Об актуальности DLP-систем свидетельствуют аналитические исследования экспертов в сфере информационной безопасности. Так, согласно сведениям «Солар», только за прошедший год в публичный доступ попали данные 420 российских организаций. Это означает, что каждый день в России происходила как минимум одна утечка данных. При этом общий объём раскрытых данных превысил 100 Тбайт. Чаще всего под прицел киберпреступников попадали предприятия из IT-отрасли, сферы услуг, ретейла и финансов. Основная масса инцидентов пришлась на утечки внутренней документации компаний и различного рода структурированной информации — баз данных клиентов, сотрудников, пользователей веб-сайтов и сервисов.
Распределение утечек по отраслям (по данным центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» за 2023 год)
Непростую ситуацию с утечками данных в РФ подтверждает экспертно-аналитический центр InfoWatch, зафиксировавший в 2023 году не только резкий рост количества утёкших персональных данных (1,12 млрд скомпрометированных записей, что почти на 60 % выше уровня 2022 года), но и смещение вектора атак киберпреступников в сторону предприятий малого бизнеса, не имеющих достаточных материальных, финансовых и организационных ресурсов для поддержания безопасности корпоративной IT-инфраструктуры.
Более того, всё чаще в атаках на отечественные компании стали принимать участие хактивисты — злоумышленники, которыми движет не жажда наживы, а стремление скомпрометировать как можно больше данных по политическим мотивам. Такое положение дел подчёркивает серьёзность трудностей, с которыми сталкиваются российские организации, и важность защиты информационных активов, обеспечить которую способны системы предотвращения утечек данных (Data Leak Prevention, DLP). При этом надо понимать, что DLP — это лишь один из рубежей IT-обороны.
Принцип работы DLP-систем заключается в постоянном мониторинге перемещения корпоративных данных, анализе их содержимого и блокировке файлов с конфиденциальными сведениями в соответствии с заданными политиками. Программные комплексы такого рода позволяют контролировать всевозможные каналы передачи данных, коммуникации сотрудников и выполняемые ими действия на рабочих местах. При этом на карандаш берутся все информационные потоки — как циркулирующие внутри корпоративной сети, так и выходящие за её периметр. Такой подход позволяет предотвращать утечки данных вследствие халатности сотрудников или злонамеренных действий инсайдеров, а также проводить расследование инцидентов.
Ниже перечислены некоторые известные DLP-решения отечественных разработчиков, дано описание ключевых функций, а также указаны стоимость и наличие демо-версии. Все эти решения отвечают современным корпоративным стандартам, зарегистрированы в реестре российского программного обеспечения и подходят для задач импортозамещения.
InfoWatch Traffic Monitor
- Разработчик: InfoWatch
- Сайт продукта: infowatch.ru/products/dlp-sistema-traffic- monitor
Визитной карточкой программного комплекса являются запатентованные технологии контентного анализа и обработки больших объёмов данных с помощью искусственного интеллекта (ИИ). InfoWatch Traffic Monitor автоматически классифицирует информационные потоки компании, раскладывая их по полочкам — категориям и терминам, на основе которых производится гибкая настройка политик безопасности. Поддерживается возможность как использования готовых баз контентной фильтрации, оптимизированных под конкретную отрасль, так и создания собственных.
DLP-система умеет детектировать персональные данные (например, паспортные сведения, адреса электронной почты, номера телефонов и т.д.), финансовую информацию (ОГРН, БИК, номера кредитных карт, банковских счетов и т.д.), а также внутренние документы, содержащие формализованные данные и созданные по определённому шаблону (договоры, заполненные бланки, чертежи и т.д.). Поддерживаются технологии оптического распознавания символов (OCR), контроль процессов печати и сканирования документов, мониторинг использования сотрудниками съёмных накопителей и копирования файлов с рабочих станций посредством Bluetooth.
InfoWatch Traffic Monitor
Список контролируемых InfoWatch Traffic Monitor каналов передачи данных довольно внушителен — от электронной почты, мессенджеров, облачных хранилищ, онлайн-сервисов, USB-устройств, сканеров, принтеров и МФУ до рабочих станций Windows и серверов Linux (поддержка macOS не заявлена). Благодаря модулю Device Monitor возможен мониторинг мобильных устройств на базе Android и iOS. Также реализована поддержка терминальных сред и тонких клиентов Citrix XenApp и Microsoft RDP. Для заказчиков, предъявляющих особые требования к обеспечению безопасности корпоративной IT-инфраструктуры, предусмотрены версии DLP-системы, сертифицированные по требованиям ФСТЭК и Минобороны России.
