Чем больше технологий можно использовать в конкретной DLP-системе, тем более она эффективна при правильной настройке

Чем больше технологий можно использовать в конкретной DLP-системе, тем более она эффективна при правильной настройке

Александр Ковалев

Окончил Московскую финансово-промышленную академию (МФПА) по специальности «Корпоративное управление».

Александр пришел в Zecurion в 2006 году на должность ведущего менеджера по работе с заказчиками и отвечал за реализацию проектов с ключевыми заказчиками компании.

В 2008 году Александр был назначен директором по маркетингу Zecurion и в настоящий момент отвечает за маркетинг, связи с общественностью и рекламу продуктов и решений компании.

...

На вопросы информационно-аналитического центра Anti-Malware.ru любезно согласился ответить Александр Ковалев, директор по маркетингу компании Zecurion. Это интервью продолжает цикл публикаций "Индустрия в лицах". 

Сегодня во многих компаниях все больше делается упор на защиту конфиденциальной информации, однако, пока нет достаточной ясности и единства в понимании того, что же представляет собой полноценная DLP-система. Как Вы для себя определяете понятие DLP? Не устарел ли сам термин? Может быть, правильнее и логичнее в современных условиях говорить о более широком рынке IPC (InformationProtection & Control)?

В нашем понимании термин DLP не устарел, и решения для борьбы с утечками информации будут существовать в течение довольно продолжительного периода времени, не будучи объединенными с другими типами продуктов для обеспечения безопасности данных и интегрированными в более глобальные системы такого рода. Что касается термина IPC, то он, действительно, более точно отражает концепцию комплексной защиты, и мы активно его использовали в 2008-2009 гг., но, к сожалению, он не прижился ни в России, ни за рубежом, поэтому мы от него отказались в пользу термина DLP как наиболее понятного и распространенного.

DLP мы определяем как систему защиты от утечек всей критически важной информации; иногда, если заказчику или партнеру не вполне ясен смысл термина, мы прибегаем к более простым толкованиям наподобие «система контроля почты, трафика, съемных носителей» и им подобным, что не меняет основной задачи DLP, — в первую очередь, это защита от утечек данных.

Вроде бы все уже согласились, что DLP не панацея, а только способ снизить риски ИБ. Насколько в действительности DLP снижает эти риски?

Откровенно говоря, не все еще согласились с такой точкой зрения — многие наши коллеги по-прежнему в этом убеждены, — но, действительно, как и любое иное решение для обеспечения безопасности, DLP лишь сокращает потенциальные риски при правильной конфигурации DLP-системы. При этом придумывать какой-то универсальный показатель, отражающий снижение рисков, не имеет смысла, поскольку многое в данном случае зависит от специфики политик безопасности, защищаемых активов и баланса между удобством работы и надежностью системы.

Какие каналы надо защищать в первую очередь? И какие обычно защищают?

У нас имеются данные статистики и по реальным утечкам, и по защите каналов в российских компаниях. Мы считаем, что, в первую очередь, необходимо защищать электронную почту, USB-носители, принтеры и веб-трафик (главным образом социальных сетей и веб-почты). Обычно основное внимание уделяется контролю корпоративной электронной почты, чуть реже — доступу к съемным дискам (на то есть решение Zlock, которое фактически появилось раньше систем DLP; в настоящее время этот наш продукт занимает соответствующий сектор отечественного рынка совместно с еще одной системой в соотношении примерно 50:50). Интернет-пейджеры и различные веб-сервисы по отдаваемой им приоритетности, таким образом, занимают третью позицию — их риск как потенциального канала утечки до сих пор несколько недооценен. Продукты наподобие Zdiscovery, позволяющие обнаруживать конфиденциальную информацию в сети, используются еще реже: нам известно всего несколько компаний, где внедрены такие решения.

Расскажите о ребрендинге: с какой целью вы его провели и какого эффекта ожидаете? Довелось ли столкнуться с какими-либо проблемами (в частности, имелись ли сложности в формировании и поддержке узнаваемости нового бренда вместо хорошо зарекомендовавшего себя старого)?

При ребрендинге мы ставили перед собой несколько целей. Во-первых, назрела необходимость консолидировать наши российские и зарубежные бренды с учетом того, что название SecurIT, используемое с 2001 года, невозможно было использовать на Западе. Несколько лет назад, когда мы начали деятельность за пределами России, не было даже соответствующего домена: все вариации на тему, в частности, securit.com были заняты.

