Без права на утечку: обзор 10 российских DLP-систем

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.063
Репутация
11.695
Реакции
61.872
RUB
50
Современный бизнес оперирует огромным количеством чувствительных данных, которые могут представлять интерес для злоумышленников. Пресечь действия последних позволяют решения класса Data Leak Prevention (DLP), обеспечивающие контроль и анализ информационных потоков предприятия, а также защиту и предотвращение утечек конфиденциальных сведений.

Об актуальности DLP-систем свидетельствуют аналитические исследования экспертов в сфере информационной безопасности. Так, согласно «Солар», только за прошедший год в публичный доступ попали данные 420 российских организаций. Это означает, что каждый день в России происходила как минимум одна утечка данных. При этом общий объём раскрытых данных превысил 100 Тбайт.

Чаще всего под прицел киберпреступников попадали предприятия из IT-отрасли, сферы услуг, ретейла и финансов. Основная масса инцидентов пришлась на утечки внутренней документации компаний и различного рода структурированной информации — баз данных клиентов, сотрудников, пользователей веб-сайтов и сервисов.


Распределение утечек по отраслям (по данным центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» за 2023 год)

Непростую ситуацию с утечками данных в РФ экспертно-аналитический центр InfoWatch, зафиксировавший в 2023 году не только резкий рост количества утёкших персональных данных (1,12 млрд скомпрометированных записей, что почти на 60 % выше уровня 2022 года), но и смещение вектора атак киберпреступников в сторону предприятий малого бизнеса, не имеющих достаточных материальных, финансовых и организационных ресурсов для поддержания безопасности корпоративной IT-инфраструктуры.

Более того, всё чаще в атаках на отечественные компании стали принимать участие хактивисты — злоумышленники, которыми движет не жажда наживы, а стремление скомпрометировать как можно больше данных по политическим мотивам. Такое положение дел подчёркивает серьёзность трудностей, с которыми сталкиваются российские организации, и важность защиты информационных активов, обеспечить которую способны системы предотвращения утечек данных (Data Leak Prevention, DLP). При этом надо понимать, что DLP — это лишь один из рубежей IT-обороны.

Принцип работы DLP-систем заключается в постоянном мониторинге перемещения корпоративных данных, анализе их содержимого и блокировке файлов с конфиденциальными сведениями в соответствии с заданными политиками.

Программные комплексы такого рода позволяют контролировать всевозможные каналы передачи данных, коммуникации сотрудников и выполняемые ими действия на рабочих местах. При этом на карандаш берутся все информационные потоки — как циркулирующие внутри корпоративной сети, так и выходящие за её периметр. Такой подход позволяет предотвращать утечки данных вследствие халатности сотрудников или злонамеренных действий инсайдеров, а также проводить расследование инцидентов.

Ниже перечислены некоторые известные DLP-решения отечественных разработчиков, дано описание ключевых функций, а также указаны стоимость и наличие демо-версии. Все эти решения отвечают современным корпоративным стандартам, зарегистрированы в реестре российского программного обеспечения и подходят для задач импортозамещения.


InfoWatch Traffic Monitor

  • Разработчик: InfoWatch
  • Сайт продукта:
Визитной карточкой программного комплекса являются запатентованные технологии контентного анализа и обработки больших объёмов данных с помощью искусственного интеллекта (ИИ). InfoWatch Traffic Monitor автоматически классифицирует информационные потоки компании, раскладывая их по полочкам — категориям и терминам, на основе которых производится гибкая настройка политик безопасности. Поддерживается возможность как использования готовых баз контентной фильтрации, оптимизированных под конкретную отрасль, так и создания собственных.

DLP-система умеет детектировать персональные данные (например, паспортные сведения, адреса электронной почты, номера телефонов и т.д.), финансовую информацию (ОГРН, БИК, номера кредитных карт, банковских счетов и т.д.), а также внутренние документы, содержащие формализованные данные и созданные по определённому шаблону (договоры, заполненные бланки, чертежи и т.д.). Поддерживаются технологии оптического распознавания символов (OCR), контроль процессов печати и сканирования документов, мониторинг использования сотрудниками съёмных накопителей и копирования файлов с рабочих станций посредством Bluetooth.


