Любое преступление проще предотвратить, чем разгребать его последствия. Ключевое слово "предотвращение" - Prevention и характеризует основную задачу систем DLP - Data Leak/Loss Prevention (защита данных от утечки/потери).
Исходя из постановки задачи, нам необходимо обнаружить запрещённые действия Петра или Снежаны и не дать их совершить. Как это делает DLP-система?
Большой брат следит за тобой
Защита информации - это комплекс мер. Мы определяем, как Снежана и Пётр будут выносить базу данных, и берём под контроль эти сферы их деятельности или каналы утечки с помощью различных элементов комплекса. База невелика? В этом случае проще всего отправить её по электронной почте - начинаем фильтровать все обращения к почтовым системам. Размер базы данных затрудняет пересылку? Усилим внимание к съёмным устройствам на рабочих компьютерах (бывает же, что флэшки нужны для работы, все не запретишь...). Секретный документ можно отправить на печать? Будем фильтровать все обращения к принтерам.
Как комплексы определяют, разрешено или нет то или иное действие пользователя? Как правило, точно так же, как и человек - на основании содержания файла-документа-сообщения.
Оператор комплекса (а в идеальном случае - группа профессиональных аудиторов) составляет набор правил, на основании которых будет анализироваться исходящая информация. Ими могут быть как наборы слов и фраз ("секретно", "номер паспорта" и т.д.), так и шаблоны данных. Например, в любой DLP-системе существуют правила, которые безошибочно распознают наличие номеров кредитных карт в отправляемом файле или сообщении ICQ.
Кроме проверки на наличие ключевых слов, некоторые системы позволяют проверять, не является ли отправляемый текст частью другого документа. Отправка одного параграфа договора вызовет точно такую же цепочку событий, как если бы Снежана попыталась отправить договор Сергею целиком.
На тот случай, если будет производиться отправка отсканированного документа, DLP-комплекс можно заставить распознавать текст в изображениях и проверять их содержание на предмет наличия ключевых слов или соответствия внесённым в базу защищаемым документам.
Кроме контроля за отправкой файлов и документов у DLP-систем присутствует ещё ряд сфер для контроля. Беда современных офисов, крадущая время и концентрацию внимания сотрудников, - это социальные сети и службы мгновенных сообщений (ICQ, QIP, Skype и прочие аналоги). Эти службы также могут превратиться в канал утечки важных сведений, с чем тем не менее можно успешно бороться. Только представьте себе бессильную злобу инсайдера, увидевшего вместо отправленного текста "завтра акции моей компании должны резко взлететь в цене" лишь ряд звёздочек... Плюс ко всему текст сообщения попадёт к администратору безопасности, и источник неудавшейся утечки сведений станет известен здесь и сейчас, а не спустя недели после инцидента.
Перекрыть фильтрами можно практически всё. Письма, сообщения, FTP и HTTP-трафик, принтеры и флэшки. Даже создаваемые злоумышленниками заархивированные "схроны" на всякий случай на файловых серверах могут быть вычислены с помощью DLP. Число перекрываемых каналов утечки и качество фильтрации определяются, как правило, только бюджетом компании и нацеленностью на результат.
После прочтения этой статьи может сложиться впечатление, что DLP-системы дают стопроцентную гарантию защиты от внутренних угроз. Это не так. Если доверить ракетную систему залпового огня не умеющему обращаться с ней взводу или просто загнать её на городские улицы, то её эффективность будет равна нулю. Точно так же дело обстоит и с DLP-комплексами. При их использовании, как и при обращении с ракетами, важны условия работы и умение применять имеющийся функционал.
Декларация "Мы внедрили DLP на предприятии", скорее всего, вызовет только спортивный интерес у желающих обойти защиту. Гораздо более эффективным может оказаться её скрытое внедрение, помогающее увеличить результативность сбора информации. Если же коснуться настройки фильтров, то без грамотного персонала служба безопасности либо с головой погрузится в поток ложных или маловажных срабатываний, либо будет жить в сладком неведении и иллюзии отсутствия инцидентов. Вывод прост: выбирая дорогое и эффективное оружие для защиты бизнеса, не экономьте на тех людях, которые будут держать этот ствол в руках.