- Стоимость. Не указана. Предоставляется по запросу.
- Наличие демо-версии. Доступ к оценочной версии InfoWatch Traffic Monitor предоставляется по запросу.
LanAgent Enterprise DLP
- Разработчик: «Нетворк Профи»
- Сайт продукта: lanagent.ru
Оповещает о нарушениях заданных правил безопасности и подозрительных действиях пользователей в корпоративной сети. Умеет перехватывать сообщения и анализировать переписку сотрудников в мессенджерах Viber, WhatsApp, Telegram, Jabber, социальных сетях, приложении Skype и по электронной почте. Продукт оснащён инструментами поиска нарушений политик безопасности при обмене документами, разграничения доступа к файлам, USB-накопителям и сетевым ресурсам, а также средствами предотвращения копирования защищаемой информации в буфер обмена ОС и её отправки на печать. Предусмотрен «Режим конфиденциального документа» — можно задать каталог, информация в котором считается конфиденциальной. Внутри этого каталога пользователи могут работать с документами, но их невозможно переместить за пределы защищаемой директории, в том числе нельзя выгрузить на почту или файлообменник.
По набору функций LanAgent Enterprise DLP относится скорее к инструментам пассивного, нежели активного контроля за утечками данных
LanAgent Enterprise DLP лишён поддержки технологий OCR, а значит, не способен фиксировать инциденты с передачей конфиденциальных данных в графических файлах. Также ничего не сообщается об инструментах блокирования чувствительной информации в используемых сотрудниками средствах коммуникации — доступны только оповещения о нарушениях. Что касается агентских модулей, то их можно установить на рабочие станции с Windows любых версий (включая устаревшие XP/Vista/7/8/8.1) и Linux.
- Стоимость. От 2990 руб. за бессрочную лицензию на одно рабочее место (зависит от количества защищаемых компьютеров). Для крупных организаций с парком более чем 500 машин цена рассчитывается индивидуально.
- Наличие демо-версии. Доступ к ознакомительной версии продукта осуществляется по запросу.
SecureTower
- Разработчик: «Фалконгейз»
- Сайт продукта: falcongaze.com
Мониторинг максимального числа коммуникационных каналов, будь то электронная почта, мессенджеры, социальные сети, веб-активность, облачные и сетевые хранилища, сетевые и локальные принтеры, IP-телефония, USB-устройства, буфер обмена. Поддерживается анализ текстовых файлов и отправляемого текста (с учётом морфологических особенностей языка), изображений, голосовых сообщений и звонков. При этом блокировка чувствительных данных может осуществляться по меткам, цифровым отпечаткам, поисковым словарям, регулярным выражениям и при создании скриншотов. После анализа перехваченных данных, если есть нарушение правил безопасности, система автоматически уведомляет ИБ-службы об инциденте и блокирует движение данных.
Компоненты SecureTower
SecureTower контролирует и запоминает все действия на компьютерах сотрудников, ведёт архив бизнес-коммуникаций на случай умышленного удаления важной информации и посредством встроенного в систему модуля анализа рисков User Behavior Analytics (UBA) отслеживает аномальные и потенциально опасные для организации изменения в поведении персонала. Поддерживается мониторинг рабочих станций под управлением Windows, Linux, macOS.
При расследовании инцидентов в SecureTower формируются дела, в которых можно фиксировать ход расследований, определять фигурантов дела, а после завершения расследования сделать отчёт для руководителей. Собранные данные могут быть использованы в суде в качестве доказательной базы. Безопасность и надёжность DLP-системы подтверждена сертификатом ФСТЭК России.
- Стоимость. Не указана. Предоставляется по запросу.
- Наличие демо-версии. По запросу разработчиком предлагается полнофункциональная версия системы с 30-дневным оценочным периодом.
Solar Dozor
- Разработчик: «Солар»
- Сайт продукта: rt-solar.ru/products/solar_dozor
Контроль любых каналов передачи данных, наличие агентских модулей для Windows/Linux/macOS, возможность перехвата критичных данных по цифровым отпечаткам, идентификаторам, графическим шаблонам и анализу поведения пользователей (UBA). Благодаря поддержке превентивных мер защиты Solar Dozor обеспечивает блокирование утечек в режиме реального времени. Также разработчиком отмечаются такие функции, как ведение архива коммуникаций, составление досье на сотрудников, запись рабочего стола и звука с микрофона для сбора доказательной базы, построение карты корпоративной сети, мониторинг локальных и облачных хранилищ, рефильтрация почтовых архивов в целях выявления пропущенных ранее утечек, использование средств лингвистического анализа данных и нейросетей для обработки графических файлов. Отдельный акцент делается на возможности работы Solar Dozor в составе инфраструктуры виртуальных рабочих мест (VDI).
