Мрак и туман
Изрядная доля DLP-систем эксплуатируется в пассивном режиме. Система никого не ловит, ничего не блокирует, ключевых слов и сигнатур не ищет. Она попросту сохраняет все данные, пересекшие периметр защищаемой сети: посредством отправки электронной почты, IM-сообщений, постинга веб-форм, записи на флэш-накопители, распечатки на принтере и т.д. Со всего трафика делает т.н. теневые копии и складывает в БД.
Этот режим - самый чистый, с точки зрения конституционного права на тайну связи. (Хотя в России на это право частенько кладут. Но есть и любители строго соблюсти. А за рубежом - тем более.) Если запрещено просматривать пересылаемые сообщения без санкции суда, то такой же режим распространяется и на архив всех сообщений. Будет санкция - будем заглядывать в архив, а пока пусть лежит.
Такое пассивное архивирование не может предотвратить утечку. Но иногда предотвращает.
Как уже указывалось, активный режим полноценной DLP-системы, когда опознавание сигнатуры вызывает блокирование отправки информации, предотвращает 100% случайных утечек и некоторый процент умышленных. Пассивный - наоборот. Случайные утечки он не предотвращает, зато умышленные предотвращаются сами собой. Злоинсайдер знает, что весь трафик архивируется. Но, в отличие от активного режима, он не может удостовериться, попал ли его слив в базу или не попал. Не может понять, засекли его координаты или не засекли (если он воспользовался чужим аккаунтом). А неизвестность пугает. Пуганый инсайдер даже антивируса боится.
На тех предприятиях, где организационные меры защиты на должном уровне, где нарушители уважают или боятся начальника, службы безопасности, закона, совести, Бога или хотя бы чего-нибудь; там предпочтительно использовать пассивный режим DLP. Если же методы воздействия на работников у вас под вопросом, то включайте активный режим.
Этот режим - самый чистый, с точки зрения конституционного права на тайну связи. (Хотя в России на это право частенько кладут. Но есть и любители строго соблюсти. А за рубежом - тем более.) Если запрещено просматривать пересылаемые сообщения без санкции суда, то такой же режим распространяется и на архив всех сообщений. Будет санкция - будем заглядывать в архив, а пока пусть лежит.
Такое пассивное архивирование не может предотвратить утечку. Но иногда предотвращает.
Как уже указывалось, активный режим полноценной DLP-системы, когда опознавание сигнатуры вызывает блокирование отправки информации, предотвращает 100% случайных утечек и некоторый процент умышленных. Пассивный - наоборот. Случайные утечки он не предотвращает, зато умышленные предотвращаются сами собой. Злоинсайдер знает, что весь трафик архивируется. Но, в отличие от активного режима, он не может удостовериться, попал ли его слив в базу или не попал. Не может понять, засекли его координаты или не засекли (если он воспользовался чужим аккаунтом). А неизвестность пугает. Пуганый инсайдер даже антивируса боится.
На тех предприятиях, где организационные меры защиты на должном уровне, где нарушители уважают или боятся начальника, службы безопасности, закона, совести, Бога или хотя бы чего-нибудь; там предпочтительно использовать пассивный режим DLP. Если же методы воздействия на работников у вас под вопросом, то включайте активный режим.