Системы защиты от утечек перестали выбирать по функционалу — что стало ключевым приоритетом
Андрей Щербаков
руководитель направления развития бизнеса продуктов компании «Гарда»
В 2025 году российские компании столкнулись с необычной ситуацией: объем утекших данных по сравнению с предыдущим годом увеличился в полтора раза (достигнув 767 млн строк), при этом количество зарегистрированных инцидентов уменьшилось. Для противодействия таким угрозам применяются системы защиты информации, включая решения для предотвращения утечек (DLP). Задача этих систем — отслеживать каналы передачи данных (электронная почта, мессенджеры, облачные сервисы, USB), выявлять и блокировать попытки несанкционированной передачи. Однако сегодня, в условиях резкого роста стоимости серверного оборудования (с 2024 года рынок СХД увеличился почти вдвое — до 280 млрд рублей) и изменения каналов утечек, подход к выбору и модернизации DLP претерпевает серьезные изменения. CNews совместно с руководителем направления развития бизнеса продуктов компании «Гарда» Андреем Щербаковым анализирует, на что теперь ориентируются заказчики при выборе DLP.
Совместимость с операционными системами: унифицированный уровень защиты
Первый и наиболее важный критерий — поддержка всех операционных систем. Несмотря на активное импортозамещение, российские компании редко ограничиваются одной платформой. В инфраструктуре одной организации одновременно могут использоваться Windows, различные дистрибутивы Linux — от Astra OS и «Альт» до Red OS и других редких отечественных сборок. Компьютеры на macOS, как отметил эксперт, часто применяются топ-менеджерами и разработчиками.
«Полностью отказаться от этого компании пока не в состоянии. Ситуацию усугубляет то, что Apple ужесточает свои ограничения, не предоставляя агентам защиты информации доступ к данным, которые необходимы для анализа и борьбы с угрозами, а также отзывает сертификаты, используемые разработчиками для подтверждения подлинности приложений. Всё это приводит к нестабильности.
DLP должна быть совместима со всеми типами операционных систем и гарантировать единый уровень защиты. Заказчику неважно, какая ОС используется. Он ожидает, что уровень безопасности будет везде одинаковым», — подчеркивает Андрей Щербаков.
Исторически сложилось, что Windows-агенты в DLP-системах были наиболее проработанными, тогда как Linux и macOS отставали по глубине перехвата. Сегодня это становится критически важным. Как отмечает Щербаков, для заказчиков важно не просто наличие агента под macOS, а зрелость и стабильность внедренных механизмов.
Мессенджеры как главный источник утечек
Раньше основная часть корпоративного общения проходила через электронную почту, и перехват критической информации с помощью DLP был относительно простой задачей. Сегодня, по словам эксперта, переписка всё чаще перемещается в мессенджеры. Щербаков отмечает, что во многих компаниях используются не корпоративные приложения, а популярные общедоступные мессенджеры. Также востребованы платформы для видеоконференций со встроенными чатами.
«Разумеется, заказчик стремится к тому, чтобы самый популярный канал передачи данных находился под полным контролем DLP-системы. И речь здесь не только об аудите, но и о возможности блокировать передачу конфиденциальной информации», — подчеркивает Андрей Щербаков.
Также критически важна скорость реакции на обновления мессенджеров. В 2022 году, после изменения шифрования одного из зарубежных мессенджеров, некоторые DLP-системы не могли перехватывать данные в течение нескольких месяцев. Сегодня заказчики рассчитывают на восстановление контроля в течение дней, а иногда и часов.
При этом значительная доля инцидентов происходит без злого умысла. Сотрудники пересылают конфиденциальные рабочие файлы в личных чатах, не разграничивая формальные и неформальные каналы общения. Именно поэтому мессенджеры сегодня считаются одним из наиболее рискованных направлений с точки зрения утечек.
Аппаратные ресурсы и стоимость внедрения
Рост цен и дефицит серверного оборудования кардинально изменили экономику DLP-проектов. Серверное оборудование стало не только дорогим, но и зачастую недоступным в нужные сроки.
