Что такое DLP и как они работают?

Сегодня рынок DLP-систем является одним из самых быстрорастущих среди всех средств обеспечения  информационной безопасности. Впрочем, отечественная ИБ-сфера пока не совсем успевает за мировыми тенденциями, в связи с чем у рынка DLP-систем в нашей стране есть свои особенности.

Что такое DLP и как они работают?

DLP-система — программный продукт, защищающий организации от утечек конфиденциальной информации. Сама аббревиатура DLP расшифровывается как Data Leak Prevention(предотвращение утечек данных).

Подобного рода системы создают защищенный цифровой «периметр» вокруг организации, анализируя всю исходящую, а в ряде случаев и входящую информацию. Контролируемой информацией должен быть не только интернет-трафик, но и ряд других информационных потоков: документы, которые выносятся за пределы защищаемого контура безопасности на внешних носителях, распечатываемые на принтере, отправляемые на мобильные носители через Bluetooth и т.д.

Поскольку DLP-система должна препятствовать утечкам конфиденциальной информации, то она в обязательном порядке имеет встроенные механизмы определения степени конфиденциальности документа, обнаруженного в перехваченном трафике. Как правило, наиболее распространены два способа: путём анализа специальных маркеров документа и путём анализа содержимого документа. В настоящее время более распространен второй вариант, поскольку он устойчив перед модификациями, вносимыми в документ перед его отправкой, а также позволяет легко расширять число конфиденциальных документов, с которыми может работать система.

Контроль действий персонала с помощью DLP-системы

Наиболее часто DLP-системы применяются для решения следующих неосновных для себя задач:

• контроль использования рабочего времени и рабочих ресурсов сотрудниками;
• мониторинг общения сотрудников с целью выявления «подковерной» борьбы, которая может навредить организации;
• контроль правомерности действий сотрудников (предотвращение печати поддельных документов и пр.);
• выявление сотрудников, рассылающих резюме, для оперативного поиска специалистов на освободившуюся должность.

За счет того, что многие организации полагают ряд этих задач (особенно контроль использования рабочего времени) более приоритетными, чем защита от утечек информации, возник целый ряд программ, предназначенных именно для этого, однако способных в ряде случаев работать и как средство защиты организации от утечек. От полноценных DLP-систем такие программы отличает отсутствие развитых средств анализа перехваченных данных, который должен производиться специалистом по информационной безопасности вручную, что удобно только для совсем небольших организаций (до десяти контролируемых сотрудников).

Классификация DLP-систем

Все DLP-системы можно разделить по ряду признаков на несколько основных классов. По способности блокирования информации, опознанной как конфиденциальная, выделяют системы с активным и пассивным контролем действий пользователя.

Первые умеют блокировать передаваемую информацию, вторые, соответственно, такой способностью не обладают. Первые системы гораздо лучше борются со случайными утечками данных, но при этом способны допустить случайную остановку бизнес-процессов организации, вторые же безопасны для бизнес-процессов, но подходят только для борьбы с систематическими утечками.

Ещё одна классификация DLP-систем проводится по их сетевой архитектуре. Шлюзовые DLP работают на промежуточных серверах, в то время как хостовые используют агенты, работающие непосредственно на рабочих станциях сотрудников. Сегодня наиболее распространенным вариантом является совместное использование шлюзовых и хостовых компонентов.

Мировой рынок DLP

В настоящее время основными игроками мирового рынка DLP-систем являются компании, которые широко известны другими своими продуктами для обеспечения информационной безопасности в организациях. Это, прежде всего, Symantec, McAffee, TrendMicro, WebSense. Общий объём мирового рынка DLP-решений оценивается в 400 млн долларов, что совсем немного по сравнению с тем же рынком антивирусов. Тем не менее, рынок DLP демонстрирует бурный рост: ещё в 2009 году он оценивался немногим более 200 млн.

Перспективы и тенденции

Главной тенденцией, как полагают эксперты, является переход от «заплаточных» систем, состоящих из компонентов от различных производителей, решающих каждый свою задачу, к единым интегрированным программным комплексам. Причина подобного перехода очевидна: комплексные интегрированные системы избавляют специалистов по информационной безопасности от необходимости решать проблемы совместимости различных компонентов «заплаточной» системы между собой, позволяют легко изменять настройки сразу для больших массивов клиентских рабочих станций в организациях, а также позволяют не испытывать сложностей при переносе данных из одного компонента единой интегрированной системы в другой. Также движение разработчиков к интегрированным системам идёт в силу специфики задач обеспечения информационной безопасности: ведь если оставить без контроля хотя бы один канал, по которому может произойти утечка информации, нельзя говорить о защищенности организации от подобного рода угроз.