Принцип работы Solar Dozor
По заверениям разработчика, Solar Dozor поддерживает работу в геораспределённом режиме и способен удовлетворить потребности организации любого масштаба. Отдельные инсталляции программного комплекса в филиалах могут объединяться в общую DLP-систему с помощью модуля MultiDozor. Таким образом можно совместить работу служб ИБ в филиалах и общий контроль над безопасностью из штаб-квартиры. Доступно централизованное управление агентами, анализом поведения пользователей, сканированием локальных и облачных хранилищ. Отсутствие в продукте уязвимостей и недекларированных возможностей подтверждено сертификатом ФСТЭК России.
- Стоимость. Не указана. Предоставляется по запросу.
- Наличие демо-версии. Сведения о доступности ознакомительной сборки Solar Dozor отсутствуют.
Staffcop Enterprise
- Разработчик: «Атом безопасность»
- Сайт продукта: staffcop.ru/product/staffcop-enterprise
Мониторинг пользовательской активности на рабочих местах и подключаемого к компьютерам оборудования; перехват SIP-телефонии, сетевой активности приложений, отправляемых на печать и в облачные сервисы документов, терминальных Linux-сессий, сообщений и вложений, пересылаемых посредством электронной почты и мессенджеров; блокировка действий пользователей с файлами на основе заданных правил, контента и встроенных в файлы меток, передачи информации посредством буфера обмена, доступа к веб-ресурсам на основе белых-чёрных списков, а также носителей информации при превышении объёма передаваемых данных.
Архитектура Staffcop Enterprise
Staffcop Enterprise поддерживает распознавание графических файлов (ОCR), полнотекстовый поиск с учётом морфологии, регистра, регулярных выражений и количественных совпадений, запись фото и видео с веб-камеры компьютера с возможностью распознавания лиц сотрудников, транскрибирование (расшифровку) перехваченных аудиозаписей. Предусмотрены возможности контроля привилегированных пользователей и использования кластерной архитектуры. Агентские модули представлены в редакциях для Windows, Linux и macOS. Доступна сертифицированная ФСТЭК России версия Staffcop Enterprise.
- Стоимость. Не указана. Предоставляется по запросу.
- Наличие демо-версии. По запросу предоставляется 15-дневная полнофункциональная версия DLP-системы на 5 агентов.
Zecurion DLP
Разработчик: Zecurion
Сайт продукта: zecurion.ru/products/dlp
Контроль более 50 каналов передачи данных и около 450 поддерживаемых форматов файлов, автоматическая обработка событий с выявлением опасных инцидентов, возможность объединения событий в цепочки и выявления нарушителей, архивирование всех действий персонала, работа в сетях различного масштаба (до 200 тыс. активных сотрудников). Важной особенностью Zecurion DLP является возможность предотвращения утечек в режиме реального времени не только по ограниченному набору каналов и технологий анализа, но и по всему перечню поддерживаемых методов детектирования. При этом блокировка, как заверяет разработчик, происходит практически мгновенно, а в случае особо важных сотрудников и данных можно настроить режим карантина — отправку данных на ручную проверку службой безопасности.
Пользовательский интерфейс Zecurion DLP
В активе Zecurion DLP также представлены Screen Photo Detector для защиты от утечек через фотографирование экрана на смартфон, Staff Control для контроля рабочего времени сотрудников, IRP-модуль для внутреннего расследования инцидентов и управления ИБ-отделом компании, Risk Score для риск-менеджмента в информационной безопасности. Поддерживаются Windows и Linux. Имеется сертификат ФСТЭК России.
- Стоимость. Не указана. Предоставляется по запросу.
- Наличие демо-версии. Предоставляется по запросу.
