Фахівці з безпеки ставлять це питання вже давно, і воно, як і раніше, залишається актуальним недарма. Системи запобігання витоку даних (DLP) вже багато років є невід’ємною частиною корпоративної безпеки. Системи управління станом безпеки даних (DSPM) з’явилися не так давно, але швидко набирають популярності, особливо у зв’язку з тим, що штучний інтелект змінює способи передачі даних, місця їх зберігання та коло осіб, які мають до них доступ.
Ця суперечка зазвичай подається у вигляді змагання: яка з технологій дійсно вирішує проблему? Саме таке формулювання питання є однією з причин, що гальмують розвиток програм безпеки. DLP та DSPM — це не конкуруючі варіанти відповіді на одне й те саме питання. Вони відповідають на різні питання. А в умовах, коли штучний інтелект у режимі реального часу змінює характер ризиків, пов’язаних з даними, потрібні обидві ці технології.
DLP — це система забезпечення дотримання правил
DLP діє безпосередньо в момент здійснення дії. Вона відстежує, виявляє та блокує передачу конфіденційних даних туди, куди їх не слід передавати. Будь то відправка співробітником конфіденційного файлу на особисту адресу електронної пошти, завантаження даних у несанкціонований хмарний сервіс або вставка конфіденційного контенту в інструмент генеративного ШІ — саме в таких випадках вступає в дію система DLP.
Недарма ця технологія вважається «робочою конячкою». Добре налаштована система DLP охоплює широкий спектр завдань: кінцеві пристрої, веб-трафік, електронну пошту, хмарні канали, додатки SaaS. Проблема завжди полягала в тому, що ефективність DLP залежить від ефективності політики, яка лежить в її основі, а ефективність політики — від ефективності класифікації, на якій вона базується. Якщо ви не знаєте, як виглядають ваші конфіденційні дані та де вони зберігаються, у ваших політиках будуть прогалини. Коли класифікація неповна або застаріла, її застосування генерує шум замість сигналу.
DSPM — це забезпечення видимості
DSPM — це розвідувальний рівень. Він виявляє, де саме зберігаються ваші конфіденційні дані в хмарних середовищах, додатках SaaS, сховищах даних, кошиках зберігання та скрізь, де дані накопичилися з часом. Він класифікує ці дані, відображає права доступу та виявляє ризики, пов’язані зі станом безпеки: файли з надмірним доступом, неправильно налаштовані сховища, дані, що зберігаються там, де їх не повинно бути.
DSPM не працює безпосередньо на етапі застосування заходів. Ця система надає вам загальну картину до того, як ці заходи будуть реалізовані. Ця картина є найважливішим контекстом для всього, що відбувається далі. Без неї неможливо розробити ефективну політику, а також визначити пріоритети в інвестиціях у безпеку, не розуміючи, чим ви фактично володієте. Недарма компанія Gartner тепер називає DSPM «нервовою системою» сучасної безпеки даних. Без неї ви приймаєте рішення про застосування заходів не знаючи, що саме ви захищаєте.
Проблема використання лише DSPM полягає в тому, що виявлення не означає захист. Усвідомлення того, де існує проблема, не запобігає її перетворенню на витік даних. Саме тут знову на допомогу приходить DLP.
DSPM і DLP: Порівняння
Щоб зрозуміти взаємозв’язок між DSPM і DLP, слід враховувати, що ці технології спрямовані на різні етапи управління ризиками, пов’язаними з даними. DSPM виявляє невідомі випадки витоку даних. DLP запобігає витоку даних через несанкціоновані канали. Коли ці дві функції використовуються окремо, виникають прогалини в захисті. У поєднанні вони створюють єдину основу для забезпечення прозорості та контролю.
Саме в цій прогалині й криється ризик
Організації, які покладаються на DLP без DSPM, застосовують політики щодо ландшафту даних, який вони не до кінця розуміють. Вони знають, що потрібно блокувати, коли стикаються з цим, але, швидше за все, пропускають дані, про існування яких навіть не підозрюють, і в результаті в їхніх політиках залишаються «сліпі зони».
Організації, які використовують DSPM без DLP, бачать ризик, але не можуть реагувати на нього достатньо швидко. У них є карта, але немає можливості контролювати дотримання меж у режимі реального часу.
Жодна з цих складових не є самодостатньою. Саме в прогалині між візуалізацією та контролем і відбуваються витоки даних, і це прогалина, з якою більшість програм живуть довше, ніж їм здається.
ШІ робить цей розрив ще більш помітним
До появи генеративного ШІ забезпечення безпеки даних було складним завданням, але, принаймні, мало певні межі. Дані створювалися переважно людьми, зберігалися у відомих системах і передавалися зі швидкістю, властивою людині. Той світ відійшов у минуле. Наразі моделі ШІ, агенти та автоматизовані робочі процеси безперервно генерують, перетворюють і передають конфіденційну інформацію, причому часто швидше, ніж служби безпеки встигають відстежувати ці процеси, і часто в середовища, які не були передбачені початковим планом забезпечення безпеки. Звіт, згенерований системою Copilot, може містити більше конфіденційної інформації, ніж вихідний документ. Дані, що вводяться в модель під час її налаштування, можуть розкрити інформацію, що підпадає під регулювання, яка раніше не була позначена як така, що потребує захисту.
