В последние годы сфера предотвращения потери данных (Data Loss Prevention, DLP) кардинально изменилась. Традиционные подходы на основе сети, которые защищали данные протекающие через корпоративные среды, больше не достаточно эффективны в современном мире, где преобладает удаленная работа и облачные технологии. Если организация все еще полагается на сетевую DLP как краеугольный камень своей стратегии защиты данных, возможно, пора переосмыслить этот подход.
Что такое сетевое DLP?
Сетевое DLP отслеживает данные в движении – информацию, движущуюся по сети организации. Обычно развернутое как шлюзовое устройство или сенсор, оно проверяет сетевой трафик через все порты и протоколы, обозначая или блокируя передачу конфиденциальных данных, нарушающих политику.
Сетевое DLP являлось основным элементом локальной безопасности, когда сотрудники были привязаны к офисным сетям, а трафик был централизованным.
Что такое DLP для конечных точек?
DLP для конечных точек сосредотачивается на данных на конечных точках – ноутбуках, настольных компьютерах или любых пользовательских устройствах. Оно отслеживает активность пользователя и передачу данных, контролируя, как данные копируются, перемещаются, загружаются или передаются через приложения, внешние устройства или облако.
Поскольку удаленная работа становится нормой, а данные хранятся везде – в облачных приложениях, файловых серверах и на локальных дисках – DLP для конечных точек стало незаменимым решением.
Достоинства и недостатки: сетевое DLP vs. DLP для конечных точек
| Функция | Сетевое DLP | DLP для конечных точек |
| Видимость | Видит данные, покидающие сеть (если сеть существует) | Отслеживает действия пользователя на самом устройстве |
| Развертывание | Аппаратное; зависит от трафика, проходящего через центральную сеть. | Программное; работает непосредственно на устройстве |
| Покрытие облачных инструментов/приложений | Ограниченная видимость облачных инструментов и использование вне сети | Полное покрытие – работает даже в оффлайне |
| Точность | Проверка пакетов и трафика | Понимает поведение пользователя и контекст |
| Приспособленность к удаленной работе | Слабая – работает только в корпоративных сетях. | Сильная – следует за пользователем/устройством, где бы он ни находился |
Работа вышла за пределы офиса – это касается и современной стратегии DLP
До COVID-19 сетевое DLP работало хорошо: пользователи находились внутри периметра сети, а весь трафик проходил через контролируемые компанией шлюзы.
- Работа на дому является нормой для многих организаций.
- Доминируют облачные архитектуры.
- Корпоративная сеть фрагментирована, если вообще существует.
В этом контексте сетевое DLP стало «слепым». Без централизованной сети для мониторинга невозможно отслеживать данные, передаваемые с неконтролируемых устройств или облачных платформ.
Основные ограничения обоих подходов
Ограничение сетевого DLP:
- Полагается на видимость сети.
- Не включает внесетевую активность или облачные приложения.
Ограничение DLP для конечных точек:
- Отслеживание передачи данных только для заранее определенного списка поддерживаемых приложений.
- Если пользователь устанавливает новый браузер или приложение для обмена сообщениями, которое не поддерживается DLP, утечка данных может произойти незаметно.
- Полная блокировка установки приложений путем удаления прав администратора снижает производительность многих пользователей.
Разумное решение: Многоуровневая защита с наименьшими привилегиями + мониторинг целостности
Чтобы закрыть эти пробелы без ущерба для производительности пользователей, организации объединяют DLP для конечных точек с:
Endpoint Privilege Manager
- Позволяет пользователям повышать привилегии, когда это необходимо.
- Позволяет устанавливать только предварительно одобренные программы.
- Блокирует несанкционированные (и неподдерживаемые) программы, обходящие видимость DLP.
Netwrix Change Tracker
Создает базис утвержденного ПО и конфигураций системы.
- Уведомляет ІТ-отдел безопасности о любых несанкционированных изменениях или установке приложений.
- Выявляет обходные пути или попытки эксплуатации, обходящие обычные средства контроля.
Вывод: DLP для конечных точек больше не только опция – это основа
По мере того как традиционная корпоративная сеть исчезает, а работа становится все более децентрализованной, сетевое DLP теряет свою эффективность. DLP для конечных точек теперь является краеугольным камнем любой современной стратегии защиты данных, обеспечивая видимость и контроль там, где данные находятся – на устройстве.
Однако DLP для конечных точек требует поддержки. Пользователь с локальными административными правами может установить программу, не соответствующую определенным политикам предотвращения потери данных (DLP), и использовать ее как черный ход для утечки конфиденциальных данных. Благодаря управлению привилегиями на конечных точках пользователи могут устанавливать только предварительно одобренные программы, соответствующие политикам DLP на конечных точках и общей стратегии. Вот почему сочетание DLP для конечных точек с такими инструментами как Endpoint Privilege Manager и Netwrix Change Tracker имеет решающее значение.
Такой многоуровневый адаптивный подход – самый лучший способ защитить данные, не замедляя работу бизнеса.
