Top menu

Вредный совет №2. Как нужно выбирать ДЛП* систему и как ни в коем случае нельзя выбирать DLP**-систему.

Настоящая ДЛП система, в отличии от DLP, не должна уметь предотвращать утечки в реальном времени, а только предоставлять инструментарий для расследования инцидентов постфактум. Никаких блокировок!

Как метко выражаются представители некоторых ДЛП вендоров: «ДЛП это система, которая собирает данные». Их коллеги подтверждают, что для включения блокировки нужно обладать головой, из чего следует, что для внедрения ДЛП голова не обязательна вовсе. Не могу с этим поспорить.

Для ДЛП продуктов остановить утечку технически невозможно. Это значит нужно вмешиваться в закрытые протоколы общения приложений (например, Skype), уметь задерживать передачу файлов на внешние носители (например, USB-флешки) и т.д. И не просто вмешиваться и задерживать, а извлекать из потока пользовательские данные, анализировать их на лету и мгновенно принимать решение о разрешении или запрете их передачи.

Мониторинг случившегося, поиск (часто с элементами магических технологий, позволяющими искать что-то похожее на нечто) по базе данных сохраненных сообщений и файлов, запись экрана и клавиатуры пользователя, карточки и профили пользователей, красивые отчеты и графы – вот ключевые функции настоящей ДЛП.

Ключевые слова для подбора ДЛП решения: «почтовый архив», «проведение расследования», «UEBA», «снимки экранов».


*ДЛП – можно расшифровать как «Для Любителей Подслушивать» и в данном контексте означает некую сущность мимикрирующую под DLP (см. ниже), но таковой не являющейся.

**DLP – «Data Leak Prevention» или «Data Loss Prevention» - предотвращение утечек информации, где ключевым словом является «предотвращение» (Prevention).

Автор: Ашот Оганесян