«Гарда предприятие»
- Разработчик: «Гарда технологии»
- Сайт продукта: gardatech.ru/produkty/gp
Контроль всех основных каналов коммуникаций на рабочих местах (Windows, Linux, macOS) и в сети организации: съёмных носителей, печати, веб-трафика (сайты, социальные сети), мессенджеров (Skype for Business, Viber, Telegram и т. д.), телефонии (VoIP, SIP, SDP, H.323, MGCP, SKINNY, Megaco/H.248), облачных и локальных хранилищ, корпоративной почты (SMTP, POP3, IMAP, MAPI) и внешних почтовых сервисов. Поддерживаются перехват клавиатурного ввода, чертежей (AutoCAD, SolidWorks, «Компас»), сканов и фотографий документов (паспорт РФ, водительское удостоверение, банковская карта и т. д.), а также документов с печатями. Блокировка недопустимых действий осуществляется автоматически в соответствии с настроенными политиками безопасности.
Архитектура DLP-системы «Гарда предприятие»
Встроенные в «Гарда предприятие» средства ретроспективного анализа позволяют выявлять действия персонала, предшествовавшие инциденту, находить взаимосвязи между сотрудниками и выстраивать маршруты распространения информации от первой коммуникации до момента передачи за пределы организации. Программный комплекс может применяться в территориально-распределённых компаниях и холдинговых структурах с развитой филиальной сетью.
- Стоимость. Не указана. Предоставляется по запросу.
- Наличие демо-версии. Возможно пилотное внедрение системы DLP с бесплатным тестированием.
«Кибер Протего»
- Разработчик: «Киберпротект»
- Сайт продукта: cyberprotect.ru/products/dlp
Контроль устройств под управлением Windows, Linux, macOS и виртуальных рабочих столов на базе VDI-платформ Microsoft, Citrix Systems, VMware, Oracle с возможностью фильтрации данных в режиме реального времени. Поддерживаются детальное протоколирование, теневое копирование и различные технологии анализа содержимого: поиск по ключевым словам с применением морфологического анализа, по комплексным шаблонам регулярных выражений, проверка расширенных свойств документов и файлов, сигнатур типов файлов, анализ по цифровым отпечаткам с поддержкой классификации образцов Встроенный модуль OCR делает возможным извлечение текста из изображений и его анализ.
Консоль управления «Кибер Протего»
Модуль мониторинга действий пользователей (User Activity Monitor, UAM) позволяет расширить доказательную базу при расследовании инцидентов информационной безопасности, а также упростить процессы выявления подозрительного поведения пользователей. DLP-система «Кибер Протего» обеспечивает возможность видеозаписи экрана и записи нажатий клавиш, а также протоколирование сведений о запущенных процессах и приложениях. При этом фиксация включается по заданным событиям, причём с записью как до, так и после наступления определённого события. Так можно получить видеозапись экрана при попытке передачи конфиденциального документа, подключении внешнего накопителя и т. д.
В ситуациях, когда контролируемый компьютер находится вне корпоративной сети и связь между сервером и агентом невозможна, защищённый от вмешательства пользователя агент «Кибер Протего» обеспечивает все функции защиты, заданные в DLP-политике — от контроля доступа до контентной фильтрации, и сохраняет сгенерированные события и теневые копии до восстановления связи с сервером. Таким образом реализована работа агента вне зависимости от доступности сервера управления
- Стоимость. Варьируется в зависимости от набора включённых в состав программного комплекса компонентов, количества поддерживаемых устройств и индексируемых документов. Сертификат на техническую поддержку ПО оплачивается отдельно.
- Наличие демо-версии. Доступ предоставляется по запросу.
«СёрчИнформ Контур информационной безопасности (КИБ)»
- Разработчик: «СёрчИнформ»
- Сайт продукта: searchinform.ru/products/kib
Контроль пользовательских активностей в локальной сети, интернете, мессенджерах, почтовых клиентах, облачных сервисах и на рабочих местах под управлением Windows, Linux, macOS. Помимо «классических» технологий анализа перехваченных данных (морфология, словари, регулярные выражения, цифровые отпечатки, OCR) доступны детектирование текстов, близких по смыслу с эталоном, и поиск изображений, похожих на эталон, а также поиск по аудио- или видеозаписям действий сотрудников. Поддерживаются функции сохранения перехваченной информации в архив и блокирования трафика с конфиденциальными сведениями. В продукте насчитывается свыше 250 политик безопасности, учитывающих специфику работы предприятий различных сфер деятельности. Имеется сертификат ФСТЭК России.