Западные производители DLP-систем, пришедшие на рынок стран СНГ, столкнулись с рядом проблем, связанных с поддержкой национальных языков. Поскольку рынок СНГ весьма интересен западным вендорам(компаниям, производящаими/или поставляющим товары и услуги под собственным брендом), сегодня они ведут активную работу над поддержкой русского языка, которая является основным препятствием для их успешного освоения рынка.

Ещё одной важной тенденцией в сфере DLP является постепенный переход к модульной структуре, когда заказчик может самостоятельно выбрать те компоненты системы, которые ему необходимы (например, если на уровне операционной системы отключена поддержка внешних устройств, то нет необходимости доплачивать за функциональность по их контролю). Важную роль на развитие DLP-систем будет оказывать и отраслевая специфика – вполне можно ожидать появление специальных версий известных систем, адаптированных специально для банковской сферы, для госучреждений и т.д., соответствующих запросам самих организаций.

Немаловажным фактором, влияющим на развитие DLP-систем, является также распространение ноутбуков и нетбуков в корпоративных средах. Специфика лэптопов (работа вне корпоративной среды, возможность кражи информации вместе с самим устройством и т.д.) заставляет производителей DLP-систем разрабатывать принципиально новые подходы к защите портативных компьютеров. Стоит отметить, что сегодня лишь немногие вендоры готовы предложить заказчику функцию контроля ноутбуков и нетбуков своей DLP-системой.

Оцифровка человеческих факторов

Сегодня в приоритете у служб безопасности – работа на упреждение: выявление предпосылок возможного инцидента, а не работа с его последствиями. Однако далеко не всегда возможно обнаружить потенциальных инсайдеров классическими методами и инструментами, даже такими проверенными и надежными, как DLP-системы. На то есть несколько причин:

• технические средства защиты информации бессильны перед ухищрениями пользователей;
• инциденты и преступления зачастую не оставляют следов;
• доступность информации повышает уровень ИТ-компетенций пользователей;
• защищаться всегда тяжелее, чем нападать. Сложно предугадать, как поведет себя преступник, какую мошенническую схему организует.

Однако это не снимает со специалистов по информационной безопасности важных задач. Им необходимо:

• создать эффективный механизм прогнозной оценки поведения пользователя;
• найти простой, быстрый и эффективный способ расследования инцидентов;
• правильно определить и ранжировать уровень человеческого риска.

Важно также помнить, что ключевым параметром расследования инцидентов, связанных с человеческим фактором, становится время.

Помогут решить эти задачи и качественно улучшить работу на упреждение инструменты из смежных областей, такие как профайлинг. Он включает набор инструментов нетестовой психодиагностики, позволяющий быстро и надежно «прочитать человека», понять его индивидуальные особенности и эффективно использовать их в коммуникации, прогнозировать поведение.

Инструменты профайлинга:

• анализ психолингвистики;
• определение типа характера;
• применение стратегии и тактики коммуникаций;
• понимание мимики и пантомимики (эмоции);
• выявление стратегий мышления и поведения.

Профайлинг: как его применять?

Профайлинг возник на стыке психологии и криминалистики. В частности, элементы данной технологии используются для раскрытия уголовных преступлений и антитеррористической деятельности.

DLP и профайлинг – симбиоз технологий

Задача — автоматизация прогнозной оценки и включение инструментов профайлинга в функциональность DLP.

Кроме сокращения трудозатрат, автоматизация профайлинга позволяет не спугнуть осторожного инсайдера, избежать нагнетания обстановки в компании, проводить расследование и предварительную диагностику, не привлекая лишнего внимания персонала.

Реализация этой идеи основывается на психологических особенностях пользователя. Дело в том, что они влияют на то, как человек работает за персональным компьютером. Модуль профайлинг-центра в DLP будет анализировать поведение пользователя, а также отклонения от его обычного состояния. Система будет формировать психологический профиль пользователя по определенным алгоритмам, т.е. возьмет рутинные задачи на себя и значительно упростит работу ИБ-специалисту.