«Аппаратные ресурсы сейчас очень дороги, а для многих компаний они и вовсе недоступны. Бывают случаи, когда стоимость железа превышает стоимость лицензии на саму DLP-систему», — отмечает Андрей Щербаков.
Дополнительная нагрузка возникает из-за обновлений: для переноса архивов, хранения данных и выполнения нормативных требований заказчику нередко приходится временно использовать вдвое больше серверных ресурсов. Как следствие, финальная стоимость проекта может вырасти в несколько раз.
Именно поэтому при выборе DLP-решения всё чаще сравнивают оценку необходимых ресурсов: сколько серверов понадобится для обработки трафика тысячи или более пользователей, насколько продуктивно система расходует ресурсы и где можно сократить затраты без ущерба для качества защиты.
Помимо серверной составляющей, ключевое значение имеет агент, устанавливаемый на рабочее место пользователя. Он должен правильно интегрироваться в процессы операционной системы и не создавать конфликтов с другими защитными решениями.
«На современном рабочем месте может быть установлено свыше десяти агентов: DLP, EDR, UAM, VPN-клиент, хост-файрвол и прочие. Все они соперничают за ресурсы устройства. Поэтому оптимизация агентской части — это не вопрос удобства, а вопрос стабильности бизнес-процессов.
Сейчас заказчики ожидают, что система сможет обрабатывать необходимый объём трафика, контролировать всех пользователей и сотрудников организаций, но при этом не требовать большого количества серверов для этих задач», — отмечает эксперт.
Прогнозируемая стоимость
В компании «Гарда» подчёркивают: полная стоимость владения DLP уже давно не ограничивается ценой лицензии.
«Совокупная стоимость владения (ТСО) включает не только покупку лицензии. Это целая цепочка: внедрение, поддержка, эксплуатация, дальнейшее масштабирование и затраты на инфраструктуру. Крайне важно, чтобы вся сборка укладывалась в предсказуемые расходы, чтобы клиент мог получить продукт, гарантирующий защиту данных», — рассказывает Андрей Щербаков.
Если система сложна в эксплуатации, заказчик вынужден нанимать дополнительных сотрудников, что неизбежно повышает TCO. Автоматизация и простота использования становятся для заказчика одними из главных критериев при выборе продукта.
Централизованный контроль для географически распределённых компаний
Крупные холдинги всё чаще отдают предпочтение архитектуре с локальными установками DLP в филиалах и единым центром управления.
«Иногда заказчик хочет, чтобы в каждом филиале была отдельная инсталляция DLP-системы, а над ней находился единый комплекс управления. Для таких компаний мы создаём мультитенантные системы*», — объясняет Щербаков.
Локальная обработка данных снижает нагрузку на каналы связи, а в центр передаются только индексы и аналитика. Гибкая ролевая модель позволяет филиалам самостоятельно работать со своими инцидентами, а головному офису — видеть общую картину и проводить сквозные расследования.
Тонкая настройка под политики конфиденциальности, отчётность и отказоустойчивость
Сегодня DLP — это комплексный инструмент для анализа содержимого. Помимо стандартных признаков конфиденциальности, системы должны уметь работать с неструктурированными данными и сложными сценариями.
По словам Щербаков, нередко работник одного отдела компании имеет доступ к секретным данным и может их пересылать, тогда как другим подразделениям это категорически запрещено.
Именно поэтому DLP выступает одной из ключевых основ DSP-платформы — комплексного подхода к защите информации.
«Необходимо комбинировать контентный и контекстный анализ. Система DLP обязана быть гибкой в настройках и поддерживать стандартные и оптимизированные рабочие процессы. Мы задаём политику, фиксируем инциденты, обнаруживаем ложные срабатывания и отмечаем их как таковые. Затем система постепенно уточняет свою политику, становясь всё более точной», — поясняет специалист.
Современные DLP-решения применяют словари ключевых слов, шаблоны документов, регулярные выражения, OCR для изображений, машинное обучение и анализ метаданных.
Для системы также критично качество отчётов об утечках и удобное представление инцидентов.