InfoWatch Traffic Monitor

Список контролируемых InfoWatch Traffic Monitor каналов передачи данных довольно внушителен — от электронной почты, мессенджеров, облачных хранилищ, онлайн-сервисов, USB-устройств, сканеров, принтеров и МФУ до рабочих станций Windows и серверов Linux (поддержка macOS не заявлена). Благодаря модулю Device Monitor возможен мониторинг мобильных устройств на базе Android и iOS. Также реализована поддержка терминальных сред и тонких клиентов Citrix XenApp и Microsoft RDP. Для заказчиков, предъявляющих особые требования к обеспечению безопасности корпоративной IT-инфраструктуры, предусмотрены версии DLP-системы, сертифицированные по требованиям ФСТЭК и Минобороны России.
  • Стоимость. Не указана. Предоставляется по запросу.
  • Наличие демо-версии. Доступ к оценочной версии InfoWatch Traffic Monitor предоставляется по запросу.

LanAgent Enterprise DLP

  • Разработчик: «Нетворк Профи»
  • Сайт продукта:
Оповещает о нарушениях заданных правил безопасности и подозрительных действиях пользователей в корпоративной сети. Умеет перехватывать сообщения и анализировать переписку сотрудников в мессенджерах Viber, WhatsApp, Telegram, Jabber, социальных сетях, приложении Skype и по электронной почте. Продукт оснащён инструментами поиска нарушений политик безопасности при обмене документами, разграничения доступа к файлам, USB-накопителям и сетевым ресурсам, а также средствами предотвращения копирования защищаемой информации в буфер обмена ОС и её отправки на печать.

Предусмотрен «Режим конфиденциального документа» — можно задать каталог, информация в котором считается конфиденциальной. Внутри этого каталога пользователи могут работать с документами, но их невозможно переместить за пределы защищаемой директории, в том числе нельзя выгрузить на почту или файлообменник.


По набору функций LanAgent Enterprise DLP относится скорее к инструментам пассивного, нежели активного контроля за утечками данных

LanAgent Enterprise DLP лишён поддержки технологий OCR, а значит, не способен фиксировать инциденты с передачей конфиденциальных данных в графических файлах. Также ничего не сообщается об инструментах блокирования чувствительной информации в используемых сотрудниками средствах коммуникации — доступны только оповещения о нарушениях. Что касается агентских модулей, то их можно установить на рабочие станции с Windows любых версий (включая устаревшие XP/Vista/7/8/8.1) и Linux.
  • Стоимость. От 2990 руб. за бессрочную лицензию на одно рабочее место (зависит от количества защищаемых компьютеров). Для крупных организаций с парком более чем 500 машин цена рассчитывается индивидуально.
  • Наличие демо-версии. Доступ к ознакомительной версии продукта осуществляется по запросу.

SecureTower

  • Разработчик: «Фалконгейз»
  • Сайт продукта:
Мониторинг максимального числа коммуникационных каналов, будь то электронная почта, мессенджеры, социальные сети, веб-активность, облачные и сетевые хранилища, сетевые и локальные принтеры, IP-телефония, USB-устройства, буфер обмена. Поддерживается анализ текстовых файлов и отправляемого текста (с учётом морфологических особенностей языка), изображений, голосовых сообщений и звонков.

При этом блокировка чувствительных данных может осуществляться по меткам, цифровым отпечаткам, поисковым словарям, регулярным выражениям и при создании скриншотов. После анализа перехваченных данных, если есть нарушение правил безопасности, система автоматически уведомляет ИБ-службы об инциденте и блокирует движение данных.


Компоненты SecureTower

SecureTower контролирует и запоминает все действия на компьютерах сотрудников, ведёт архив бизнес-коммуникаций на случай умышленного удаления важной информации и посредством встроенного в систему модуля анализа рисков User Behavior Analytics (UBA) отслеживает аномальные и потенциально опасные для организации изменения в поведении персонала. Поддерживается мониторинг рабочих станций под управлением Windows, Linux, macOS.

При расследовании инцидентов в SecureTower формируются дела, в которых можно фиксировать ход расследований, определять фигурантов дела, а после завершения расследования сделать отчёт для руководителей. Собранные данные могут быть использованы в суде в качестве доказательной базы. Безопасность и надёжность DLP-системы подтверждена сертификатом ФСТЭК России.
  • Стоимость. Не указана. Предоставляется по запросу.
  • Наличие демо-версии. По запросу разработчиком предлагается полнофункциональная версия системы с 30-дневным оценочным периодом.

