Поделиться
Системы предотвращения утечек больше не выбирают по функциям — на что теперь обращают внимание
Андрей Щербаков
руководитель направления развития бизнеса продуктов компании «Гарда»
В 2025 г. российские компании столкнулись с парадоксом: объем утекших данных по сравнению с предыдущим годом вырос в полтора раза (до 767 млн строк), а число зафиксированных инцидентов снизилось. Противостоять таким угрозам призваны системы защиты данных, в том числе системы предотвращения утечек (DLP). Задача таких систем — контролировать каналы передачи данных (почта, мессенджеры, облака, USB), выявлять и блокировать попытки несанкционированной передачи. Однако сегодня, на фоне резкого подорожания серверного оборудования, с 2024 года рынок СХД вырос почти вдвое ― до 280 млрд рублей, и смены каналов утечек, подход к выбору и обновлению DLP кардинально меняется. CNews вместе с руководителем направления развития бизнеса продуктов компании «Гарда» Андреем Щербаковым разбирает, на что заказчики обращают внимание при выборе DLP.
Поддержка операционных систем: единый уровень защиты
Первый и главный критерий — поддержка всех операционных систем. Несмотря на активное импортозамещение, российские компании редко работают в рамках одной платформы. В инфраструктуре одной организации одновременно могут присутствовать Windows, различные дистрибутивы Linux — от Astra OS и «Альт» до Red OS и других редких отечественных сборок. Компьютеры на macOS, как отметил эксперт, часто используют топ-менеджеры и разработчики.
«Компании пока полностью уйти от этого не могут. Ситуация дополнительно осложняется тем, что компания Apple ужесточает ограничения и не предоставляет агентам средств защиты информации доступ к данным, необходимым для анализа и противодействия угрозам, а также отзывает сертификаты, используемые разработчиками для подтверждения подлинности приложений. Всё это ведёт к нестабильности.
DLP должна поддерживать все типы операционных систем и обеспечивать одинаковый уровень защиты. Для заказчика не имеет значения, какая операционная система используется. Он хочет, чтобы уровень безопасности был на них одинаковый», — подчёркивает Андрей Щербаков.
Исторически Windows-агенты в DLP-системах были наиболее развитыми, а Linux и macOS отставали по глубине перехвата. Сегодня это становится критичным. По словам Щербакова, заказчикам важно не просто наличие агента под macOS, а зрелость и устойчивость реализованных механизмов.
Мессенджеры как основной канал утечек
Раньше основной объём корпоративных коммуникаций приходился на электронную почту и обеспечить перехват критической информации с помощью DLP было относительно просто. Сегодня, как отмечает эксперт, переписка всё чаще ведётся в мессенджерах. Щербаков обращает внимание на то, что во многих компаниях используются даже не корпоративные приложения, а распространенные мессенджеры. Также популярны ВКС-платформы с чатами.
«Конечно, заказчик хочет, чтобы самый популярный канал передачи информации полностью контролировался DLP-системой. Причём речь идёт не только об аудите, но и о возможности блокировки передачи конфиденциальных данных», — отмечает Андрей Щербаков.
Критично и время реакции на обновления мессенджеров. В 2022 году после изменения шифрования одного из зарубежных мессенджеров некоторые DLP-системы потеряли перехват на несколько месяцев. Сегодня заказчики ожидают восстановления контроля в течение дней, а иногда и часов.
При этом значительная часть инцидентов происходит без злого умысла. Сотрудники пересылают конфиденциальные рабочие данные в личных чатах, не разделяя формальные и неформальные каналы общения. Именно поэтому мессенджеры сегодня считаются одним из самых рискованных направлений с точки зрения утечек.
Аппаратные ресурсы и стоимость внедрения
Рост цен и дефицит серверного оборудования радикально изменили экономику DLP-проектов. Серверное оборудование стало не только дорогим, но и не всегда доступным в нужные сроки.
