Овечка в волчьей шкуре, или снова про SIEM, DLP и UEBA

Мои дорогие читатели, надеюсь вы уже ознакомились с первой частью моего обзора, где я рассказывал о том, почему некоторые производители систем контроля сотрудников называют свои продукты SIEM-системами, при том что продукты эти и на SIEM вообще не являются.

Пришла пора продолжить жечь глаголом сердца маркетологов компании-конкурентов. У нас на очереди две красивые аббревиатуры — DLP и UEBA. 

DLP — Data Leak Prevention / Data Lost Protection

Когда создавались первые автомобили, то потенциальные покупатели не могли понять, что это за штука такая, нужна ли она им вообще? И тогда новый продукт назвали «самобеглая повозка». Тут же всё стало просто и понятно. Повозка, она повозка и есть. Вон их на улицах сколько. А самобеглая — значит не лошадь тащит, а сама едет.

С тех пор продавцы товаров на не сформировавшихся до конца рынках (а как мы помним, рынок систем контроля сотрудников именно таким и является) полюбили использовать хорошо известные потенциальным покупателям термины.

А термин DLP весьма известен. Первые системы подобного класса появились достаточно давно и, даже обладая определенными недостатками (не буду повторяться — я уже писал о них подробно здесь), обрели достаточно большое количество платежеспособных клиентов.

Однако осталось немало компаний, которые хотел бы предотвратить утечки конфиденциальной информации, но внедрить у себя классические DLP не могут: слишком дорого стоят лицензии, слишком сложна процедура внедрения, а кое-кто не верит в эффективность метода контроля по шаблону (подробнее, опять же, в нашем материале про DLP).

И производители систем контроля сотрудников придумали вот что. Нужно назвать свой продукт DLP, или сказать, что помимо прочего он выполняет еще и функции DLP. А поскольку системы контроля сотрудников стоят дешевле DLP, то клиент поверивший, что перед ним тоже DLP, предпочтет заплатить меньше. 

Вот что например, пишут про свой продукт представители одной из систем контроля сотрудников «XXX — не просто мощная DLP-система. По сравнению с классическими DLP решениями, XXX обладает более широким спектром функциональных возможностей» Ну а дальше идет таблица, «подтверждающая» превосходство XXX над DLP.

При этом два типа программ работают по двум совершенно разным принципам. DLP почти полностью автоматизированы, системы контроля почти полностью на ручном управлении.

Я решил составить свою собственную таблицу и расписать плюсы и минусы DLP и систем контроля в борьбе за сохранность корпоративных данных. А вы уже решайте сами. Итак…

DLP Система контроля сотрудников
Работает проактивно. Контролирует не пытается ли сотрудник отправить данные определенной структуры (номера телефонов или кредитных карт) или конкретный файлы вовне по различным каналам. В случае потенциальной угрозы утечки операция передачи данных (копирование на флешку, печать, оправка по почте, даже открытие в редакторе) может быть заблокирована, а администратор уведомлен. Только собирает информацию о действиях сотрудника и помещает в отчеты, либо (в случае Kickidler) записывает на видео, а гистограмма нарушений позволяет определить момент с которого имеет смысл просматривать видео.
За определение является ли некоторое действие потенциальной утечкой данных или нет, отвечает автоматика. Если она ошибется, то сотрудники СБ могут даже не узнать, что утечка была. Выявляются утечки исключительно вручную. Любые существующие сейчас «анализаторы рисков» всего лишь производят полнотекстовый поиск по собранной информации и не способны выявить ни одну серьезную проблему. Есть шанс, что сотрудник СБ «закопается» в многочисленных отчетах и проглядит утечку. В случае с Kickidler, гистограмма нарушений снимает проблем с большими объемами отчётов, а видео анализировать намного проще, чем логи, но всё равно — шанс пропустить утечку остаётся.
Если операция была классифицирована как утечка, то действие будет заблокировано и данные останутся неприкосновенными. С одной стороны — большой плюс. С другой — злоумышленники могут тестировать разные подходы на внешне невинных данных. Если данные удасться отправить, значит «черный ход» в системе найден и через него можно переправить уже что-то ценное. Сотрудник СБ узнает об утечке только когда она уже произошла. Вернуть данные не удасться (по крайней мере техническими способами). Но и сотрудник не узнает, что его поймали. Поэтому факт наличия системы контроля и её широких возможностей можно не афишировать. Более того, никто в компании не сможет быть уверен, что в данный момент за ним не наблюдают, что его попытки отправить украденные данные не остаются без внимания. В этой ситуации многие решают не рисковать и не воровать.
Стоит достаточно дорого, внедряется достаточно долго, потому что настроить все правила выявления утечек для конкретной организации невозможно. Стоит существенно дешевле, внедряется за 1-3 дня. Автоматики тут практически нет, основное время уйдет на то, чтобы уже в процессе работы обучить СБ выявлять утечки на основе анализа десятка отчетов. В случае с Kickidler все проще, там всего одна гистограмма нарушений.

 

Вы хотите выводов? Их не будет. Конечно не очень хорошо вешать на свой продукт чужой ярлык и называть DLP систему, которая таковой не является. Но DLP — не торговая марка, использование этих трех букв не регламентируется никакими законами.

Поэтому как всегда — решающее слово за потребителем!

Эх, про UEBA сказать опять не успели. Ну что же, оставим его для третьей части. Продолжение обязательно следует!


 Андрей Игнатов

А вот еще интересные статьи:

Нравятся наши статьи? Подпишитесь и мы будем присылать их вам.


Заполните форму регистрации, и на указанный электронный адрес будет направлен ключ на установку. Ключ действителен в течение 30 дней с момента регистрации.

Нажимая кнопку «Получить ключ», Вы даете своё согласие на обработку Ваших персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», а также на отправку Вам информационных сообщений.
Пожалуйста ознакомьтесь с Пользовательским соглашением
Демо-версия Kickidler

Вы можете ознакомиться c интерфейсом Kickidler с помощью демо-версии без установки программного комплекса.

  • Скачайте дистрибутив
    Для Windows
    Для Mac OS
  • Запустите программу (на Mac OS запуск необходимо осуществлять из папки Applications)

Внимание!
  • Если Вы хотите установить полнофункциональную версию программного комплекса Kickidler, заполните форму регистрации и получите ключ для установки.