ОБЗОР DLP-СИСТЕМ: ИССЛЕДОВАНИЕ ПУТЕЙ ИХ ПРИМЕНЕНИЯ В СОВРЕМЕННЫХ РОССИЙСКИХ РЕАЛИЯХ

ОБЗОР DLP-СИСТЕМ: ИССЛЕДОВАНИЕ ПУТЕЙ ИХ ПРИМЕНЕНИЯ В СОВРЕМЕННЫХ РОССИЙСКИХ РЕАЛИЯХ

Шуляченко Иван Андреевич

специалист, Федеральное государственное бюджетное образовательное учреждение высшего образования «МИРЭА — Российский технологический университет»,

РФ, г. Москва

REVIEW OF DLP-SYSTEMS: RESEARCH OF WAYS OF THEIR APPLICATIONS IN MODERN RUSSIAN REALITIES

Ivan Shulyachenko

Federal State Budget Educational Institution of Higher Education «MIREA - Russian Technological University»,

Russia, Moscow

АННОТАЦИЯ

В статье проведен обзор существующих DLP-систем, входящих в реестр Российского ПО. Проанализированы три DLP-системы: "Стахановец", "Kickidler" и "Bitcop". На основе анализа у данных систем были выявлены недостатки в дизайне, нестабильности работы, высокой стоимости внедрения и устаревший формат отчётности. Путем применения данных систем в современных российских реалиях, когда рынок нацелен на импортозамещение, является гибкость в предотвращении утечек, постоянно подстраиваться под внешние факторы. А именно данные системы должны начать выпускать решения On-Cloud (решение не требующее железа от компании), за счёт чего уменьшается стоимость внедрения и поддержки, изменить форматы отчетности, устранить недостатки в дизайне чтобы выглядеть удобнее для пользователя данных систем.

ABSTRACT

The article provides an overview of the existing DLP-systems included in the register of Russian software. Three DLP systems were analyzed: "Stakhanovets", "Kickidler" and "Bitcop". Based on the analysis of these systems, design flaws, instability, high implementation costs and an outdated reporting format were identified. By applying these systems in modern Russian realities, when the market is aimed at import substitution, there is flexibility in preventing leaks, constantly adjusting to external factors. Namely, these systems should start releasing On-Cloud solutions (a solution that does not require iron from the company), which reduces the cost of implementation and support, change reporting formats, eliminate design flaws to look more convenient for the user of these systems.

Ключевые слова: DLP-системы, угрозы информационной безопасности, утечка персональных данных, риски информационной безопасности, безопасность организации, исследования, совершенствование.

Keywords: DLP systems, information security threats, personal data leakage, information security risks, organization security, research, improvement.

ВВЕДЕНИЕ

В рамках текущей специфики обеспечение кибербезопасности можно назвать значимым проблемным аспектом. Владение информацией позволяет выстраивать стратегию ее использования. А владение сведениями о конкурентах помогает противодействовать им. Залог эффективной конкурентной борьбы с неправомерным доступом к данным, их утечкой – понимание того, каким образом информация перехватывается. Угрозы компьютерной безопасности – разная деятельность, способная привести к проблемам аспекта защиты данных. Говоря по-другому, это допускаемые в перспективе события либо деятельность, наносящая вред инфосреде либо киберсреде. Задача кибербезопасности – защита сведений, прогнозирование, предотвращение либо смягчение отрицательных последствий мошеннической деятельности, наносящей ущерб данным (пример – удаление, копирование, неправомерная передача сведений). Среди методик защиты можно выделить инструментарий, средства, позволяющие защитить компанию от опасностей: стихийных, преднамеренных, внешних, локальных [1].

DLP-системы – специализированные приложения, которые позволяют предотвратить утечку сведений. Это общий перечень технологий, которые дают возможность защитить компанию от потери не предназначенной для распространения информации вследствие различных причин. В рамках интеграции, поддержки ПО необходимы весомые финансовые траты, организационные усилия. Подобная деятельность может в заметной мере снизить показатель информационных рисков для ИТ-инфраструктуры организаций. Передовые DLP-системы могут проверить общую документацию, которая отправляется на печать; функцию подтверждения присутствия на рабочем месте сотрудника, формирующего цель печати документа. Одновременно, отмечается отведение весомой роли аспекту объединения в рамках программного обеспечения методик, дающих возможность эффективно контролировать каналы потери данных, производить поиск имеющихся данных (в т. ч. в сети Internet) [2].

В нынешний период общей концепции оценивания DLP-систем не имеется. В результате критерии результативности отличаются, не всегда предлагают объективность. Соответственно, перед выбором программного обеспечения требуется проработка критериев, в рамках которых компания выбирает оборудование для реализации задач предприятия [3].

