За останні роки сфера запобігання втраті даних (Data Loss Prevention, DLP) кардинально змінилася. Традиційні підходи на основі мережі, які колись захищали дані, що протікають через корпоративні середовища, більше не є достатньо ефективними в сучасному світі, де переважає віддалена робота та хмарні технології. Якщо організація все ще покладається на мережеву DLP як наріжний камінь своєї стратегії захисту даних, можливо, настав час переосмислити цей підхід.
Що таке мережеве DLP?
Мережеве DLP відстежує дані в русі – інформацію, що рухається мережею організації. Зазвичай розгорнутий як шлюзовий пристрій або сенсор, він перевіряє мережевий трафік через усі порти й протоколи, позначаючи або блокуючи передачу конфіденційних даних, які порушують політику.
Мережеве DLP було основним елементом локальної безпеки, коли співробітники були прив’язані до офісних мереж, а трафік був централізованим.
Що таке DLP для кінцевих точок?
DLP для кінцевих точок зосереджується на даних на кінцевих точках – ноутбуках, настільних комп’ютерах або будь-яких пристроях користувача. Воно відстежує активність користувача та передачу даних у джерелі, контролюючи, як дані копіюються, переміщуються, завантажуються або передаються через додатки, зовнішні пристрої або хмару.
Оскільки віддалена робота стає нормою, а дані зберігаються скрізь – у хмарних додатках, файлових серверах і на локальних дисках – DLP для кінцевих точок стало незамінним рішенням.
Переваги та недоліки: мережеве DLP vs. DLP для кінцевих точок
| Функція | Мережеве DLP | DLP для кінцевих точок |
| Видимість | Бачить дані, що покидають мережу (якщо мережа існує) | Відстежує дії користувача на самому пристрої |
| Розгортання | Апаратне; залежить від трафіку, що проходить через центральну мережу | Програмне; працює безпосередньо на пристрої |
| Покриття хмарних інструментів/додатків | Обмежена видимість хмарних інструментів та використання поза мережею | Повне покриття – працює навіть в офлайні |
| Точність | Перевіряє пакунки та трафік | Розуміє поведінку користувача та контекст |
| Пристосованість до віддаленої роботи | Слабка – працює лише в корпоративних мережах | Сильна – слідує за користувачем/пристроєм, де б він не знаходився |
Робота вийшла за межі офісу – це стосується й сучасної стратегії DLP
До COVID-19 мережеве DLP працювало добре: користувачі перебували всередині периметра мережі, а весь трафік проходив через контрольовані компанією шлюзи. Сьогодні все змінилося:
- Робота з дому є нормою для багатьох організацій.
- Домінують хмарні архітектури.
- Корпоративна мережа фрагментована, якщо вона взагалі існує.
У цьому контексті мережеве DLP стало “сліпим”. Без центральної мережі для моніторингу воно не може бачити дані, що переміщуються з неконтрольованих пристроїв або хмарних платформ.
Основні обмеження обох підходів
Обмеження мережевого DLP:
- Покладається на видимість мережі.
- Не охоплює позамережеву активність або хмарні додатки.
Обмеження DLP для кінцевих точок:
- Відстежує передачу даних лише для заздалегідь визначеного списку підтримуваних додатків.
- Якщо користувач встановлює новий браузер або додаток для обміну повідомленнями, який не підтримується DLP, витік даних може відбутися непомітно.
- Повне блокування встановлення додатків шляхом видалення прав адміністратора знижує продуктивність багатьох користувачів.
Розумне вирішення: Багаторівневий захист з найменшими привілеями + моніторинг цілісності
Щоб закрити ці прогалини без шкоди для продуктивності користувачів, розумні організації поєднують DLP для кінцевих точок з:
Endpoint Privilege Manager
- Дозволяє користувачам підвищувати привілеї, коли це необхідно.
- Дозволяє встановлювати лише попередньо схвалені програми.
- Блокує несанкціоновані (і непідтримувані) програми, які обходять видимість DLP.
Netwrix Change Tracker
Створює базис затвердженого програмного забезпечення та конфігурацій системи.
- Сповіщає ІТ-відділ безпеки про будь-які несанкціоновані зміни або встановлення додатків.
- Виявляє обхідні шляхи або спроби експлуатації, які обходять звичайні засоби контролю.
Висновок: DLP для кінцевих точок більше не лише опція – це основа
У міру того, як традиційна корпоративна мережа зникає, а робота стає все більш децентралізованою, мережеве DLP втрачає свою ефективність. DLP для кінцевих точок тепер є наріжним каменем будь-якої сучасної стратегії захисту даних, забезпечуючи видимість і контроль там, де дані фактично знаходяться – на пристрої.
Проте, DLP для кінцевих точок потребує підтримки. Користувач з локальними адміністративними правами може встановити програму, яка не відповідає визначеним політикам запобігання втраті даних (DLP), і використовувати її як чорний хід для витоку конфіденційних даних. Завдяки управлінню привілеями на кінцевих точках користувачі можуть встановлювати лише попередньо схвалені програми, які відповідають політикам DLP на кінцевих точках і загальній стратегії. Ось чому поєднання DLP для кінцевих точок з такими інструментами, як Endpoint Privilege Manager і Netwrix Change Tracker, має вирішальне значення.
Такий багаторівневий адаптивний підхід – найкращий спосіб захистити дані, не сповільнюючи роботу бізнесу.
