Коли фахівці з безпеки оцінюють системи запобігання витоку даних, постійно постає одне й те саме питання: чи слід зосередитися на DLP на рівні мережі чи на DLP на рівні кінцевих пристроїв? Відповідь майже завжди виявляється однаковою: і те, і інше. Але щоб зрозуміти чому, необхідно чітко розібратися в тому, що насправді робить кожен із цих підходів, у чому полягають їхні недоліки та як вони взаємодіють, щоб усунути прогалини, які жоден із них не може покрити самостійно.
Що таке мережевий захист від втрати даних?
Мережевий DLP відстежує та контролює дані під час їх переміщення в мережевій інфраструктурі вашої організації. Він перевіряє трафік у точках виходу, включаючи вихідну електронну пошту, завантаження на веб-сайти, передачу файлів та активність у хмарних додатках, виявляючи конфіденційний контент, який не повинен залишати межі компанії.
Мережева система DLP працює на стику мережевого трафіку та політик безпеки. Коли користувач надсилає файл, що містить дані, які підлягають регулюванню, через канал вихідної електронної пошти, мережева система DLP перехоплює цей трафік, перевіряє його на відповідність вашим політикам і вживає необхідних заходів — будь то блокування, поміщення в карантин або реєстрація події в журналі для подальшого аналізу. Оскільки система працює на мережевому рівні, одного розгортання достатньо для забезпечення захисту великої кількості користувачів без необхідності встановлення будь-якого ПЗ на окремі пристрої.
Її головною перевагою є широке охоплення. Система запобігання витоку даних у мережі надає фахівцям з безпеки повну картину переміщення даних у всій організації та є особливо ефективною у виявленні спроб масштабного витоку даних, що проходять через контрольовані канали.
Не менш важливо розуміти й його основне обмеження: мережева система DLP бачить лише те, що проходить через контрольовані нею мережеві канали. Коли користувачі працюють поза мережею, направляють трафік через неконтрольовані канали або використовують особисті пристрої, які ніколи не підключаються до корпоративного шлюзу, така видимість втрачається.
Що таке захист від втрати даних на кінцевих пристроях?
Endpoint DLP забезпечує безпеку даних безпосередньо на окремих пристроях — ноутбуках, настільних комп’ютерах, серверах і деяких мобільних пристроях. Зазвичай він працює у вигляді агента, встановленого на керованих пристроях, відстежуючи дії користувачів і забезпечуючи дотримання політик саме в тому місці, де відбувається фактична обробка даних.
Це істотна архітектурна відмінність. Оскільки точка управління розташована безпосередньо на пристрої, рішення DLP для кінцевих пристроїв може забезпечувати дотримання політик незалежно від того, до якої мережі підключено пристрій. Ноутбук, з якого працюють у кафе через домашнє інтернет-з’єднання без VPN, залишається захищеним. Ті самі політики, які регулюють поведінку в мережі, діють стосовно користувача, де б він не перебував.
Система DLP на кінцевих пристроях також охоплює більше станів даних, ніж мережева система DLP. Вона відстежує дані під час використання — дії «копіювати-вставити», надсилання на друк, знімки екрана, передачу даних через USB — на додаток до даних, що передаються мережею, на рівні окремих пристроїв. Це робить її особливо важливою в гібридних і віддалених робочих середовищах, де робота з конфіденційними даними все частіше відбувається за межами офісу.
Це також найважливіший рівень захисту від ризиків, пов’язаних із внутрішніми загрозами. Коли користувач активно працює з конфіденційними файлами на керованому пристрої, система DLP на кінцевих пристроях відстежує ці дії в режимі реального часу. Щоб дізнатися більше про те, яку роль у цьому процесі відіграють моделі поведінки, ознайомтеся з «Базовим посібником щодо ризиків, пов’язаних із внутрішніми загрозами», у якому описано систему виявлення та запобігання загрозам, на яку покладаються організації.
Обмеженням рішення Endpoint DLP є наявність керованих пристроїв. Якщо співробітник отримує доступ до конфіденційних даних з особистого пристрою або некерованого кінцевого пристрою, агент не зможе забезпечити дотримання будь-яких правил.
Порівняння мережевого DLP та DLP для кінцевих точок
У наведеній нижче таблиці представлено основні відмінності за критеріями, що мають найбільше значення під час планування впровадження.
Де кожен підхід окремо виявляється недостатнім
Це порівняння вказує на одну структурну особливість: у мережевого DLP та DLP на кінцевих пристроях є «сліпі зони», що доповнюють одна одну.
Мережеві системи DLP не фіксують дані, обробка яких відбувається виключно на пристрої. Користувач, який копіює конфіденційну інформацію на особистий USB-накопичувач, не передаючи її по мережі, не створює трафіку, який міг би проаналізувати мережевий датчик. Крім того, система втрачає контроль над ситуацією, коли користувачі обходять контрольовані канали передачі даних — чи то навмисно, чи просто тому, що вони працюють з домашньої мережі, трафік якої не проходить через корпоративний шлюз.
