🖥️ 6 лучших решений DLP, которые могут сэкономить вам миллионы |

Наиболее ценные активы компании также сложнее всего защитить.

Мы говорим о данных, как о важнейшем веществе, которое поддерживает нервную систему каждой компании.

К счастью, существует целая индустрия, предназначенная исключительно для того, чтобы помочь компаниям избежать потери данных.

Эта отрасль возглавляется несколькими поставщиками, которые предоставляют технологию, известную как Data Loss Prevention или DLP для краткости.

Технологии DLP выполняют две основные функции.

Определяют конфиденциальные данные, которые должны быть защищены
Предотвращают потерю таких данных

Типы данных, которые они защищают, можно разделить на три основные группы:

Данные в использовании
Данные в движении
Данные в состоянии покоя

Используемые данные относятся к активным данным, обычно данным, которые находятся в ОЗУ, кэш-памяти или регистрах ЦП.

Данные в движении относятся к данным, которые передаются через сеть, внутреннюю и защищенную сеть или незащищенную общедоступную сеть (интернет, телефонная сеть и т. д.).

И данные в состоянии покоя относятся к данным, которые находятся в неактивном состоянии, либо хранятся в базе данных, файловой системе или инфраструктуре хранения.

С точки зрения возможностей покрытия, решения DLP могут быть классифицированы на две категории.

Enterprise DLP или EDLP
Интегрированный DLP или IDLP

Решения, которые попадают в категорию EDLP, – это решения, которые охватывают весь спектр векторов утечки.

В отличие от этого, решения IDLP ориентированы на один протокол или только на один из трех ранее упомянутых видов данных.

Некоторыми примерами решений IDLP являются веб-безопасность, шифрование электронной почты и управление устройствами.

Содержание

Чего ожидать от отличного DLP-решения?
Основные подходы DLP
Архитектура DLP: как понять сложность решения
Список поставщиков DLP:
1 Digital Guardian
2 Forcepoint
3 McAfee
4 Symantec
5 RSA
6 CA Data Protection
Сохранить миллионы или заплатить миллионы?

Чего ожидать от отличного DLP-решения?

В DLP не существует единого решения для всего сразу.

Правильное решение для каждой поверхности зависит от многих факторов.

К ним относятся размер организации и бюджет, типы конфиденциальных данных, сетевая инфраструктура, технические требования и т.д.

Чтобы определить, какое решение лучше подходит для вашей компании, требуются усилия и исследования, чтобы выбрать между подходами DLP, методами обнаружения и архитектурами решений.

После изучения и анализа ваших требований ваше идеальное DLP-решение должно обеспечить оптимальный баланс этих аспектов:

Комплексное покрытие. Компоненты DLP должны покрывать сетевой шлюз, чтобы контролировать весь исходящий трафик и блокировать утечки в виде сообщений электронной почты и трафика веб / FTP. Они также должны охватывать данные по всем ресурсам хранения компании и по всем конечным точкам, чтобы предотвратить потери используемых данных.
Единая консоль управления. Для управления решением DLP требуются усилия и время, затрачиваемое на настройку / обслуживание системы, создание / управление политикой, создание отчетов, управление / сортировку инцидентов, раннее обнаружение / уменьшение рисков и корреляцию событий. Поддержка этих областей требует единой консоли управления. В противном случае вы можете ввести ненужные риски.
Управление инцидентами: когда происходит инцидент потери данных, его правильная обработка имеет решающее значение. Вы должны осознавать, что потеря данных неизбежна, но различие между дорогостоящим штрафом и пощечиной может быть выявлено в методе обработки инцидента потери данных.
Точность методов обнаружения: И последнее, но не менее важное: этот аспект решения DLP отделяет хорошие решения от плохих. Технологии DLP зависят от ограниченного набора методов обнаружения, когда приходит время для идентификации конфиденциальных данных. Сопоставление с образцом с использованием регулярных выражений является наиболее широко используемым методом обнаружения. Однако этот метод очень неточен, что приводит к длинным очередям фолс позитив. Хорошие технологии DLP должны добавить другие методы обнаружения к традиционному сопоставлению с образцом, чтобы повысить точность.

Основные подходы DLP

Когда DLP-решения начали стремительно развиваться, все поставщики обратились к DLP с набором компонентов, предназначенных для покрытия инфраструктуры компании.

В настоящее время ситуация изменилась, и не все поставщики используют один и тот же подход.

Эти подходы делятся на две основные категории.

