DLP: методы обнаружения защищаемых данных - краеугольный камень системы

Механизм, который используется в конкретном DLP-решении для установления фактов нарушения политики ИБ предприятия, должен привлечь пристальное внимание при ее выборе. Сегодня существует несколько принципов, на которых построены DLP-решения.
Наименее эффективным считается «метод меток». То есть конфиденциальные документы просто маркируются, после чего попытки передачи такого документа за пределы сети блокируются. Метод прост, но эффективен только при наивной попытке кражи важных данных. Сколько-нибудь квалифицированным злоумышленником не составит труда обойти DLP-решение, использующее этот принцип перехвата данных.
Несколько лучше метод «цифровых отпечатков», которые снимаются с конфиденциальных документов. Однако и в случае использования этой технологии злоумышленнику будет достаточно несколько изменить текст конфиденциального документа, и система в большинстве случаев не зарегистрирует нарушения при его передаче за пределы предприятия.
Одним из лучших принципов выявления нарушений политики ИБ является так называемый «поиск похожих». Этот метод осуществляет логический анализ документов и обнаруживает конфиденциальные документы, даже если каждое слово в них было заменено синонимом. Метод позволяет искать в огромных массивах данных; такая система к тому же является лингвистически независимой, и может применяться для поиска по документам, написанным на любом языке. «Поиск похожих» имеет еще одно преимущество сотрудник, отвечающий за ИБ, легко сможет настроить поисковую машину и этот процесс не потребует привлечения специалистов компании-разработчика.
Кроме надежности при поиске конфиденциальных документов этот метод хорош еще и малым количеством ложных срабатываний, что позволяет сократить количество специалистов по безопасности необходимых для управления решениями на основе этого метода.