«Аппаратные ресурсы сегодня очень дорогие, а для многих компаний зачастую просто недоступны. Бывают ситуации, когда стоимость железа превышает стоимость лицензии на саму DLP-систему», — говорит Андрей Щербаков.
Дополнительную нагрузку создают обновления: для миграции архивов, хранения информации и соблюдения регуляторных требований заказчику часто приходится временно держать двойной объём серверных мощностей. В результате итоговая стоимость проекта может кратно увеличиться.
Поэтому при выборе DLP всё чаще сравнивают оценку требуемых ресурсов: сколько серверов потребуется для обработки трафика тысячи и более пользователей, насколько эффективно система использует ресурсы и где можно сэкономить без потери качества защиты.
Помимо серверной части важную роль играет агент, установленный на рабочей станции пользователя. Он должен корректно встраиваться в процессы ОС и не конфликтовать с другими средствами защиты.
«На рабочей станции сегодня может стоять более десяти агентов: DLP, EDR, UAM, VPN-клиент, хост-фаервол и другие. Все они конкурируют за ресурсы устройства. Поэтому оптимизация агентской части — это не вопрос удобства, а вопрос стабильности бизнес-процессов.
Заказчики сейчас ждут, что система будет держать необходимый объём трафика, контролировать весь объём пользователей и сотрудников организаций, а при этом не требовала значительного количества серверов для этого», — подчёркивает эксперт.
Прогнозируемая стоимость
В «Гарде» отмечают, полная стоимость владения DLP давно вышла за рамки цены лицензии.
«Совокупная стоимость владения (ТСО) — это не только покупка лицензии. Это цепочка: внедрение, поддержка, эксплуатация, дальнейшее масштабирование и стоимость инфраструктуры. Крайне важно: вся сборка должна укладываться в предсказуемые расходы, чтобы клиент мог получать продукт, обеспечивающий защиту данных», — рассказывает Андрей Щербаков.
Если система сложна в эксплуатации, заказчику приходится нанимать дополнительных специалистов, что неминуемо приводит к увеличению TCO. Автоматизация и удобство эксплуатации становятся для заказчика важнейшими критериями выбора продукта.
Централизованный контроль для геораспределённых компаний
Крупные холдинги всё чаще выбирают архитектуру с локальными инсталляциями DLP в филиалах и единым центром управления.
«Иногда заказчик хочет, чтобы в каждом филиале стояла отдельная инсталляция DLP-системы, а над ней был единый комплекс управления. Для таких компаний мы строим мультитенантные системы*», — объясняет Щербаков.
Локальная обработка данных снижает нагрузку на каналы связи, а в центр передаются только индексы и аналитика. Гибкая ролевая модель позволяет филиалам напрямую работать со своими инцидентами, а головному офису видеть общую картину и проводить сквозные расследования.
Тонкая настройка под политики конфиденциальности, отчётность и отказоустойчивость
DLP сегодня — комплексный инструмент для анализа контента. Помимо стандартных признаков конфиденциальности, системы должны уметь работать с неструктурированными данными и сложными сценариями.
Щербаков отмечает, что зачастую сотрудник одного из подразделений компании может работать с конфиденциальными данными и отправлять их, в то время как для других подразделений это строго запрещено.
Поэтому DLP является одной из основ фундамента DSP платформы — комплексного подхода для обеспечения безопасности данных.
«Здесь требуется сочетание контентного и контекстного анализа. DLP-система должна быть гибкой в настройке и обеспечивать стандартный и оптимизированный рабочий процесс. Мы настраиваем политику, выявляем инциденты, находим ложные срабатывания, помечаем их как ложные. Далее система уже корректирует свою политику всё точнее и точнее», — подчёркивает эксперт.
Современные DLP используют словари с ключевыми словами, шаблоны документов, регулярные выражения, OCR для изображений, машинное обучение и анализ метаданных.
Важно для системы также качество отчётности по утечкам и удобная визуализация инцидентов.