«Все уже привыкли, что у специалистов по безопасности есть дашборд, демонстрирующий статистику нарушений. Аналитик в области безопасности должен располагать собственным настраиваемым рабочим столом. Так сотрудник не будет тратить время на просмотр всего архива переписок, а с помощью специальных показателей выделит, что именно важно в DLP-системе в данный момент.
Кроме того, дашборды можно применять как отчётность для руководства — они наглядно показывают, что отдел обработал определённое количество инцидентов, сколько утечек удалось предотвратить, сколько было ложных срабатываний и что было исправлено. Такой формат аналитики помогает принимать верные управленческие решения и оценивать реальную нагрузку на сотрудников», — продолжает Щербаков.
Также существуют панели, позволяющие оценить общее «состояние» DLP и статус аппаратных ресурсов, на которых она функционирует. Это необходимо для настройки системы и обеспечения её бесперебойной работы.
Как отметил эксперт, DLP-система должна быть интегрирована в общую экосистему информационной безопасности — с SOC заказчика, включая продукты SIEM, SOAR и другие решения, и обладать возможностями реагирования.
Не менее значима и отказоустойчивость. Кластеры управления и фильтрации помогают минимизировать простои и гарантировать непрерывность защиты данных даже при отказах отдельных компонентов.
Продуманный выбор модулей для DLP
Заключительный тезис — осознанность. Заказчики всё чаще избегают излишних функций, которые упоминаются в презентациях, но не применяются на практике.
«Часто вендор стремится показать себя с лучшей стороны, добавляя слишком много дополнительных модулей. Но в реальности заказчик может их просто не использовать.
Нередко при подборе DLP-системы заказчик стремится получить максимально широкий спектр возможностей для перехвата, включая даже те протоколы, которые уже давно устарели. Например, мы часто видим, что отдел защиты данных настаивает на контроле протокола FTP. Однако впоследствии выясняется, что на уровне организации он запрещён и фактически не используется.
Чрезмерные требования могут привести к удорожанию DLP-системы. Мы рекомендуем подходить к формированию требований к системе защиты информации с ясным осознанием тех задач, которые она призвана решать».
Чем решения «Гарды» привлекают заказчиков?
Эксперт отмечает, что большинство российских DLP-продуктов были разработаны 10–15 лет назад, и предложить клиентам новые решения становится непросто. Сегодня вендоры стремятся уменьшить нагрузку на ресурсы заказчика, а также повысить надёжность, скорость обработки и стабильность работы системы.
Компания «Гарда» представляет DLP, которая отличается простотой настройки и эксплуатации. Модуль эффективно справляется с перехватом аудиоданных и распознаёт конфиденциальную информацию в записях с микрофона, что особенно актуально в условиях, когда утечки всё чаще происходят через мессенджеры.
Ещё одним преимуществом решений от «Гарды» является использование полного геокластера, который позволяет выполнять локальные установки и объединять их в единую централизованную DLP-платформу.
«Сейчас DLP всё активнее развиваются в сторону предотвращения утечек. Модуль должен не только отслеживать информацию, но и своевременно её блокировать. Новое требование к системам — маркировать, обезличивать и шифровать данные, чтобы даже в случае утечки они оставались недоступными для злоумышленников.
Важный тренд — создание платформенной системы, способной защищать данные на различных уровнях инфраструктуры: на уровне баз данных, пользовательских рабочих станций и разнообразных информационных систем. Комплексный подход к защите от утечек сегодня определяет конкурентоспособность DLP. На данный момент такие решения доступны не у всех вендоров», — подводит итог Андрей Щербаков.
* Мультитенантные (мультиарендные) системы — это программная архитектура, при которой один экземпляр приложения обслуживает несколько клиентов (тенантов). Вместо создания отдельного экземпляра для каждого клиента все они используют общий ресурс, разделяя данные и функциональность.
■ Рекламное объявлениеerid:2W5zFJt6YmPРекламодатель: ООО «Гарда Технологии»ИНН/ОГРН: ИНН 5260443081 / ОГРН 1175275040346Веб-сайт: https://garda.ai
