Byte/RE ИТ-издание

Комплексный подход и интеграция систем DLP

Чигвинцев Александр, менеджер по работе с ключевыми заказчиками компании RSA (подразделение информационной безопасности корпорации EMC).

Повышенный интерес заказчиков к системам по предотвращению утечек конфиденциальных данных DLP (Data Loss Prevention) сохраняется на протяжении последних нескольких лет. В первую очередь это обусловлено не прекращающейся ни на неделю чередой сообщений в СМИ об очередном инциденте, связанном с компрометацией корпоративных конфиденциальных данных. Как показывает статистика (по крайней мере, западная), подавляющее большинство подобного рода происшествий происходит из-за непреднамеренного нарушения пользователями принятых в организации правил работы с конфиденциальной информацией. При этом стоит сразу отметить, что ни одна из имеющихся на рынке DLP систем сама по себе не обеспечивает защиту от высококвалифицированных злоумышленников. Здесь, как обычно, требуется комплексный подход и интеграция DLP с другими системами информационной безопасности. Именно по этому пути идет сейчас компания RSA (подразделении информационной безопасности корпорации EMC) развивая тесное технологическое сотрудничество c ведущими ИТ-вендорами.

В настоящее время RSA DLP, по всей видимости, является единственной DLP системой, которая напрямую интегрируется с Microsoft RMS. Две технологии гармонично дополняют друг друга, позволяя построить практически автоматизированное решение по защите конфиденциальных документов. Опираясь на методы классификации информации, предоставляемые RSA DLP, можно автоматически накладывать требуемые политики RMS на определенный класс документов, что существенно повышает надежность данного решения.

В конце 2009 года RSA также объявила о технологическом партнерстве с компанией Cisco в задачах защиты конфиденциальных данных. Уже сейчас RSA DLP ICAP сервер может взаимодействовать с продуктом Cisco Ironport S-series. Кроме того, Cisco уже поставляет систему фильтраций электронной почты Ironport C-series со встроенным модулем RSA DLP. Встроенный модуль имеет около 100 предустановленных политик и не позволяет создавать новые. Но со второго полугодия 2010 года Ironport S-series сможет выступать как полноправный элемент RSA DLP Suite и использовать любые политики для контроля исходящей электронной почты (т.е. он фактически заменяет RSA DLP Interceptor Appliance).

Одним их наиболее перспективных вариантов расширения функционала DLP систем является интеграции с SIEM технологией (у RSA это платформа enVision). enVision становится центральной системой сбора и обработки всех событий информационной безопасности и обеспечивает функционал по расследованию всех инцидентов связанных с событиями ИБ. Корпорация EMC применила данный подход при создании внутренней службы Critical Incident Response Center (CIRC), где системы RSA DLP и RSA enVision совместно используются для защиты корпоративной инфраструктуры EMC.

Сама по себе технология DLP также интенсивно развивается. Например, RSA примерно раз в квартал выпускает новые версии или обновления DLP Suite. В частности, в начале марта 2010 г. вышла очередная, 8-ая редакция системы, существенно расширившая возможности продукта. При этом стоит ответить, что в последнем отчете Gartner (весна 2009 года) уже предыдущая версия RSA DLP вошла в тройку лидеров DLP рынка. К уникальным особенностям RSA DLP можно отнести следующие моменты:

  • Масштабируемость и производительность:
    • Распределенная инфраструктура, подход на основе парадигмы параллельных вычислений (Grid Scanning)
  • Наверное, наиболее, гибкие среди DLP решений, методы описания политик и «шаблонов» конфиденциальных документов
  • Централизованное управление, возможность использования одних и тех же политик в любых компонентах DLP (Datacenter, Network, Endpoint)
  • Функциональный и надежный агент для защиты рабочих станций (Endpoint).
    • Возможность установки временного агента (temporary discovery agent) для теневого сканирования локальных данных вне рабочего времени
    • Защита данных в автономном режиме (копирование на внешние устройства, печать и передача в Интернет)

Таким образом, DLP технологии становятся неотъемлемой и обязательной частью корпоративных систем информационной безопасности, существенно повышая уровень защиты конфиденциальных данных.

Перейти на главную страницу обзора

Вам также могут понравиться