Во-вторых, ребрендинг позволил изменить названия продуктов. Наименование SecurIT мы не могли использовать в названиях продуктов в силу ряда причин, связанных с правами на торговую марку, что и привело к появлению названий Zlock, Zgate и им подобных. В связи с этим мы испытывали некоторые сложности в позиционировании продуктов, не имея возможности назвать свое по сути комплексное решение, к примеру, SecurIT DLP. Теперь мы плавно корректируем позиционирование продуктов, объединяя их под наименованием Zecurion DLP — что соответствует принятой на рынке практике, которой следует большинство производителей.

Мы уже получили определенный эффект от ребрендинга, в частности от преобразования корпоративного сайта, благодаря которому существенно (в 2 или 3 раза) возросло количество входящих обращений. В целом мы довольны сменой бренда. Конечно, это создает неизбежные задачи по повышению узнаваемости, однако существенной сложностью можно назвать разве что задержку при сдаче нового сайта фирмой-подрядчиком.

В нашем аналитическом отчете по российскому рынку DLP за 2010 год ваша компания входит в тройку лидеров. А результаты 2011 года вы уже подвели? Какое место по вашим ощущениям вы сейчас занимаете на рынке? Насколько вы удовлетворены результатами?

Да, мы подвели итоги 2011 года, и немного увеличили свою долю до 35%. При этом наши собственные оценки наверняка опять разойдутся с исследованием Anti-Malware.ru. Это связано с тем, что большую часть продаж мы делаем без потерь «на канале» — напрямую. Эта изначальная бизнес-модель Zecurion по-прежнему эффективна, и мы не планируем её менять. Соответственно, мы оцениваем долю рынка не по количеству проданных лицензий или совокупной стоимости, а по реальному обороту. Мы считаем, что в нашем бизнесе такой подсчет наиболее корректен и объективен.

Наши собственные оценки, что мы лидируем на российском DLP-рынке, подтвердились независимым исследованием CNews Analytics: мы занимаем первое место среди DLP-вендоров в их рейтинге ИБ-компаний 2011 года, в котором основанием для сравнения служил собственный оборот компании. Так что результатами продаж мы удовлетворены — и за 2010, и за 2011, и уже за текущий 2012 год

Кстати, как вы относитесь к своим конкурентам?

Мы очень хорошо относимся к своим конкурентам, с удовольствием работаем с ними на одном рынке, и нам бы хотелось, чтобы они ничего принципиально не меняли.

Вам больше 10 лет, вы фактически самый опытный DLP-вендор на российском рынке. Вы следуете тенденциям рынка или формируете их? Определены ли планы развития компании за пределами российского рынка?

Из этих 10 лет именно направлением DLP мы занимаемся около шести-семи, поэтому, говорить, что мы — самый опытный DLP-вендор, было бы излишне громко. Однако, как производитель решений по информационной безопасности, мы действительно входим в число наиболее опытных компаний. Мы давно присутствуем на рынке, знаем спрос как в enterprise-сегменте, так и в SMB. Что касается тенденций, то в целом рынок DLP сложен, нельзя сказать, что на нем имеется безусловный лидер, и мы, скорее, формируем тенденции совместно, усилиями всех основных игроков. Однако в настоящее время состояние рынка (главным образом относительно технической части) таково, что никаких специфических изменений в краткосрочной перспективе не предвидится.

У лидеров рынка имеется сложившееся функциональное наполнение продуктов, которое удовлетворяет заказчиков, так что на выбор конкретного решения часто влияют довольно субъективные факторы — скажем, удобство интерфейса. Не секрет, к примеру, что у одного из крупных производителей для полноценного управления продуктом до сих пор обязательно требуется писать скрипты; консоль есть, но она по какой-то причине до сих пор не доделана. У еще одной довольно известной компании консолей 12 штук. Очевидно, что, при прочих равных, заказчики всё больше внимания уделяют интерфейсу и наглядности системы отчётности. И это правильно, так как сверхфункциональный, но неудобный DLP-продукт без адекватной системы отчетности по сути если не бесполезен, то малоэффективен. Именно поэтому мы постоянно вносим всё новые корректировки в интерфейс Zecurion DLP.

Планы развития за пределами российского рынка, безусловно, определены, причем сделано это было уже давно, в 2006 году; в настоящее время мы успешно реализуем данные планы. Конечно, у Zecurion на Западе еще есть возможности для роста, но, при этом, у нас уже имеется довольно много enterprise-заказчиков и в США, и в Европе. Кроме этого, у нас имеются клиенты в Азии и на Ближнем Востоке, в частности, в Турции, где Zecurion DLP является стандартом для многих государственных органов.

На какой сегмент рынка, в основном, ориентированы продукты Zecurion, и кто ваши реальные клиенты? В каком секторе у вас наибольшее количество внедрений?

