Согласно наблюдениям российских ИТ-специалистов, работающих в области информационной безопасности (ИБ), финансовый кризис заставляет компании сокращать расходы на ИТ. В то же время бюджет обеспечения ИБ они оставляют прежним или даже увеличивают его, объясняя это обострением конкуренции и активизацией связанных с нею кибердиверсий и экономического шпионажа. Бизнесмены не хотят утечек конфиденциальной информации или раскрытия ноу-хау, а потому вынуждены защищать свой бизнес, наращивая возможности ИБ.
При этом организацию защиты от внешних угроз компании (как зарубежные, так и российские) оценивают как гораздо более зрелую и надежную по сравнению с защитой от угроз внутренних. Последние, по оценкам иностранных экспертов, беспокоят специалистов по безопасности вчетверо больше, чем внешние. По результатам исследования Symantec за последние 12 месяцев более половины из 800 опрошенных специалистов по ИБ столкнулись в своих фирмах по меньшей мере с одной утечкой информации.
В поисках защиты от подобных неприятностей компании все чаще обращаются к новой технологии — защите от утраты данных (Data Loss Prevention, DLP; ввиду новизны технологии ее название еще не устоялось, и сегодня по отношению к ней используют и другие названия). Эта технология начинает распространяться и в нашей стране. Кирилл Керценбаум, системный инженер из московского офиса корпорации Symantec, отметил, что количество запросов в офис на DLP-решение только за сентябрь — октябрь возросло примерно вдвое.
Дополнительным стимулом для продвижения этой технологии в нашей стране (кроме указанного выше) является возможность организации на ее основе системы обеспечения соответствия требованиям к ИБ, зафиксированным в стандартах и законах, в частности во вступающем в полную силу с 1 января 2010 г. законе “О персональных данных”.
Недавно Symantec анонсировала в России версию 8.1 системы Symantec DLP. Суть защиты данных с помощью этой системы заключается в том, что любое несанкционированное действие с ними либо только протоколируется, либо протоколируется и прерывается (в зависимости от принятых в компании правил ИБ и установленного функционала решения). Решение допускает формирование правил ИБ на основе IP-адресов, имен компьютеров в сети, записей в службах каталогов. Разработчик подчеркивает прозрачность и гибкость масштабирования системы.
Джон Стюарт, технический специалист по технологии DLP в Symantec, подчеркнул, что Symantec DLP защищает корпоративную информацию, передаваемую по широкому спектру протоколов во всем стеке TCP/IP, даже если пользователь работает вне корпоративной сети и пытается без соответствующей на то санкции скопировать данные на устройства USB или на CD/DVD, отредактировать, распечатать или передать документ по факсу. Функции управления доступом позволяют реализовать использование данных на основе бизнес-ролей, а управление инцидентами регистрирует все операции с конфиденциальной информацией, устанавливает авторство операций с нею, при необходимости запрещает работу с конфиденциальными документами (в том числе и администраторам системы).
Аналитики сообщают, что 53% утечек данных связаны с неправильной организацией бизнес-процессов, 46% — с халатностью персонала и 1% — со злым умыслом. Поэтому, как сообщил Джон Стюарт, работа с клиентами по развертыванию DLP-системы начинается с аудита, нацеленного на выявление конфиденциальной информации и оценку рисков, связанных с ее утратой, на коррекцию бизнес-процессов, угрожающих сохранению конфиденциальности корпоративных данных. Продвигая решение DLP, Symantec в первую очередь адресуется к бизнес-руководству, а ключевой фигурой при внедрении системы в компании обычно является директор по ИБ.
Решение Symantec DLP состоит из трех компонентов. Главный — платформа управления, объединяющая базу данных системы и веб-интерфейс управления. Вторым компонентом являются агенты, с помощью которых контролируется сетевой корпоративный трафик и работа конечных сетевых точек.
Третий компонент решения позволяет контролировать любые узлы (в терминологии разработчика они называются Storages), в которых хранятся и обрабатываются данные (почтовые серверы, серверы поддержки совместной работы, локальные веб-серверы, базы данных и т. п.), на безагентской основе (альтернатива варианту с применением агентов).
Пользовательские средства доступа к корпоративной сети (в терминологии разработчика они называются End Points, конечные точки сети — это рабочие станции, ноутбуки, смартфоны и т. п.) подключаются к системе DLP только через устанавливаемые на них агенты.
Защита пользовательских устройств (End Points), сетевого трафика и узлов с данными (Storages) обеспечивается, как подчеркнул Кирилл Керценбаум, самостоятельными функциональными компонентами Symantec DLP, которые могут приобретаться и внедряться раздельно.
Представители Symantec подчеркивают, что решение DLP не имеет жесткой привязки к моделям серверов, на которые оно может быть установлено. В руководстве по установке Symantec DLP указаны только минимальные требования к производительности процессоров, объему ОЗУ, сетевым картам и ОС (сегодня это Windows и Linux; ведется помодульная сертификация для VMware ESX.
Представители Symantec поделились планами интеграции Symantec DLP с другими продуктами корпорации. Так, предполагается, что в версии 9.0, которая выходит в начале 2009 г., Symantec DLP станет одним из первых продуктов корпорации, интегрированных с Symantec Management Console — системой централизованного управления средствами защиты информации Symantec, под которую в течение двух-трёх лет компания собирается интегрировать все свои продукты.