«Все уже привыкли к тому, что у безопасников есть дашборд, который показывает статистику по нарушениям. Аналитик в сфере безопасности должен иметь свой гибко настраиваемый рабочий стол. Так сотрудник не будет тратить время на изучение всего архива коммуникации, а с помощью специальных метрик выделит, что конкретно сейчас важно в DLP-системе.
А кроме того, дашборды можно использовать как отчётность для руководства — они наглядно представляют, что подразделение отработало некое количество инцидентов, сколько предотвращено утечек, сколько было ложных срабатываний, что исправлено. Такой формат аналитики позволяет делать правильные управленческие решения и оценить реальную нагрузку сотрудников», — продолжает Щербаков.
Также существуют дашборды, которые позволяют оценить общее «здоровье» DLP и состояние аппаратных ресурсов, на которых она работает. Это сделано для оптимизации системы и беспрерывности её работы.
Как отметил эксперт, DLP-система должна быть встроена в общую экосистему информационной безопасности — с SOC заказчика, в том числе продуктами SIEM, SOAR и другими решениями, иметь возможности по реагированию.
Не менее важна и отказоустойчивость. Кластеры управления и фильтрации позволяют минимизировать простои и обеспечить непрерывность защиты данных даже при сбоях отдельных компонентов.
Осознанный выбор модулей для DLP
Финальный тезис — осознанность. Заказчики всё чаще отказываются от избыточных функций, которые отражаются в презентациях, но не используются в реальности.
«Часто вендор хочет показать себя с лучшей стороны, добавляя слишком много дополнительных модулей. Но в реальности заказчик может ими просто не пользоваться.
Так бывает, что при выборе DLP-системы заказчик может хотеть абсолютно широкий набор каких-либо перехватов даже тех протоколов, которые давно устарели. К примеру, мы сталкиваемся с тем, что подразделение защиты данных хочет контролировать протокол FTP. Потом оказывается, что на уровне организации он запрещён и не применяется.
Формирование избыточных требований может приводить к увеличению стоимости DLP-системы. Мы советуем подходить к определению требований к системе защиты информации с четким пониманием задач, которые она должна решать».
Чем продукты «Гарды» привлекательны для заказчиков?
Эксперт отмечает — большинство российских DLP были выпущены 10-15 лет назад и предложить новые решения для клиента сложно. Сейчас вендоры стараются снизить нагрузку на ресурсы заказчика, повысить надёжность, скорость обработки и стабильность работы системы.
Компания «Гарда» предлагает простую в настройке и эксплуатации DLP. Модуль качественно работает со звуковыми перехватами и распознаёт конфиденциальную информацию на записях с микрофона, что особенно важно в условиях, когда утечки всё чаще происходят через мессенджеры.
Использование полного геокластера, который позволяет делать локальные инсталляции и объединять их в единую централизованную DLP-платформу — ещё одно преимущество решений от «Гарды».
«Сейчас DLP всё больше развиваются в направлении предотвращения утечек. Модуль должен уже не просто мониторить информацию, а уметь своевременно её блокировать. Новый запрос к системам — маркировать, обезличивать, шифровать данные, чтобы даже если произошла утечка, то она не была доступна для злоумышленников.
Важный тренд — развитие платформенной системы, которая умеет защищать данные на абсолютно разных уровнях инфраструктуры — на уровне баз данных, на уровне пользовательских рабочих станций и различных информационных систем. Комплексный подход защиты от утечек сейчас определяет конкурентность DLP. На текущий момент такие решения доступны не у всех вендоров», — резюмирует Андрей Щербаков.
* Мультитенантные (мультиарендные) системы — это архитектура программного обеспечения, в которой один экземпляр приложения обслуживает несколько клиентов (тенантов). Вместо того чтобы иметь отдельный экземпляр приложения для каждого клиента, все они используют общий ресурс, разделяя данные и функциональность.
■ Рекламаerid:2W5zFJt6YmPРекламодатель: ООО «Гарда Технологии»ИНН/ОГРН: ИНН 5260443081 / ОГРН 1175275040346Сайт: https://garda.ai
Поделиться
Короткая ссылка