Требования к качеству сбора, исследования данных малых организаций в весомой мере не отличаются от требований для больших организаций. Однако в процессе реализации требований наблюдается определенная специфика. Зачастую малые предприятия используют DLP-системы в режиме мониторинга. Это говорит о том, что требования к быстроте фильтрации, автоматизации этапа обработки сведений не слишком высокие. Принимая это в расчет, стоит выделить, что исключительно использования proxy-серверов может быть недостаточно для возможности перехватывать сообщения. Однако масштаб функций программного обеспечения обширен: запись видео с ПК; вероятность управлять съемными носителями; управление временем. В результате организации желают сэкономить путем возможности сократить защитные функции. Крупные организации же задействуют в работе полный перечень услуг. Среди условий внедрения рассматриваемого программного обеспечения: функция, позволяющая управлять порядком реализуемых событий, средства для исследования деятельности компании, онлайн-команд, инструменты для проектирования отчетов. В рамках специфики отсутствия стабильности в экономической отрасли угрозы многократно возрастают. Упор делается на возможности их предотвратить. Внедрение ПО представляется обязательным, так как требования к исследованию угроз, общей скорости реагирования возрастают [4].

Сегодня рынок DLP-систем в Российской Федерации – развивающаяся область IT. В России, за рубежом в контексте анализируемой отрасли больше общего, нежели различий, что можно аргументировать схожестью функций.

Однако иностранное программное обеспечение в весомой мере направлено на возможность блокировать передачу анонимных сведений, включает меньше функций в области аналитики в сравнении с российскими приложениями. Еще необходимо выделить, что отрасль DLP-систем предусматривает высокую маржинальность. Она довольно конкурентная. Соответственно, потребители избирательно подходят к вопросу приобретения программ. В рамках исследования программного обеспечения в контексте удобства пользования можно подвести ряд итогов. Они приводятся ниже по тексту.

ОБЗОР СУЩЕСТВУЮЩИХ DLP-систем

Программа «Стахановец» подходит для МСП. Можно пользоваться услугами техподдержки. Доступна возможность установки ПО с одновременным обучением орг. инженеров. Период интеграции – не больше 7 дней. Для удобства взаимодействия с ПО доступны русский, английский языки. Можно выделить присутствие приложения в перечне российского ПО, удобную версию для ПК с позиции консоли администратора. Важная роль отводится вероятности сборки сведений из удаленных филиалов (пример – система передачи сведений под названием «отложенный мониторинг», которую можно использовать в компаниях с более чем десятью тысячами пользователей). Имеется функционал сбора сведений в специальное хранилище, когда нет доступа к серверу. Можно обеспечить защиту при передаче информации между составными частями программного обеспечения, имеется возможность использования режима невидимости в рамках регулирования энергопотребления. Можно отслеживать регистрацию либо выход из программы.

Kickidler – программное обеспечение для малого, среднего, крупного бизнеса, госучреждений. Можно бесплатно пользоваться помощью техподдержки, услугами интеграции программы с возможностью обучать инженеров компании. Период интеграции – 1-3 дня. В целях удобства взаимодействия для пользователей доступны русский, английский языки. Необходимо упомянуть и об удобстве интерфейса, специальном приложении «Вьюер» для использования на компьютере. Важная роль отводится вероятности сборки сведений из удаленных филиалов. Можно защитить передачу информации между составляющими программного обеспечения, защитить агент от удаления, а также выключения. Есть режим невидимости на регулируемых APM. Режим Viewer помогает настроить доступ к конкретным серверам, пользователям, за которыми производится наблюдение.

Bitcop – программное обеспечение для организаций МСП. Есть возможность пользоваться услугами техподдержки, интеграции ПО с одновременным обучением инженеров. Период интеграции программы – не больше 7 дней. В целях более удобного взаимодействия с ПО для пользователя продуман наглядный интерфейс на русском языке. Важная роль отводится вероятности сборки информации из удаленных филиалов. Можно передавать данные между системными компонентами (при этом реализуется шифрование сведений). Можно использовать режим невидимости на регулируемых APM. Доп. программное обеспечение, лицензирование для сервера осуществляется с использованием системы управления базой данных MS SQL Сервер. Можно пользоваться облачным ПО на стороне дистрибьютора.

Для сравнения вышеперечисленных dlp-систем выделим их основные плюсы и минусы.

Приложение «Стахановец» включает механизм предотвращения утечек данных. Информация перехватывается (данные в мессенджерах, сведения, передаваемые по e-mail). Осуществляется контроль за веб-ресурсами, посещаемыми работниками предприятия, распечатываемой персоналом документацией. Программа может перехватывать информацию, передаваемую сторонним пользователям. Но недобросовестные работники могут найти более хитрый метод копирования конфиденциальной информации. Вместо обычного распечатывания текста либо отправления файла с ним сторонним пользователям работник имеет возможность сфотографировать сведения на экране ПК. Режим «Антифото» дает возможность обезопасить организацию от вышеназванных мошеннических действий. Когда рассматриваемая программа будет обнаруживать данные действия, доступ к ним будет запрещен. Руководство компании получит уведомление о мошеннических действиях.