Традиционный DLP
Агент DLP

Традиционный DLP предлагается некоторыми поставщиками на рынке, такими как Forcepoint, McAfee и Symantec.

Традиционный подход, предлагаемый этими поставщиками, также является многосторонним: он обеспечивает покрытие на сетевом шлюзе, в инфраструктуре хранения, на конечных точках и в облаке.

Этот подход был достаточно успешным, чтобы отобразить сегодняшний рынок DLP, и был первым, кто захватил важную долю рынка.

Второй подход к DLP называется Agent DLP или ADLP.

Он использует агенты конечных точек уровня ядра, которые контролируют всю пользовательскую и системную активность.

Вот почему решения, которые вписываются в этот подход, также известны как решения Endpoint DLP.

Нелегко определить, какой подход лучше всего подходит для потребностей организации.

Это сильно зависит от типов данных, которые необходимо защитить, отрасли, в которой работает организация, и причин защиты данных.

Например, организации в сфере здравоохранения и финансов вынуждены использовать DLP для соответствия нормативным требованиям.

Для этих компаний решение DLP должно обнаруживать личную и медицинскую информацию по разным каналам и во многих различных формах.

С другой стороны, если компании требуется DLP для защиты интеллектуальной собственности, для применения решения DLP потребуются более специализированные методы обнаружения.

Кроме того, точное обнаружение и защита конфиденциальных данных гораздо труднее достичь.

Не каждое традиционное DLP-решение предоставит подходящие инструменты для этой работы.

Архитектура DLP: как понять сложность решения

Технологии DLP являются сложными.

Они требуют информации из разных областей: сети, электронной почты, баз данных, сетей, безопасности, инфраструктуры, хранилища и т. д.

Кроме того, влияние решения DLP может охватывать не связанные с ИТ области, такие как правовые вопросы, управление персоналом, управление рисками и т. д.

К тому же, решения DLP обычно очень сложны в развертывании, настройке и управлении.

Традиционные решения DLP еще больше усложняют ситуацию.

Им требуется несколько устройств и программного обеспечения для запуска полнофункционального решения.

Они могут включать в себя устройства (виртуальные или реальные) и серверы.

Сетевая архитектура организации должна интегрировать эти устройства, и эта интеграция должна включать проверку исходящего сетевого трафика, блокировку электронной почты и т. д.

Как только интеграция завершена, возникает другой уровень сложности управления, который зависит от каждого поставщика.

Решения Agent DLP обычно менее сложные, чем традиционные, в основном потому, что они практически не требуют сетевой интеграции или вообще не требуют ее.

Однако эти решения взаимодействуют с ОС на уровне ядра.

Поэтому расширенная настройка также необходима, чтобы избежать конфликта с ОС и другими приложениями.

Список поставщиков DLP:

1 Digital Guardian

Digital Guardian появились в 2003 году с целью предоставления технологий для предотвращения кражи интеллектуальной собственности.

Их первым продуктом был агент конечной точки, способный контролировать всю активность пользователей и системы.

Помимо мониторинга незаконных действий, решение также регистрирует явно общие действия, чтобы обнаружить подозрительное поведение.

Их отчет может быть проанализирован, чтобы обнаружить события, которые решения TDLP не в состоянии захватить.

DG приобрела Code Green Networks, чтобы дополнить свое решение ADLP традиционными инструментами DLP.

Тем не менее, существует небольшая интеграция между решениями DLP ADLP и TDLP.

Они даже продаются отдельно.

2 Forcepoint

Forcepoint находится в привилегированном положении в «магическом квадранте» Gartner от поставщиков TDLP.

Платформа безопасности включает в себя набор продуктов для фильтрации URL-адресов, электронной почты и веб-безопасности.

Эти инструменты дополняются некоторыми известными сторонними решениями: технология SureView Insider Threat, McAfee Stonesoft NGFW и Imperva Skyfence CASB.

Архитектура решения Forcepoint проста по сравнению с другими решениями.

Она включает в себя серверы для управления, мониторинга данных и сетевого трафика, а также блокировки электронной почты / веб-трафика.

Решение удобно для пользователя и включает в себя множество политик, классифицированных по странам, отраслям и т. д.

Некоторые функции делают решение Forcepoint DLP уникальным.

Например, возможность распознавания текста для обнаружения конфиденциальных данных в файлах изображений.

Или ранжирование инцидентов, чтобы системные администраторы могли видеть, какие инциденты должны быть рассмотрены в первую очередь.

3 McAfee

С момента своего приобретения Intel, McAfee не вкладывала слишком много в свое решениее DLP.