Разные продукты ориентированы на разные сегменты; мы работаем по всем направлениям: крупный, средний, малый бизнес. Однако наши флагманские продукты, Zgate и Zlock — это решения в первую очередь для enterprise-сегмента, для компаний с парком в несколько тысяч машин; хотя они успешно работают и в небольших организациях, их архитектура и интерфейс изначально проектировались именно с расчетом на крупные компании (ТЭК, финансовый сектор и т. п.). Говоря о клиентах, мы, чаще всего, не можем называть конкретные бренды и количество проданных лицензий — такова специфика рынка. Для примерного представления масштабов могу сказать, что только в России наши продукты были внедрены в четырех организациях, где количество пользователей (и, соответственно, лицензий) превышает 100 000. Два из них — банки, одна страховая компания и одна — нефтяная. Кстати, как раз их логотипы можно посмотреть у нас на сайте в разделе «Клиенты». В отличие от большинства конкурентных продуктов, наши решения не имеют повышенных требований к инфраструктуре и персоналу — те же Zlock и Zgate не имеют проблемы масштабирования и могут успешно работать как в сети из 200 000 рабочих станций, так и на нескольких компьютерах. При этом принципиально мы всё же ориентируемся на крупный бизнес, однако имеем множество продаж и в SMB, особенно в middle-сегменте, где, ко всему прочему, очень важны удобство и надежность.

Многие эксперты уверяют, что внедрение DLP-систем достаточно трудоемкий процесс и сопровождается долгим периодом настройки. Как решается данная проблема в Zecurion?

Внедрение DLP — не трудоемкий процесс, а просто сам по себе сложный, в сравнении, например, с настройкой антивируса, где все сигнатуры угроз уже имеются в наличии и самостоятельно обновляются, так что пользователю остается лишь конфигурировать работу самой системы в целом. В случае DLP подобных баз по умолчанию нет — имеется, конечно, некий стандартный набор правил, но, в принципе, у каждой компании конфиденциальные данные всецело свои, уникальные. Кто-то, например, не считает, что персональные данные сотрудников конфиденциальны, и не видит необходимости защищать их при помощи DLP; другому необходимо оберегать специфические данные, допустим, по геологической разведке, которые не востребованы более никем, кроме него самого и еще двух-трех организаций на всю Россию.

Когда у заказчиков возникают такие специфические задачи, мы даем требуемые рекомендации по настройке системы именно под их нужны, и, конечно, продолжительность внедрения немного возрастает. В случае с DLP невозможно сегодня поставить продукт, а на следующий день уже располагать защитой от всех сценариев утечек. Возможности системы DLP достаточно широки, равно как и выполняемые ею задачи; однако, если заказчик хочет, чтобы DLP-система контролировала данные с минимальными ошибками, потребуется потратить определенное время на ее ручную настройку в соответствии со спецификой бизнеса и видением информационной безопасности со стороны руководства. Впрочем, у нас имеется ряд технологий автоматического обнаружения конфиденциальных данных и создания соответствующих политик, которые существенно облегчают процесс внедрения, например, «цифровые отпечатки». В целом же, на наш взгляд, никаких экстраординарных ресурсов при внедрении DLP не требуется.

А возможно ли, в принципе, на ваш взгляд, «DLP из коробки»?

В принципе, возможно автоматизировать максимум операций, однако после развертывания в любом случае потребуется настраивать политики. Если у заказчика нет желания делать это, то можно воспользоваться технологией цифровых отпечатков, указав продукту базу конфиденциальных документов и предоставив ему возможность самообучиться на ней. Следует, однако, помнить, что при таком подходе некоторые конфиденциальные документы все равно будут пропускаться. К примеру, для перехвата персональных данных потребуется задавать регулярные выражения. Но в любом случае, исходя из нашего опыта, даже наиболее масштабные внедрения с несколькими десятками офисов по миру никогда не занимали более 1 года — причем с учетом значительного количества внутренних согласований и необходимых разрешений, на которые как раз и уходит большая часть времени.

Многих интересует, есть ли возможность с помощью решений Zecurion осуществлять контроль и запись переписки сотрудников в чатах, форумах, через IM-клиенты или социальные сети. Опять же, возможно ли контролировать общение через Skype?

