Конференция "Код ИБ 2016". Иркутск

1. На что стоит обратить внимание
при выборе DLP-системы?
Илья Шабанов
Управляющий партнер

2. Краткий алгоритм выбора
 Выбирать из популярных производителей на
российском рынке
 Выделить группу продуктов на основании списка
потребностей
 Оценить инновационность продуктов, соответствие
новым технологическим тенденциям
 Оценить варианты эволюции проекта, как еще можно
использовать DLP-систему в перспективе

3. Ситуация на рынке DLP
 DLP-рынок в России и СНГ сохраняет устойчивый рост
 Объемы продаж лидеров рынка растут на 25-40% в
год
 Усиливается конкуренция (6 локальных + 2
глобальных производителя)
 Растет зрелость заказчиков, повышается сложность
проектов и ответственность производителей
 Снижается средняя стоимость проектов (5-10% за два
последних года)
«Анализ рынка систем защиты от утечек конфиденциальных данных (DLP) в России 2012-2014», Anti-Malware.ru, сентябрь 2014
Конкуренция работает на заказчика, пользуйтесь этим!

4. Доли рынка основных игроков
«Анализ рынка систем защиты от утечек конфиденциальных данных (DLP) в России 2012-2015», Anti-Malware.ru, июнь 2016
www.anti-malware.ru/DLP
2013 год 2015 год
Доля российских вендоров в 2015 году – 92%

5. Учитывайте свою весовую категорию
«Анализ рынка систем защиты от утечек конфиденциальных данных (DLP) в России 2012-2014», Anti-Malware.ru, сентябрь 2014
InfoWatch, Solar Security +
Symantec, Forcepoint
(Websense) ориентированы
на крупный бизнес
Для среднего бизнеса лучше
выбирать
SearchInform, DeviceLock,
Zecurion и Falcongaze

6. Изучить сравнение DLP-систем
«Анализ рынка систем защиты от утечек конфиденциальных данных (DLP) в России 2012-2014», Anti-Malware.ru, сентябрь 2014
 Системные требования
 Режимы работы
 Режимы перехвата информации
 Возможности интеграции
 Производительность и
отказоустойчивость
 Контролируемые каналы
 Контроль действий пользователей
 Поиск конфиденциальной информации
 Возможные реакции на инцидент
 Аналитические возможности
 Хранение, ретроспективный анализ
 Отчётность
Сравнение DLP-систем (более 200 критериев)
www.anti-malware.ru/DLP

7. Выбираем по технологиям анализа
«Сравнение DLP-систем 2014 (часть 1 и 2)», Anti-Malware.ru, февраль 2014
Гибридный анализ освоен всеми лидерами:
 Поиск по атрибутам файлов
 Регулярные выражения
 Лингвистический и морфологический анализ
 Цифровые отпечатки
 Распознавание графики (OCR)
 Алгоритмы искусственного интеллекта
+ всевозможные комбинации и развитие (контроль документов с печатями,
движение заполненных форм, таблицы замен, поддержка опечаток и
транслитерации и т. д.)
Выбрать по качеству анализа очень сложно

8. Выбираем по контролируемым каналам
«Сравнение DLP-систем 2014 (часть 1 и 2)», Anti-Malware.ru, февраль 2014
Контролируются практически все каналы:
 электронная почта (протоколы SMTP, POP3, IMAP, MAPI, NNTP, S/MIME)
 системы мгновенного обмена сообщений (протоколы OSCAR, MMP, MSN, XMPP, YMSG,
HTTPIM, Microsoft Lync, Skype, Telegram)
 протокол HTTP, HTTPs
 протоколы FTP, FTPs и P2P
 туннелирующие протоколы (IP-in-IP, L2TP, PPTP, PPoE и другие)
 IP-телефония (SIP, SDP, H.323, T.38, MGCP, SKINNY)
 внешние устройства (USB, DVD/CD-ROM, COM, LPT, USB, IrDA, FireWire, модемы,
Bluetooth, принтеры, сетевые принтеры, камеры, сканеры и т.д.)
 мобильные устройства
Различия только в нюансах, которые могут быть не так важны