Таким образом, продукты не имели множества обновлений, но и не уступали конкурирующим продуктам DLP.

Несколько лет спустя Intel выделила свое подразделение по безопасности, и McAfee снова стала автономной компанией.

После этого линейка продуктов DLP получила необходимые обновления.

Решение McAfee DLP состоит из трех основных частей, охватывающих:

сеть
исследование
конечные точки

Их компонент довольно уникален среди других предложений DLP: McAfee DLP Monitor.

Этот компонент позволяет собирать данные об инцидентах, вызванных нарушениями политики, вместе со всем сетевым трафиком.

Таким образом, компонент позволяет просматривать большинство данных и может обнаруживать инциденты, которые в противном случае могли бы остаться незамеченными.

EPolicy Orchestrator от McAfee отвечает за большую часть управления решением DLP.

Но есть все еще некоторые управленческие задачи, которые должны быть выполнены вне Orchestrator.

Компания по-прежнему должна полностью интегрировать свое DLP-предложение.

Пока неизвестно, будет ли это сделано в будущем.

4 Symantec

Symantec является бесспорным лидером в области DLP-решений, благодаря постоянным инновациям, которые они применяют к своему портфелю продуктов.

Компания имеет самую большую базу среди всех поставщиков DLP.

Решение имеет модульный подход с различными программными компонентоми, необходимыми для каждой функции.

Список компонентов довольно внушителен, включая предотвращение утечки в сети для Интернета, предотвращение утечки в для электронной почты, сетевой монитор, предотвращение утечки в конечной точке, анализ данных, обнаружение конечной точки и т. д.

В частности, уникальный компонент Data Insight обеспечивает видимость использования неструктурированных данных, права собственности и права доступа.

Это преимущество позволяет ему конкурировать с продуктами за пределами DLP-арены, обеспечивая дополнительную ценность для организаций, которые могут использовать эту возможность.

DLP Symantec может быть настроен различными способами.

Почти каждая функция имеет свои конфигурации, обеспечивая высокий уровень настройки политик.

Однако это преимущество достигается за счет большей сложности продукта.

Это, вероятно, самый сложный вариант на рынке, и может потребоваться множество времени для развертывания и поддержки.

5 RSA

Решение EMC DLP RSA Data Loss Prevention позволяет обнаруживать и контролировать поток конфиденциальных данных, таких как корпоративные IP-адреса, кредитные карты клиентов и т. д.

Решение помогает обучить конечных пользователей и обеспечить контроль за электронной почтой, Интернетом, телефонами и т. д., снизить риски компрометации критически важных данных.

RSA Data Loss Prevention выделяет себя от других решений, обеспечивая всестороннее покрытие, интеграцию платформы и автоматизацию рабочих процессов.

Решение предлагает сочетание классификации контента, снятия цифровых отпечатков, анализа метаданных и экспертных политик для выявления конфиденциальной информации с оптимальной точностью.

Обширный охват EMC включает множество векторов риска.

Под контролем не только самая распространенная электронная почта, Интернет и FTP, но также социальные сети, USB-устройства, SharePoint и многие другие векторы утечки.

Его подход, ориентированный на обучение пользователей, направлен на то, чтобы повысить осведомленность о рисках среди конечных пользователей, определяя их поведение при работе с конфиденциальными данными.

6 CA Data Protection

CA Data Protection (предложение Broadcom DLP) добавляет четвертый класс данных – помимо используемых данных, данных в движении и в состоянии покоя – которые необходимо защищать: on-access.

Основное внимание уделяется тому, где находятся данные, как они обрабатываются и каков уровень их чувствительности.

Решение стремится уменьшить потерю и злоупотребление данными, контролируя не только информацию, но и доступ к ней.

Это решение обещает сетевым администраторам снизить риск для их наиболее важных активов, контролировать информацию в разных местах предприятия, смягчать рискованные способы связи и обеспечивать соответствие нормативным и корпоративным политикам.

Решение также создает основу для перехода к облачным сервисам.

Сохранить миллионы или заплатить миллионы?

Лучшее решение DLP действительно может сэкономить вам миллионы.

Но также верно и то, что решение может стоить вам миллионы, если вы не выберете правильный вариант для своих нужд или если вы не используете его правильно.

Если вы думали, что выбор правильного DLP-решения – это всего лишь просмотр таблицы сравнения функций, вы ошиблись.

Поэтому будьте готовы приложить немало усилий не только для того, чтобы решение DLP заработало после его приобретения, но и для анализа всех предложений и выбора того, который лучше подходит вашей организации.