Security Lab

От DLP 1.0 к DLP 3.0

От DLP 1.0 к DLP 3.0
В международной практике с недавних пор используется термин "DLP 3.0". Его активно продвигает компания Verdasys  (один из лидеров Gartner Magic Quadrant 2013 for Content-Aware Data Loss Prevention). Знать и понимать его полезно и нам в России, хотя развитие наши систем DLP идет по другому пути...

Суть идеи проста:
  • DLP 1.0 - Фокус на compliance (выполнение требований). Здесь идет ориентир на выявление мест хранения (функция DLP Discovery) и фактов передачи в открытом виде  персональных данных (PII - Personally identifiable information), информации о здоровье (PHI - Protected health information) и данных платежных карт (PCI - Payment Card Information), а также хранение информации по выявленным инцидентам.Основными движущими силам являются требования HIPPA, GLBA, PCI DSS.  Обратите внимание, что системы DLP данного поколения могут состоять всего из одного модуля - DLP  Network (анализ информации, передаваемой по сети), наличие модуля DLP Discovery (сканирование серверов и рабочих станций на предмет наличия защищаемой информации) является преимуществом, а модуль DLP Endpoint (контроль рабочих станций) для целей соответствия требованиям не нужен. 
  • DLP 2.0 - Фокус на защиту от инсайдеров. При этом под защитой оказываются еще и другие конфиденциальные сведения (объекты интеллектуальной собственности, коммерческая тайна и другие виды тайн), помимо PII, PHI, PCI. Системы DLP этого поколения должны мониторить и контролировать различные каналы передачи информации (особенно со стороны конечных рабочих станций, Endpoint). Особо продвинутые системы могут мониторить и контролировать передачу и хранение информации на мобильных устройствах и в "облачных" хранилищах. Ну, а самые передовые системы ориентируются уже на анализ поведения пользователей (behavior analyzer). 
  • DLP 3.0 - Фокус на защитe от кибер атак. Здесь, помимо защиты от угроз со стороны инсайдеров, добавляются функционал и идея защиты конфиденциальной информации от внешних атак. Не важно, каким образом информация "утекла" из организации, важен сам факт ее разглашения/потери/кражи.

Ну, а для России я бы предложил немного изменить суть и формулировки, а также ориентироваться не на каком-то конкретном техническом решении, а подходе. Итак:
  • Защита информации от утечки 1.0 - защита от утечки по техническим каналам. именно так понимали российские специалисты термин "утечка" еще буквально лет 5-7  назад.
  • Защита информации от утечки 2.0 - защита от инсайдеров, умышленные и неумышленные утечки информации. Обратите внимание, что в данном случае у инсайдеров обычно бывает легальный доступ к информации.
  • Защита информации от утечки 3.0 - защита конфиденциальности информации. Не важно каким образом информация была разглашена или украдена, это могли сделать сотрудники организации или внешние лица, а также вредоносное программное обеспечение.
Подход к защите информации от утечки 3.0 должен строиться комплексно и системно. Но об этом я напишу уже как-нибудь в другой раз...

Как Вам такой подход? Насколько он удобен и показателен?



P.S. Еще можно посмотреть:

Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!

Andrey Prozorov

Информационная безопасность в России и мире