9. Большие объемы и скорости
«Сравнение DLP-систем 2014 (часть 1 и 2)», Anti-Malware.ru, февраль 2014
Нужна ли высокая производительность анализа трафика?
 Возможности кластеризации, перехвата в сетях на скорости до 10 Гб/с
Нужен ли анализ голосового трафика?
 Распознавание речи и дальнейший анализ текста
Нужно ли хранение большего архива перехваченных данных?
 Нужно покупать БД Oracle
 Новые системы оптимизации записываемых данных
 Новые системы хранения (в том числе noSQL)
 Поиск по структурированным и неструктурированным данным
Ответ «да» на любой вопрос сильно снижает выбор

10. Эволюция значения «DLP»
Термин «DLP» используется скорее по привычке
«Сравнение DLP-систем 2014 (часть 1 и 2)», Anti-Malware.ru, февраль 2014
Соответствие
законодательству
(SOX в США)
Минимизация
случайных утечек
Поиск инсайдеров
Аналитическая база ИБ
(форензика)
Единая корпоративная
база информации о
сотрудниках (BigData)
Использование за
рамками отделов ИБ
(ЭБ, СБ)

11. Какая аналитика нужна от DLP?
Аналитика и отчетность выходят на первый план
 Быстрый и удобный поиск по всему архиву данных
 Контентные маршруты
 Определение взаимосвязей сотрудников
 Определение центров влияния
 Определение нелояльных сотрудников
 Мониторинг настроений внутри компании
 Определение скрытых и нежелательных интересов сотрудников
 Экономическая безопасность!
DLP не только для защиты от утечек, смотрите в сторону
Big Data и основы для «корпоративного АНБ»
«Сравнение DLP-систем 2014 (часть 1 и 2)», Anti-Malware.ru, февраль 2014

12. Какая интеграция понадобится?
«Сравнение DLP-систем 2014 (часть 1 и 2)», Anti-Malware.ru, февраль 2014
Ищем «Умное DLP»
 Карточки сотрудников (все аккаунты и учетные записи)
 Рейтинги сотрудников (оценка «вредоносности» сотрудников)
 Гибкое изменение политик безопасности на основе рейтинга
(автоматическое помещение в группу риска подозрительных и
нелояльных сотрудников)
 Интеграция с системами управления учетными записями (IdM)
 Блокирование учетных записей нарушителя
Автоматизация и помощь в принятии решений

13. Какие сроки и бюджет?
«Сравнение DLP-систем 2014 (часть 1 и 2)», Anti-Malware.ru, февраль 2014
Упрощение и удешевление внедрения
 Упрощение процесса развертывания DLP-системы
 Преднастроенные политики
 Встроенный категоризатор веб-сайтов
 Преднастроенные роли для доступа к системе
 Снижение средней стоимости проекта
Отраслевые конфигурации
 Набора шаблонов на все случаи жизни уже недостаточно
 Нужны преднастроенные политики с учетом специфики отрасли
Цикл внедрения DLP-системы может значительно сократиться

14. Нужны ли смежные функции?
«Сравнение DLP-систем 2014 (часть 1 и 2)», Anti-Malware.ru, февраль 2014
Развитие смежных с DLP функций (сотрудники под
колпаком):
 Контроль запускаемых процессов и файлов
 Контроль действий с документами
 Контроль посещаемых сайтов
 Запись ввода с клавиатуры (кейлоггер)
 Запись поисковых запросов
 Запись скриншотов с экрана и видео-роликов с рабочего стола
 Контроль рабочего времени сотрудников
Анализ производительности труда сотрудников

15. Выводы
 DLP не только для защиты от утечек
 В центре внимания аналитика – шаг к корпоративному
АНБ
 Большие скорости и объемы данных ставят перед
производителями DLP новые вызовы
 Развитие концепции «Умное DLP»
 Упрощение процесса внедрения и настройки
 Выход функциональности далеко за рамки сегодняшнего
понимания DLP

16. Контакты
Илья Шабанов
Управляющий партнер
ilya.shabanov@anti-malware.ru
Тел: +7 (903) 792-44-53
www.anti-malware.ru
@Anti_Malware
antimalwareru

17. На что еще стоит обратить внимание?
«Сравнение DLP-систем 2014 (часть 1 и 2)», Anti-Malware.ru, февраль 2014
Мобильное DLP
 Контроль трафика с мобильных устройств (через VPN)
 Защищенная среда на мобильных устройствах
Возможность виртуализации
 Поставка в виде виртуального устройства
 Облачное DLP
Развертывание в территориально распределенной сети
 Контроль удаленных офисов