Все эти возможности есть, в том числе поддержка Skype. В части контроля каналов мы постоянно следим за тем, чтобы наши продукты поддерживали максимум употребительных сервисов. В частности, мы поддерживаем практически все популярные Интернет-пейджеры, социальные сети, интерактивные службы и.т.д. У тех же Google, Mail.Ru, Yahoo, например, имеется значительное количество разнообразных сервисов; не все из них пользуются существенной популярностью, но, тем не менее, они также могут служить каналами вывода конфиденциальных сведений. Наши решения обеспечивают всесторонний и удобный контроль подобных каналов, причем даже в тех случаях, когда формально та или иная служба либо ресурс не поддерживается — т.к. перехвату и анализу подвергается весь объем трафика, идущий через Zecurion DLP.

Традиционная отличительная особенность продуктов Zecurion — богатый и качественный функционал. Чем вы готовитесь удивить рынок в этом году?

Во-первых, мы в ближайшее время выведем на рынок консоль с развитой системой отчетности и обновленным интерфейсом. Текущий интерфейс можно охарактеризовать как находящийся приблизительно на одном уровне с конкурентами (не считая  вышеупомянутых скриптов или 12 консолей); мы же хотим вывести взаимодействие с пользователем на новый уровень, чтобы оно было максимально удобно. Поэтому мы несколько изменили дизайн консоли и ввели новую систему отчетности. По мнению заказчиков, которые уже успели с ней ознакомиться, она будет лучшей из имеющихся в настоящее время на рынке — собственно, как мы и планировали изначально. Отчеты более не будут состоять всего из нескольких общих графиков и таблиц, как это пока принято на DLP-рынке — в новой версии Zecurion DLP они будут содержать несколько десятков визуальных и табличных представлений различной статистической информации. В итоге новая система отчетности позволит не только эффективнее управлять защитой от утечек данных компании в целом и реагировать на инциденты, но и будет полезна для демонстрации результатов работы DLP-системы и подразделения ИБ руководству.

Также в ближайших планах — интеграция криптографической защиты в DLP. Совсем скоро выйдет новая версия Zlock 5.0, в которой названный нами «криптопериметром» функционал будет встроен. То есть, у системы контроля устройств появится принципиально новый функционал: она сможет шифровать все файлы, которые записываются на съемные носители в пределах организации, и открытие их на других ПК или группах компьютеров будет ограничено. Соответственно, компании, часто практикующие физическую транспортировку данных, смогут снизить соответствующие риски и нагрузку на персонал. Мы ожидаем, что это решение будет востребовано организациями, имеющими развитую филиальную сеть. Разработка криптопериметра ведется уже давно и в настоящее время находится на стадии выпускающего тестирования.

На пресс-конференции вы анонсировали выход нового продукта Zdiscovery. Расскажите о нем подробнее, пожалуйста. Вы планируете позиционировать его в рамках вашей концепции DLP-комплекса?

Zdiscovery — это система для обнаружения конфиденциальных данных внутри корпоративной сети, на персональных компьютерах, ноутбуках, серверах и.т.д. Она позволяет отслеживать факты нарушения политики безопасности — в частности, наблюдать за тем, где и какие конфиденциальные документы хранятся пользователями, удалять или перемещать подобные объекты в соответствии с политикой безопасности либо отправлять соответствующие уведомления администратору.

Это, в определенной мере, недооцененный сегмент, и ранее такие продукты были только у западных производителей. На наш взгляд, данный функционал интересен, но пока что нам сложно оценить спрос на него: с точки зрения рынка подобные компоненты, скажем так, не очень заметны — их продают в комплексе с другими решениями, в отличие от относительно самостоятельных Zdiscovery, Zgate и Zlock, так как в целом рынок поиска данных в сети пока еще недостаточно развит. На данный момент это продукт на перспективу, приобретаемый в основном пока теми компаниями, которые уже являются нашими клиентами. Что касается позиционирования, то, думаю, мы включим Zdiscovery в состав комплекса Zecurion DLP наряду со всеми остальными решениями.

Только рынок привыкает к более-менее устоявшимся границам DLP, как вендоры предлагают их расширить. А где пролегает граница DLP в вашей продуктовой линейке?

Я думаю, что производители будут расширять границы DLP, все же, оставаясь в рамках защиты от утечек, так что в течение нескольких ближайших лет DLP будет развиваться в пределах своих изначальных задач. Тем не менее, постепенно имеющийся функционал будет все более активно использоваться другими службами (HR, финансовыми и.т.п.), поскольку производители будут разъяснять заказчикам возможности подобного использования DLP и тем самым формировать соответствующие тенденции. Уже сейчас, к примеру, предлагается отслеживать таким образом репутацию в Интернете, защищать кадры от переманивания или выявлять факты размещения резюме на популярных ресурсах по поиску работы; это может быть очень полезно, в том числе и с точки зрения конкретных сотрудников.