Solar Dozor

  • Разработчик: «Солар»
  • Сайт продукта:
Контроль любых каналов передачи данных, наличие агентских модулей для Windows/Linux/macOS, возможность перехвата критичных данных по цифровым отпечаткам, идентификаторам, графическим шаблонам и анализу поведения пользователей (UBA). Благодаря поддержке превентивных мер защиты Solar Dozor обеспечивает блокирование утечек в режиме реального времени.

Также разработчиком отмечаются такие функции, как ведение архива коммуникаций, составление досье на сотрудников, запись рабочего стола и звука с микрофона для сбора доказательной базы, построение карты корпоративной сети, мониторинг локальных и облачных хранилищ, рефильтрация почтовых архивов в целях выявления пропущенных ранее утечек, использование средств лингвистического анализа данных и нейросетей для обработки графических файлов. Отдельный акцент делается на возможности работы Solar Dozor в составе инфраструктуры виртуальных рабочих мест (VDI).


Принцип работы Solar Dozor

По заверениям разработчика, Solar Dozor поддерживает работу в геораспределённом режиме и способен удовлетворить потребности организации любого масштаба. Отдельные инсталляции программного комплекса в филиалах могут объединяться в общую DLP-систему с помощью модуля MultiDozor. Таким образом можно совместить работу служб ИБ в филиалах и общий контроль над безопасностью из штаб-квартиры. Доступно централизованное управление агентами, анализом поведения пользователей, сканированием локальных и облачных хранилищ. Отсутствие в продукте уязвимостей и недекларированных возможностей подтверждено сертификатом ФСТЭК России.
  • Стоимость. Не указана. Предоставляется по запросу.
  • Наличие демо-версии. Сведения о доступности ознакомительной сборки Solar Dozor отсутствуют.

Staffcop Enterprise

  • Разработчик: «Атом безопасность»
  • Сайт продукта:
Мониторинг пользовательской активности на рабочих местах и подключаемого к компьютерам оборудования; перехват SIP-телефонии, сетевой активности приложений, отправляемых на печать и в облачные сервисы документов, терминальных Linux-сессий, сообщений и вложений, пересылаемых посредством электронной почты и мессенджеров; блокировка действий пользователей с файлами на основе заданных правил, контента и встроенных в файлы меток, передачи информации посредством буфера обмена, доступа к веб-ресурсам на основе белых-чёрных списков, а также носителей информации при превышении объёма передаваемых данных.


Архитектура Staffcop Enterprise

Staffcop Enterprise поддерживает распознавание графических файлов (ОCR), полнотекстовый поиск с учётом морфологии, регистра, регулярных выражений и количественных совпадений, запись фото и видео с веб-камеры компьютера с возможностью распознавания лиц сотрудников, транскрибирование (расшифровку) перехваченных аудиозаписей. Предусмотрены возможности контроля привилегированных пользователей и использования кластерной архитектуры. Агентские модули представлены в редакциях для Windows, Linux и macOS. Доступна сертифицированная ФСТЭК России версия Staffcop Enterprise.
  • Стоимость. Не указана. Предоставляется по запросу.
  • Наличие демо-версии. По запросу предоставляется 15-дневная полнофункциональная версия DLP-системы на 5 агентов.

Zecurion DLP

Разработчик: Zecurion
Сайт продукта:

Контроль более 50 каналов передачи данных и около 450 поддерживаемых форматов файлов, автоматическая обработка событий с выявлением опасных инцидентов, возможность объединения событий в цепочки и выявления нарушителей, архивирование всех действий персонала, работа в сетях различного масштаба (до 200 тыс. активных сотрудников).

Важной особенностью Zecurion DLP является возможность предотвращения утечек в режиме реального времени не только по ограниченному набору каналов и технологий анализа, но и по всему перечню поддерживаемых методов детектирования. При этом блокировка, как заверяет разработчик, происходит практически мгновенно, а в случае особо важных сотрудников и данных можно настроить режим карантина — отправку данных на ручную проверку службой безопасности.


Пользовательский интерфейс Zecurion DLP

В активе Zecurion DLP также представлены Screen Photo Detector для защиты от утечек через фотографирование экрана на смартфон, Staff Control для контроля рабочего времени сотрудников, IRP-модуль для внутреннего расследования инцидентов и управления ИБ-отделом компании, Risk Score для риск-менеджмента в информационной безопасности. Поддерживаются Windows и Linux. Имеется сертификат ФСТЭК России.
  • Стоимость. Не указана. Предоставляется по запросу.
  • Наличие демо-версии. Предоставляется по запросу.