Це створює нове навантаження на обидві технології. Обсяг даних, які має обробляти система DSPM, став більшим і динамічнішим, ніж будь-коли. Сценарії контролю, які тепер має охоплювати система DLP, включають інструменти генеративного ШІ, копілоти та автономні робочі процеси, яких кілька років тому ще не існувало. А коли політики DLP застосовуються без актуальних даних класифікації, обсяг сповіщень стає проблемою, а не джерелом корисної інформації.
Як це виглядає, коли обидві системи працюють разом
Завдяки інтеграції DLP та DSPM ви отримуєте безперервний цикл замість двох розрізнених програм.
DSPM виявляє та класифікує дані, створюючи основу: що є конфіденційним, де ці дані зберігаються, хто має до них доступ і чи є цей доступ обґрунтованим. Система DLP забезпечує дотримання правил на основі цієї класифікації, втручаючись у разі доступу до даних, їх переміщення або передачі способами, що порушують політику. У міру зміни структури даних оновлена класифікація враховується при забезпеченні дотримання правил. Згодом політика не втрачає актуальності, а стає все більш чіткою.
Саме цей безперервний цикл забезпечує ефективність захисту даних у середовищах, заснованих на штучному інтелекті. Це не одноразовий проект. Це безперервний цикл: виявлення, класифікація, визначення пріоритетів, забезпечення дотримання, повторення. На практиці це означає, що класифікація, яка створюється Forcepoint DSPM, та заходи щодо забезпечення дотримання, що застосовуються Forcepoint DLP, повинні працювати в рамках єдиної системи політик. У цьому випадку забезпечення дотримання буде однаковим у всіх каналах, і вам не доведеться підтримувати окремі схеми класифікації для різних інструментів.
З чого почати
Більшості організацій слід почати з виявлення даних. Перш ніж ефективно захистити щось, необхідно знати, що це таке і де це знаходиться. DSPM забезпечує таку основу. Однак із самого першого дня план дій повинен включати DLP, оскільки виявлення без подальших заходів залишає другу частину проблеми невирішеною.
Порядок реалізації заходів не настільки важливий, як прагнення до їх інтеграції. Організації, які досягають реального прогресу в галузі безпеки даних, не розглядають DLP та DSPM як окремі рішення. Вони прагнуть до моделі, в якій одна й та сама класифікація, що лежить в основі виявлення порушень, також використовується для забезпечення дотримання вимог, і в якій обидві ці функції адаптуються у міру зміни ризиків.
Саме цього вимагає проблема забезпечення безпеки даних. Питання ніколи не полягало у протиставленні DSPM і DLP. Насправді питання полягає в тому, як швидко ви зможете скоротити розрив між ними.
Поширені запитання
У чому різниця між DSPM і DLP?
DSPM виявляє та класифікує конфіденційні дані у сховищах у хмарних і локальних середовищах. DLP відстежує та контролює дані під час передачі, забезпечуючи дотримання політик, які запобігають передачі конфіденційної інформації через несанкціоновані канали. Разом ці рішення охоплюють весь життєвий цикл даних — від виявлення до забезпечення дотримання політик.
Чи потрібні мені і DSPM, і DLP?
У більшості випадків — так. DSPM забезпечує видимість, дозволяючи зрозуміти, що саме ви захищаєте і де це знаходиться. DLP забезпечує засоби контролю, що дозволяють запобігти переміщенню даних туди, куди вони не повинні потрапляти. Використання одного з цих рішень без іншого призведе до неповноти або в плані виявлення, або в плані контролю.
Які основні типи DLP?
Існує три основні типи рішень DLP: мережеве DLP для даних у процесі передачі, DLP на кінцевих пристроях для даних, що використовуються на пристроях, та DLP у сховищах для даних у стані спокою. У більшості зрілих програм використовуються всі три типи, щоб уникнути прогалин у охопленні.
Чи можна об’єднати DSPM і DLP на одній платформі?
Так. Forcepoint Data Security Cloud об’єднує DSPM і DLP в рамках єдиної системи політик, завдяки чому класифікація, що лежить в основі виявлення, збігається з класифікацією, що лежить в основі забезпечення дотримання вимог. Це дозволяє усунути невідповідності, що виникають при використанні окремих інструментів з різними правилами.
Що таке DSPM у сфері безпеки даних?
Управління станом безпеки даних (DSPM) — це безперервний процес виявлення, класифікації та моніторингу конфіденційних даних у хмарних, SaaS, локальних та гібридних середовищах. Воно надає фахівцям з безпеки оперативну інформацію про те, де зберігаються конфіденційні дані, хто має до них доступ і в яких місцях ризик витоку зростає, ще до того, як відбудеться порушення безпеки.
Зв’яжіться з нами, щоб поговорити з експертом з будь-якого з цих питань.