В некоторых проектах — пока, к сожалению, достаточно редких, — к процессу выбора системы, и к ее эксплуатации, и к процессу финансирования подключаются смежные департаменты. В первую очередь это HR, во вторую — финансы и прочие бизнес-подразделения (маркетинга, продаж и.т.п.); они действительно используют систему и успешно решают с ее помощью свои задачи — хотя, вроде бы, DLP изначально для этого не предназначена. Соответственно, если тенденция расширения спектра решаемых DLP задач будет продолжаться, то постепенно, думаю, все DLP-вендоры придут к практике добавления в свои продукты подобного вспомогательного функционала, ориентированного на профильные департаменты заказчиков. Соответственно, масштаб систем защиты от утечек будет расширяться за пределы нынешнего обслуживания интересов IT-департаментов и отделов ИБ, а задачи будут смещаться в сторону более бизнес-ориентированных. DLP вообще является магистральным направлением в защите данных от внутренних угроз, так что, полагаю, оно будет интенсивно развиваться в будущем.

В последнее время аналитики много говорят о проблеме мобильных устройств на предприятии. По их мнению, использование частных устройств сотрудников (ноутбуки, телефоны и планшеты) создает повышенный риск утечки информации. Возможно ли с помощью решений Zecurion минимизировать эти риски? Планируется ли в связи с этим поддержка MacOS, Android, iOS, Symbian и пр. в решениях Zecurion для контроля над информацией на уровне конечных точек?

По нашей статистике, мобильных устройств на предприятиях (и, соответственно, их операционных систем) в настоящее время относительно немного. Поэтому, в ближайшие несколько лет мы не планируем поддерживать ни Android, ни iOS, ни даже MacOS или Linux. C точки зрения бизнеса нам это пока не особенно интересно — еще далеко не все Windows-компьютеры защищены от угроз надлежащим образом. Соответственно, разработка версий DLP-систем Zecurion для других платформ — это задача на отдаленную перспективу.

Как Вы считаете, как будут эволюционировать технологии обнаружения утечек в ближайшие несколько лет? Какие технологии контроля информации являются более перспективными: на уровне шлюза или непосредственно на пользовательских ПК?

Есть некоторые инновационные разработки в этой области — к примеру, нейронные сети, искусственный интеллект и.т.п. — и вполне вероятно, что дальнейшее развитие DLP пойдет именно в этом направлении. Такие технологии позволяют приблизиться к концепции «DLP из коробки» или, по крайней мере, упростить внедрение путем автоматизированного формирования правильных политик безопасности. Однако нужно понимать, что сделать искусственный интеллект в DLP реально работающим весьма непросто: если даже офицер безопасности не всегда может корректно определить степень конфиденциальности конкретного письма без консультаций с коллегами, то научить это делать машину будет куда труднее. Мы уже довольно давно используем свою собственную технологию SmartID, обеспечивающую самообучение DLP-системы, и, на текущий момент, она дополняет цифровые отпечатки, регулярные выражения и прочие технологии (которых у нас больше всех на рынке), но, все же, это эволюционное решение. Если говорить о революционных технологиях, то к таковым можно отнести, опять же, нейронные сети, которые в перспективе, возможно, появятся в наших продуктах; есть также ряд других интересных технологий наподобие обработки цифровых отпечатков изображений, звуков и видео, однако на текущий момент по нашей практике они не являются чрезвычайно востребованными — фактически тот набор технологий, который актуален для данного момента, уже достаточен для эффективной работы любой DLP.

Сегодня очень модно говорить о гибридных технологиях, то есть когда несколько технологий используются одновременно, дополняя друг друга. Многие пытаются  применять этот подход в своих продуктах. Как Вы к этому относитесь, имеет ли это смысл? Планируется ли полноценное использование гибридных технологий в решениях вашей компании?

Мы считаем, что такой подход действительно следует применять, и сами используем термин «гибридные технологии». В частности, в наших продуктах имеются упомянутые выше цифровые отпечатки, регулярные выражения, формальные атрибуты, лингвистика, включая стемминг, и еще несколько технологий анализа. Вообще же, исходя из нашей практики, для разных типов и объемов данных необходимо использовать разные технологии, чтобы повысить эффективность системы. К примеру, те же цифровые отпечатки совершенно неэффективны по отношению к небольшим документам или письмам — они будут срабатывать на них постоянно, фактически вне зависимости от наличия в них конфиденциальных данных. В целом же, чем больше технологий можно использовать в конкретной DLP-системе, тем более она эффективна при правильной настройке.

Спасибо и с пожеланием дальнейших успехов!