты, паспорт, СНИЛС Много ложных срабатываний
Словари и ключевые слова Термины из чувствительных документов Обходится синонимами
Цифровые отпечатки Хеш эталонного документа и его фрагментов Не видит переписанный текст
Метки (labels) Гриф проставлен при создании файла Требует дисциплины авторов
Лингвистический анализ Разбор смысла текста Дорого, требует настройки под язык
OCR Текст внутри картинок и сканов Нагрузка на CPU

На практике комбинируют: одна регулярка на номер карты даст лавину срабатываний на любых числовых ID, а без OCR утечка уйдёт скриншотом за две минуты.

Типы DLP

  • Network DLP. Стоит в разрыве трафика или на зеркале порта, разбирает SMTP, HTTP, FTP, мессенджеры. Проблема — TLS: чтобы заглянуть внутрь HTTPS, нужен перехват с подменой сертификата, а это отдельная история с юридической и технической сторон.
  • Endpoint DLP. Агент на рабочей станции. Видит USB, печать, буфер обмена, скриншоты и трафик до шифрования — обходит проблему TLS целиком. Цена — агент на каждой машине и споры с пользователями о тормозах.
  • Discovery. Сканирует хранилища и ищет, где вообще лежат чувствительные данные. Регулярно обнаруживает копию базы клиентов в общей папке «Разное».

Режимы работы

Мониторинг — фиксирует и оповещает, ничего не блокирует. Блокировка — останавливает передачу.

Новую DLP всегда запускают в мониторинге: минимум месяц смотрят на реальный трафик и правят правила. Включённая сразу в блокировку система остановит легитимную работу в первый же день — юрист не отправит договор, бухгалтер не сдаст отчётность, — и её выключат навсегда.

Юридическая сторона

В России контроль переписки сотрудников законен только при выполнении условий, иначе компания сама получает инцидент, но уже с трудовой инспекцией:

  • В трудовом договоре или локальном акте зафиксировано, что средства связи предоставлены для работы и подлежат контролю.
  • Сотрудник ознакомлен под подпись.
  • Контролируются корпоративные ресурсы, а не личные аккаунты работника.
  • Соблюдается тайна связи (ст. 23 Конституции): читать личную переписку в мессенджере нельзя.

Отдельный парадокс: DLP сама становится хранилищем всего перехваченного — то есть крупнейшей ИСПДн в компании. Доступ к её архиву охраняют строже, чем к исходным данным.

Продукты

Российский рынок зрелый и заметно опережает мировой по функциям контроля персонала: InfoWatch Traffic Monitor, Solar Dozor, «СёрчИнформ КИБ», Zecurion, Falcongaze SecureTower. Из международных — Forcepoint, Symantec, Digital Guardian. Полноценных open-source DLP практически нет: качество детекторов и есть продукт, и бесплатно оно не получается.

Ограничения

DLP останавливает неосторожных и нелояльных, но не мотивированного инсайдера: сфотографировать экран телефоном или продиктовать данные голосом система не помешает. Оценивать её стоит по снижению массовых утечек по халатности, а не по обещанию «ни один байт не уйдёт».

Связанные термины

Готовы запустить GPU-задачу?

Запустить GPU-сервер