Среди иных достоинств программного обеспечения можно выделить:

• Вероятность подробной настройки отслеживания действий индивидуальных работников, организационных отделов,
• Онлайн-доступ к собираемой информации из любого места.
• Умеренные системные требования.

Среди недостатков приложения можно выделить устаревший дизайн, не слишком наглядный формат отчетности.

Функции программного обеспечения KickIdler позволяют с успехом разрешать задачи контроля за сотрудниками. Интерфейс ПО нагляден, понятен для пользователей. Приложение способствует предотвращению утечек данных, помогает в иных вопросах. Можно следить за работой персонала с удаленного компьютера в режиме онлайн. Когда персонал отлучается с места работы, показывается специализированный таймер, отсчитывающий общий период отсутствия работника. Можно производить также видеозапись рабочего экрана, чтобы посмотреть его в удобный момент.

К общим достоинствам Kickidler также можно причислить вероятность установки регламентов, несоответствие которым будет приводить к автооповещениям. Когда работник запускает нежелательное ПО, открывает нежелательный файл либо заходит на развлекательный веб-ресурс, руководители получают оповещение об этом. Помимо этого, есть возможность просматривать записи экрана пользователей. Приложение отправляет оповещение, делая подсказку работнику о не соответствующих правилам действиях, позволяя исправить ошибку.

Другая полезная функция программного обеспечения – исследование динамики активности. Kickidler исследует интенсивность действий пользователя, дает возможность выявления закономерностей в рамках определенного временного промежутка (сутки, неделя, сезон), оптимизации процессов в рамках деятельности персонала.

Среди иных достоинств приложения:

• Онлайн-контроль целевых ПК.
• Отправка оповещений в автоматическом режиме.
• Регистрация разных действий пользователей.
• Круглосуточная техническая поддержка.

Среди недостатков специалисты отмечают интерфейс приложения, высокую стоимость продукта.

Приложение BitCop устанавливает в качестве задачи 30 % увеличение производительности персонала организации. Для этого предлагается большое количество функций. По аналогии с иным подобным программным обеспечением, приложение фиксирует общую пользовательскую активность в рамках работы с ПК: запускаемые приложения, посещаемые веб-сайты, запросы пользователя в поисковиках, скриншоты экрана; фиксация времени начала работы, завершения работы, иные полезные для руководителей данные. Собираемая информация в дальнейшем обрабатывается: приложения, веб-ресурсы оцениваются с позиции результативности, производительности работника. Можно получить статистические сведения касаемо опозданий. Если администратор ПО находит в отчетности нежелательный интернет-ресурс, есть возможность блокировки такого сайта в настройках программного обеспечения. BitCop должен отправить оповещение, когда работник совершает не соответствующие регламенту действия.

Одна из особенностей программного обеспечения – функция отслеживания общего выполнения задач. Работники компании имеют возможность фиксации того, в рамках какого периода была разрешена определенная задача. Это помогает выявить работников с низкой эффективностью; в больших подробностях анализировать рабочие процессы.

Среди достоинств программы BitCop можно выделить:

• Весомые интегративные возможности (Система контроля и управления доступом, телефония и так далее).
• Открытый программный интерфейс приложения, дающий возможность интеграции приложения с иными бизнес-программами.
• Подробную отчетность.
• Удобный механизм фильтрации информации.

Среди недочетов можно отметить нестабильную работу программного обеспечения.

Основываясь на представленных выше сведениях, можно выделить то, что BitCop из данного списка систем, наверное, представляет собой наиболее худший вариант за счёт нестабильности работы программы. Ибо это существенный фактор, который сильно мешает сотрудникам выполнять свои рабочие обязанности. Что касается систем KickIdler и Стахановец, то они обе достаточно хороши, так как имеют обширный функционал, позволяющий удалённо проводить мониторинг, получать данные из любой точки и осуществлять бессрочную поддержку. Но обе эти программы имеют не удобный интерфейс. Правда, в KickIdler с дизайном обстоят дела намного лучше, чем в системе Стахановец, так как в нём присутствует более удобный формат отчётов. Тем не менее система Стахановец является менее требовательной и стоит намного дешевле.

Ниже представлена таблица сравнения некоторых DLP-систем, представленных на российском рынке.

Таблица 1.

DLP-системы в России

Также на основе проведенного сравнительного анализа и использования таблицы был построен магический квадрант показывающий полноту видения и возможность реализации новых идей в российских DLP-системах (см. рис.1).