Профайлинг – новое направление психологии, сферой изучения которого является прогнозирование поведения людей на основании анализа вербальных и невербальных признаков с целью выявления лжи без задействования специальных устройств (детектора лжи).

Немного истории

Появился профайлинг в Британии. С английского слово переводится как «профилирование или составление психологического портрета». Методы профайлинга впервые применил английский хирург Томас Бонд в 1888 году для составления психологической характеристики серийного маньяка Джека-Потрошителя. Развитие профайлинг получил в сфере криминалистики, использовался для составления психологического портрета подозреваемого по уликам, оставленным на месте преступления.

С 1985 года методы профайлинга, разработанные в ФБР Р. Ресслером и П. Бруксом, применяются для поиска и задержания лиц, подозреваемых в совершении тяжких насильственных серийных преступлений.

Второй сферой использования методик профайлинга стало обеспечение безопасности авиаперелетов при помощи опроса и наблюдения за пассажирами во время предполетного досмотра. Профилирование личности позволяет выявлять потенциально опасных граждан и минимизирует риск совершения терактов на борту самолета. Впервые применили методики профилирования личности израильская авиакомпания Эль-Аль и аэропорт Бен-Гурион. В компаниях организовано обучение профайлеров (специалистов по профайлингу).

В дальнейшем термин «профайлинг» стал более широким, он включает использование психологических инструментов по анализу достоверности сообщаемой человеком информации, ее соответствия невербальному поведению (жестам, мимике, микроэкспрессии).

Психологические методики, которые применяет профайлер, направлены на определение склонности испытуемого ко лжи или мошенничеству.
В корпорациях профилирование, включающее анализ внешности, особенностей проявления эмоций, специфики речи, применяют в кадровой политике (во время собеседования с кандидатом на должность или для выявления сотрудников, нарушающих корпоративные правила) и во время проведения переговоров с контрагентами.

Несмотря на то, что результаты оценки по методике профайлинга зависят от квалификации и опыта специалиста, их достоверность превышает точность данных, полученных при помощи полиграфа (детектора лжи). Грамотный профайлер способен заметить ложь даже во время телефонного разговора с незнакомым человеком.

Психологическая база профилирования

Профайлинг основан на том, что большинство людей чувствует дискомфорт, когда лжет. Обманщик прекрасно осознает, что может быть разоблачен и наказан. И скрывать свои истинные чувства тем сложнее, чем масштабнее обман. Поэтому методики профилирования напрямую связаны с психологией. Профайлер замечает жесты, эмоции или микроэкспрессию, которые не может контролировать собеседник, испытывающий психологическое напряжение. К ним относятся:

• нестандартное поведение;
• усиленная жестикуляция;
• использование непривычных речевых конструкций;
• неконтролируемые физиологические признаки – покраснение или побледнение кожи, усиленное потоотделение, тремор пальцев рук.

Опытный мошенник старается контролировать свои жесты и мимику. Однако при длительной беседе сделать это не просто. Опытный специалист заметит малейшие признаки лжи. Эксперт начинает задавать «нужные» вопросы, чтобы подтвердить свои предположения.

Профайлинг называют также оперативной психодиагностикой. Такая методика позволяет составить психологический портрет испытуемого, а также проанализировать полученные вербальные и невербальные сведения для выявления лжи.

Сферы применения оперативной психодиагностики

Сегодня сфера использования методов профайлинга достаточно разнообразна. Выделяют такие виды оперативной психодиагностики:

1. Криминалистическая – составление психологического портрета предполагаемого преступника с применением психологических, психиатрических и криминалистических методик.
2. Специализированная – используют сотрудники спецслужб (ФБР, ФСБ, разведывательное управление).
3. Авиационной безопасности – технология опроса и наблюдения за пассажирами во время досмотра перед вылетом самолета. Используется авиакомпаниями разных стран.
4. Научно-исследовательская – связана с исследованиями практикующего клинического психолога из США Пола Экмана. Он соединил специальный опросник и анализ микроэкспрессии. Благодаря этому методику Экмана применяют сотрудники служб безопасности банков, адвокатских компаний и государственных организаций.
5. Медико-психологическая – основывается на трудах российского врача-психиатра Петра Ганнушкина, разработавшего типологию психопатических расстройств, и немецкого клинициста Карла Леонгарда, описавшего личностные акцентуации. Их теории стали базой для профилирования в области психиатрии и клинической психологии.
6. Психотехнологическая – базируется на технологиях НЛП (нейролингвистического программирования), которые используют описание профиля тестируемого для выявления его системы ценностей, убеждений, особенностей получения информации и ее оценивания. Используется информация, полученная при помощи психотехнологической методики, для углубленного понимания собеседника и выстраивания коммуникаций.