Принцип работы «СёрчИнформ КИБ»
«СёрчИнформ КИБ» позволяет производить аудио- и видеозапись действий пользователя, фиксировать любые действия с файлами или папками, журналами аудита, устройствами или ПО. Инструменты пристального наблюдения позволяют восстанавливать цепочки событий и устанавливать всех причастных к нарушениям. В программный комплекс также встроена возможность оценки продуктивности работы сотрудников.
- Стоимость. Не указана. Предоставляется по запросу.
- Наличие демо-версии. По запросу разработчиком предлагается полнофункциональная версия системы с 30-дневным оценочным периодом без ограничений по количеству контролируемых рабочих мест.
«Стахановец»
- Разработчик: «Стахановец»
- Сайт продукта: stakhanovets.ru/dlp
Обеспечивает контроль над корпоративной информацией путём мониторинга свыше 20 каналов коммуникаций и протоколов передачи данных. Система автоматически анализирует действия сотрудников более чем по 40 параметрам и в случае обнаружения нарушений отправляет оповещение службе безопасности компании, а также блокирует передачу конфиденциальных данных. Поддерживаются функции маркирования документов (в том числе с использованием скрытых водяных знаков), распознавания лиц, перехвата разговоров персонала и преобразования речи в текст, построения графа связей сотрудников, мониторинга их местонахождения и защиты от фотографирования экрана.
Принцип работы DLP-системы «Стахановец»
Отчёты DLP-системы «Стахановец» позволяют проводить расследование инцидентов и нарушения политик. Беспрерывное логирование сохраняет историю поведения сотрудников для формирования доказательной базы. Поддерживается работа с клиентскими устройствами под управлением Windows любых версий (включая устаревшие XP/Vista/7/8/8.1), Linux, macOS и Android. Также в активе программного комплекса имеется сертификат ФСТЭК России.
- Стоимость. От 712 руб. за одно рабочее место. Зависит от редакции DLP-системы и условий лицензирования (3 месяца, 1 год, бессрочно)
- Наличие демо-версии. Предоставляется по запросу.
Сводная таблица
| DLP-система | Поддерживаемые ОС на конечных точках | Сертификация | Демо-версия | Стоимость |
| InfoWatch Traffic Monitor | Windows, Linux, Android, iOS | ФСТЭК, Минобороны России |
есть | не указана |
| LanAgent Enterprise DLP | Windows любых версий (включая XP/Vista/7/8/8.1), Linux |
нет | есть | от 2990 руб. |
| SecureTower | Windows, Linux, macOS | ФСТЭК России | есть | не указана |
| Solar Dozor | Windows, Linux, macOS | ФСТЭК России | нет | не указана |
| Staffcop Enterprise | Windows, Linux, macOS | ФСТЭК России | есть | не указана |
| Zecurion DLP | Windows, Linux | ФСТЭК России | есть | не указана |
| «Гарда предприятие» | Windows, Linux, macOS | нет | есть | не указана |
| «Кибер Протего» | Windows, Linux, macOS | нет | есть | не указана |
| «СёрчИнформ КИБ» | Windows, Linux, macOS | ФСТЭК России | есть | не указана |
| «Стахановец» | Windows любых версий (включая XP/Vista/7/8/8.1), Linux, macOS, Android |
ФСТЭК России | есть | от 712 руб. |
Заключение
Ситуация с утечками данных в России остаётся напряжённой, что подтверждается не только количеством утечек конфиденциальной информации, но и масштабом скомпрометированных данных. Такое положение дел лишний раз подчёркивает актуальность упомянутых в обзоре DLP-систем и необходимость их повсеместного использования в корпоративной среде. Все они схожи по функциональным возможностям, но есть нюансы, на которые мы постарались обратить внимание, и которые могут помочь при выборе того или иного защитного решения.
Важно понимать, что любая утечка данных чревата репутационными и финансовыми издержками для бизнеса. О серьёзности последствий свидетельствует принятый Госдумой в первом чтении закон об оборотных штрафах за утечки. Согласно обсуждаемым поправкам в Кодекс Российской Федерации об административных правонарушениях, штраф составит от 3 млн до 15 млн руб. в зависимости от размера утёкшей в сеть базы. За повторные утечки компании могут назначить оборотный штраф от 0,1 % до 3 % выручки за календарный год или за часть текущего года, в пределах от 15 млн до 500 млн руб. Ожидается, что подобные меры по ужесточению ответственности за нарушения в сфере обработки конфиденциальных данных заставят организации усилить защиту своих информационных активов и поспособствуют улучшению ситуации в этой области.