Рисунок 1. Магический квадрант российских DLP-систем

Подходящим инструментом защиты документации, баз данных, которые применяются в DLP-системах, можно назвать специальные отпечатки, базирующиеся на авто создании экономичных «хэш-идентификаторов» (текст). Использованию данной технологии могут мешать такие аспекты: данные, которые хотят украсть мошенники, могут являться составляющей большого документа – в итоге передаваться будет данный компонент (в рамках небольших фрагментов данная методика может не принести нужный результат); мошенник имеет возможность замены либо добавления ряда текстовых символов (это поменяет цифровой отпечаток, однако предоставит возможность восстановления информации получателем); данные в документации либо информационных базах в заметной мере меняются.

Чтобы нивелировать данные недочеты, могут быть задействованы лингвистические методики, методики статистического надзора, контрольные методики по шаблонам регулярных выражений. В рамках языковых методик необходимы: словарь, словоформы (это увеличивает период проверки). Методики статистического надзора дают возможность выявления подмены символов в рамках частоты распределения букв. Такие действия применяются в целях контролировать большие документы.

Самый подходящий вариант – текстовая проверка на базе метода применения шаблонов регулярных выражений. Они предоставляют возможность выявления подмены в рамках возможности отследить не типичную символьную последовательность в рамках языка страны.

Среди достоинств данной методики можно выделить: задание порога частотности срабатываний, чтобы уменьшить период проверки; тот факт, что нет необходимости в использовании словарей; не нужно изучать частотное распределение текстовых символов; допускается вероятность настроить шаблоны.

В ситуации, когда инсайдер, который пытается передать данные внешним пользователям, не может выполнить данное действие благодаря рассматриваемому программному обеспечению, он может попытаться обойти систему по-другому. В целях создания «ложной успешности» действий мошенника, получателя данных в приложение может быть добавлен режим компрометации информации. Данный модуль будет производить подмену в отправленных незарегистрированных данных на нерегистрируемые отделом безопасности адреса; в рамках копирования сведений на носители. В подобной ситуации отправитель данных; лицо, получающее сведения, не могут быть уверены в соответствии данных действительности. Компрометацию могут реализовывать так:

• В текстовом файле меняются цифровые сведения в зависимости от вида данных на псевдослучайные согласно конкретной последовательности действий; удаляются либо добавляются определенные пункты; меняется ряд значимых сведений (наименование, адрес компании, ФИО контрагентов, персонала) на иные данные согласно конкретной последовательности действий.
• В бинарном файле меняются определенные байты. В результате можно открыть файл, заменить определенные байты, не предусматривая вероятность открытия файла.

Эти алгоритмы можно применять в рамках использования регулярных выражений. Настройка последовательности действий производится в рамках компании. Для данных целей требуется специализированный персонал.

Применяемые методики компрометации влияют на общую комплексность оценивания правильности получаемых данных, целесообразности связи с инсайдером, чтобы уточнить, подтвердить данные либо получить новые копии.

Соответственно, допускается увеличение общей результативности процесса защиты сведений с использованием рассматриваемого программного обеспечения в рамках применения методики постоянных выражений, чтобы не допустить передачу не предполагаемых для разглашения сведений сторонним компаниям.

ЗАКЛЮЧЕНИЕ

В ходе проведенного сравнительного анализа фаворитом была выбрана программа «Kickidler». Так как она имеет функции и достоинства которых нет в других программах:

1. установка регламентов, несоответствие которым будет приводить к автоматическим оповещениям;

2. исследование динамики активности пользователя;

3. Круглосуточная техническая поддержка;

4. автоматическая отправка оповещений администратору.

Также данная программа имеет более удобный формат отчётов для руководителями отделов, требует меньше серверных ресурсов организации, и представляет более весомые возможности интеграции которые могут включать в себя СКУД, и телефонию.

В нынешний период DLP-системы часто применяют в российских реалиях в бизнес-среде как инструмент разрешения аспектов исследования информации, поиска угроз, мониторинга специализированных КГ, поиска мошеннических, коррупционных действий, проработки стратегий развития. В результате достигается улучшение фактора информационной безопасности. Это, в целом, положительно сказывается на безопасности бизнес-отрасли в Российской Федерации.

Список литературы:

1. Нилуфархон Э.К. Методы предотвращения угроз кибербезопасности // Science and Education. 2021. №8.
2. Гречанная А.Ю., Тастенов А.Д. DLP-системы и их роль в защите от утечек конфиденциальной информации // Наука и техника Казахстана. 2015. №3-4.
3. Айдинян А.Р., Цветкова О.Л., Черняков П.В., Сокол Д.С.  Методики интеллектуального выбора и оценки DLP-системы для решения проблем информационной безопасности // Молодой исследователь Дона. 2018. №1 (10).
4. Попугаева В.А., Шарыпова Т.Н. Особенности рынка DLP-систем // Colloquium-journal. 2022. №12 (135).