Системи DLP на кінцевих пристроях не фіксують події, що відбуваються на пристроях, які вони не контролюють. В організаціях, де широко поширене використання особистих пристроїв (BYOD) або де підрядники працюють на особистому обладнанні, ставка виключно на засоби контролю на кінцевих пристроях призводить до передбачуваних вразливостей на периметрі пристроїв.
Обидва підходи не враховують того, що вони не призначені для виявлення. Саме тому надійний підхід до DLP не розглядає це як вибір між одним чи іншим.
Чому слід надати пріоритет?
Більшість організацій впроваджують обидва підходи, але послідовність їхнього впровадження має значення. Правильний вихідний пункт залежить від того, де насправді знаходяться канали передачі даних із найбільшим ризиком.
Ваш персонал переважно працює віддалено або в гібридному режимі
Почніть із рішення DLP для кінцевих пристроїв. Коли користувачі працюють переважно поза мережею, централізовані точки контролю в мережі втрачають значну частину своєї ефективності. Користувачі надсилають дані безпосередньо до додатків SaaS через домашні підключення, і цей трафік часто навіть не проходить через контрольований корпоративний шлюз. Рішення для кінцевих пристроїв контролює дії, що становлять високий ризик, незалежно від того, де підключається пристрій.
Щоб краще зрозуміти, як організувати структуроване впровадження, ознайомтеся з посібником із впровадження DLP у вісім етапів, у якому детально описано, як послідовно забезпечити охоплення всіх каналів.
Більшість співробітників працюють у контрольованій локальній мережі
Почніть із впровадження мережевої системи запобігання витоку даних, щоб швидко забезпечити початкове охоплення основних каналів вихідного трафіку. Якщо передача даних здійснюється переважно через керовані канали, мережева система DLP дозволить швидко знизити ризик витоку у вихідному трафіку, поки паралельно розгортається система на кінцевих пристроях.
У вашій організації широко поширене використання особистих пристроїв (BYOD) або пристроїв підрядників
Система DLP на кінцевих пристроях стає незамінною в середовищах, де не можна покладатися на стан керованих пристроїв. Якщо ви не можете перевірити, які програми запущено на пристрої, використання виключно мережевих засобів контролю залишає «останню милю» незахищеною.
Ваше головне завдання — управління потоками даних у хмарі
З самого початку розглядайте це як єдину проблему. Для захисту конфіденційних даних, що передаються через SaaS-платформи та хмарні сховища, потрібні як мережеві засоби контролю, інтегровані з хмарними сервісами, так і заходи безпеки на кінцевих пристроях, щоб уникнути «сліпих зон», що створюються клієнтами синхронізації, завантаженням файлів через браузер та швидким обміном файлами. Вивчення всього спектру типів рішень DLP допоможе зрозуміти, яке місце займає хмарне DLP поряд із засобами контролю на кінцевих пристроях та в мережі.
Аргументи на користь комплексного підходу
Рішення DLP для кінцевих пристроїв та мережеві рішення DLP дають більшу користь у поєднанні, ніж окремо. При оцінці вашої поточної конфігурації корисно провести швидку перевірку відмовостійкості:
- Якщо кінцевий вузол зламано, чи зможуть мережеві засоби захисту, як і раніше, блокувати витік даних?
- Якщо мережевий контроль дасть збій або буде обійдений, чи зможуть засоби захисту кінцевих точок запобігти витоку даних безпосередньо у джерелі?
Відповідь «ні» на будь-яке з цих запитань вказує на прогалину в системі захисту. Щоб її усунути, необхідно скоординувати обидва підходи — не просто накласти інструменти один на одного, а об’єднати політики таким чином, щоб обидві площини регулювалися одними й тими самими правилами з єдиного центру управління.
Саме ця архітектура має вирішальне значення. У вичерпному посібнику з DLP розповідається про те, як уніфіковане управління політиками на кінцевих пристроях, у мережах та хмарних додатках усуває неузгодженість, яка створює ризики при невідповідності політик у різних середовищах.
Forcepoint DLP забезпечує такий уніфікований захист за допомогою єдиного механізму політик, дозволяючи застосовувати єдині заходи контролю на кінцевих пристроях, у мережі, в Інтернеті, в електронній пошті та в хмарі за допомогою однієї консолі. Понад 1800 готових класифікаторів і шаблонів відповідності прискорюють розгортання, а функція Risk-Adaptive Protection динамічно коригує заходи контролю з урахуванням поведінки користувачів, що дозволяє скоротити кількість помилкових спрацьовувань без шкоди для безпеки.
Джерело: Network DLP vs. Endpoint DLP: What’s the Difference and Which Do You Need?