«Гарда предприятие»

  • Разработчик: «Гарда технологии»
  • Сайт продукта:
Контроль всех основных каналов коммуникаций на рабочих местах (Windows, Linux, macOS) и в сети организации: съёмных носителей, печати, веб-трафика (сайты, социальные сети), мессенджеров (Skype for Business, Viber, Telegram и т. д.), телефонии (VoIP, SIP, SDP, H.323, MGCP, SKINNY, Megaco/H.248), облачных и локальных хранилищ, корпоративной почты (SMTP, POP3, IMAP, MAPI) и внешних почтовых сервисов.

Поддерживаются перехват клавиатурного ввода, чертежей (AutoCAD, SolidWorks, «Компас»), сканов и фотографий документов (паспорт РФ, водительское удостоверение, банковская карта и т. д.), а также документов с печатями. Блокировка недопустимых действий осуществляется автоматически в соответствии с настроенными политиками безопасности.


Архитектура DLP-системы «Гарда предприятие»

Встроенные в «Гарда предприятие» средства ретроспективного анализа позволяют выявлять действия персонала, предшествовавшие инциденту, находить взаимосвязи между сотрудниками и выстраивать маршруты распространения информации от первой коммуникации до момента передачи за пределы организации. Программный комплекс может применяться в территориально-распределённых компаниях и холдинговых структурах с развитой филиальной сетью.
  • Стоимость. Не указана. Предоставляется по запросу.
  • Наличие демо-версии. Возможно пилотное внедрение системы DLP с бесплатным тестированием.

«Кибер Протего»

  • Разработчик: «Киберпротект»
  • Сайт продукта:
Контроль устройств под управлением Windows, Linux, macOS и виртуальных рабочих столов на базе VDI-платформ Microsoft, Citrix Systems, VMware, Oracle с возможностью фильтрации данных в режиме реального времени.

Поддерживаются детальное протоколирование, теневое копирование и различные технологии анализа содержимого: поиск по ключевым словам с применением морфологического анализа, по комплексным шаблонам регулярных выражений, проверка расширенных свойств документов и файлов, сигнатур типов файлов, анализ по цифровым отпечаткам с поддержкой классификации образцов Встроенный модуль OCR делает возможным извлечение текста из изображений и его анализ.


Консоль управления «Кибер Протего»

Модуль мониторинга действий пользователей (User Activity Monitor, UAM) позволяет расширить доказательную базу при расследовании инцидентов информационной безопасности, а также упростить процессы выявления подозрительного поведения пользователей. DLP-система «Кибер Протего» обеспечивает возможность видеозаписи экрана и записи нажатий клавиш, а также протоколирование сведений о запущенных процессах и приложениях. При этом фиксация включается по заданным событиям, причём с записью как до, так и после наступления определённого события. Так можно получить видеозапись экрана при попытке передачи конфиденциального документа, подключении внешнего накопителя и т. д.

В ситуациях, когда контролируемый компьютер находится вне корпоративной сети и связь между сервером и агентом невозможна, защищённый от вмешательства пользователя агент «Кибер Протего» обеспечивает все функции защиты, заданные в DLP-политике — от контроля доступа до контентной фильтрации, и сохраняет сгенерированные события и теневые копии до восстановления связи с сервером. Таким образом реализована работа агента вне зависимости от доступности сервера управления
  • Стоимость. Варьируется в зависимости от набора включённых в состав программного комплекса компонентов, количества поддерживаемых устройств и индексируемых документов. Сертификат на техническую поддержку ПО оплачивается отдельно.
  • Наличие демо-версии. Доступ предоставляется по запросу.

«СёрчИнформ Контур информационной безопасности (КИБ)»

  • Разработчик: «СёрчИнформ»
  • Сайт продукта:
Контроль пользовательских активностей в локальной сети, интернете, мессенджерах, почтовых клиентах, облачных сервисах и на рабочих местах под управлением Windows, Linux, macOS. Помимо «классических» технологий анализа перехваченных данных (морфология, словари, регулярные выражения, цифровые отпечатки, OCR) доступны детектирование текстов, близких по смыслу с эталоном, и поиск изображений, похожих на эталон, а также поиск по аудио- или видеозаписям действий сотрудников.

Поддерживаются функции сохранения перехваченной информации в архив и блокирования трафика с конфиденциальными сведениями. В продукте насчитывается свыше 250 политик безопасности, учитывающих специфику работы предприятий различных сфер деятельности. Имеется сертификат ФСТЭК России.