В зависимости от области использования профайлинг подразделяют на:

• Профайлинг на транспорте — выявляет пассажиров, способных учинить дебош,  скрывающих у себя под одеждой оружие и т.п.
• Гостиничный профайлинг, как и на транспорте, направлен на профилактику преступлений, но уже в отелях.
• Бизнес-профайлинг – сопровождение профайлером деловых переговоров. Специалист смотрит на собеседников своего клиента, следит за их поведением и манерой держаться. К такой услуге бизнесмен прибегает, когда хочет убедиться в правдивости и серьёзности намерений партнёров по переговорам.
• Аудит-профайлинг используется аудиторскими компаниями при проверке честности бухгалтеров. Это – эффективное дополнение к традиционной проверке бухгалтерских документов.
• Кадровый профалинг или HR —  помогает рекрутёру распознать обман со стороны кандидата на должность, докопаться до неприглядных истин в его биографии (крупные долги, криминальное прошлое, игромания и т.п.). В идеале искусством профайлинга должен владеть сам рекрутёр.
• банковский — наблюдение во время собеседования с будущим заёмщиком банка. Такое исследование позволяет снизить потери от невозвращённых кредитов. Правда, иногда профайлингом называют проверку анкетных данных будущего заёмщика. Но это уже работа для другого специалиста;
• Страховой профайлинг помогает страховым компаниям выявлять мошеннические схемы при оформлении страховки.
• семейный профайлинг — неискренность будущего супруга, тайная жизнь сына-подростка и т.д.

Так как профайлинг – молодая наука, он постоянно развивается, а области его применения расширяются. Сегодня методики профайлинга используют в сфере профилактической медицины для корректировки и предупреждения появления заболеваний психосоматической этиологии.

В любой сфере применения профилирования личности результативность методики зависит от квалификации и опыта профайлера, его способности во время собеседования анализировать сведения в форме вербальных и невербальных сигналов. Таких специалистов приглашают для участия в деловых переговорах, внутренних служебных расследованиях, для проведения собеседования с соискателем на вакантную должность. Профайлер составляет психологический портрет испытуемого или контрагента, указывая его истинное отношение к предмету беседы и достоверность предоставленной информации.

Чтобы анализ личности получился максимально точным, следует проводить его беспристрастно. В этом помогут специальные программы, которые составляют психологический портрет сотрудника по его рабочей переписке в почте, мессенджерах и социальных сетях. Узнать больше.

Рекомендации по использованию психологических техник профайлинга

Чтобы получить достоверный результат, профайлеру следует придерживаться такого алгоритма:

1. Определить базовую модель поведения испытуемого. Для этого профайлер задает несколько отвлеченных вопросов, на которые человеку несложно дать правдивый ответ. При этом специалист отмечает его мимику, жестикуляцию, особенности построения предложений. Это будут базовые реакции, когда человеку нет нужды лгать. Их следует запомнить.
2. Профайлер переходит к более сложным вопросам или формулирует их в более острой форме. При ответе на них поведение испытуемого меняется, он выдает новую мимику. Если поведение человека в корне отличается от базовой модели, это может свидетельствовать о попытке утаить или переиначить сведения.
3. На очереди самые проблемные вопросы либо вопросы из предыдущего раздела, но в другой формулировке. Профайлер требует от тестируемого детально описать проблемную ситуацию, наблюдая за его поведением. Чем больше отклонение от базовой модели, тем вероятней ложь.
4. Проверка правильности базовой модели поведения. Для этого профайлер возвращается к вопросам на нейтральную тему. Человек успокаивается и ведет себя привычным образом.
5. Проверка причин изменения модели поведения. Существует два фактора, влияющих на поведение человека во время собеседования: желание солгать или естественное волнение. Разделить эти две причины помогут методики профайлинга – наблюдение за жестами, микроэкспрессией. Важно использование тестируемым заученных фраз или привычных речевых оборотов. Часто об обмане говорят выражение лица или взгляд.

Техники профайлинга – безынструментальный метод выявления мошенников и лжецов. Для его результативности профайлер должен разбираться в психологии и фиксировать мельчайшие проявления эмоций собеседника.