Принцип работы «СёрчИнформ КИБ»

«СёрчИнформ КИБ» позволяет производить аудио- и видеозапись действий пользователя, фиксировать любые действия с файлами или папками, журналами аудита, устройствами или ПО. Инструменты пристального наблюдения позволяют восстанавливать цепочки событий и устанавливать всех причастных к нарушениям. В программный комплекс также встроена возможность оценки продуктивности работы сотрудников.
  • Стоимость. Не указана. Предоставляется по запросу.
  • Наличие демо-версии. По запросу разработчиком предлагается полнофункциональная версия системы с 30-дневным оценочным периодом без ограничений по количеству контролируемых рабочих мест.

«Стахановец»

  • Разработчик: «Стахановец»
  • Сайт продукта:
Обеспечивает контроль над корпоративной информацией путём мониторинга свыше 20 каналов коммуникаций и протоколов передачи данных. Система автоматически анализирует действия сотрудников более чем по 40 параметрам и в случае обнаружения нарушений отправляет оповещение службе безопасности компании, а также блокирует передачу конфиденциальных данных.

Поддерживаются функции маркирования документов (в том числе с использованием скрытых водяных знаков), распознавания лиц, перехвата разговоров персонала и преобразования речи в текст, построения графа связей сотрудников, мониторинга их местонахождения и защиты от фотографирования экрана.


Принцип работы DLP-системы «Стахановец»

Отчёты DLP-системы «Стахановец» позволяют проводить расследование инцидентов и нарушения политик. Беспрерывное логирование сохраняет историю поведения сотрудников для формирования доказательной базы. Поддерживается работа с клиентскими устройствами под управлением Windows любых версий (включая устаревшие XP/Vista/7/8/8.1), Linux, macOS и Android. Также в активе программного комплекса имеется сертификат ФСТЭК России.
  • Стоимость. От 712 руб. за одно рабочее место. Зависит от редакции DLP-системы и условий лицензирования (3 месяца, 1 год, бессрочно)
  • Наличие демо-версии. Предоставляется по запросу.

Сводная таблица​


DLP-системаПоддерживаемые ОС на конечных точкахСертификацияДемо-версияСтоимость
InfoWatch Traffic Monitor
Windows, Linux, Android, iOSФСТЭК,
Минобороны России
естьне указана
LanAgent Enterprise DLP
Windows любых версий (включая XP/Vista/7/8/8.1),
Linux
нетестьот 2990 руб.
SecureTower
Windows, Linux, macOSФСТЭК Россииестьне указана
Solar Dozor
Windows, Linux, macOSФСТЭК Россиинетне указана
Staffcop Enterprise
Windows, Linux, macOSФСТЭК Россииестьне указана
Zecurion DLP
Windows, LinuxФСТЭК Россииестьне указана
«Гарда предприятие»
Windows, Linux, macOSнетестьне указана
«Кибер Протего»
Windows, Linux, macOSнетестьне указана
«СёрчИнформ КИБ»
Windows, Linux, macOSФСТЭК Россииестьне указана
«Стахановец»
Windows любых версий (включая XP/Vista/7/8/8.1),
Linux, macOS, Android
ФСТЭК Россииестьот 712 руб.

Заключение

Ситуация с утечками данных в России остаётся напряжённой, что подтверждается не только количеством утечек конфиденциальной информации, но и масштабом скомпрометированных данных. Такое положение дел лишний раз подчёркивает актуальность упомянутых в обзоре DLP-систем и необходимость их повсеместного использования в корпоративной среде. Все они схожи по функциональным возможностям, но есть нюансы, на которые мы постарались обратить внимание, и которые могут помочь при выборе того или иного защитного решения.

Важно понимать, что любая утечка данных чревата репутационными и финансовыми издержками для бизнеса. О серьёзности последствий свидетельствует принятый Госдумой в первом чтении закон об оборотных . Согласно обсуждаемым поправкам в Кодекс Российской Федерации об административных правонарушениях, штраф составит от 3 млн до 15 млн руб. в зависимости от размера утёкшей в сеть базы.

За повторные утечки компании могут назначить оборотный штраф от 0,1 % до 3 % выручки за календарный год или за часть текущего года, в пределах от 15 млн до 500 млн руб. Ожидается, что подобные меры по ужесточению ответственности за нарушения в сфере обработки конфиденциальных данных заставят организации усилить защиту своих информационных активов и поспособствуют улучшению ситуации в этой области.


 
  • Теги
    dlp-системы утечки данных
  • Сверху Снизу