DLP (Data Loss Prevention — предотвращение утечек данных) — класс решений, которые помогают обнаруживать, контролировать и (при необходимости) блокировать передачу чувствительной информации через основные каналы: почта, веб, мессенджеры, съемные носители, печать, облачные хранилища и т.д. На практике DLP закрывает инсайдерские риски (умышленные и случайные), снижает вероятность утечек и помогает собрать доказательную базу по инциденту.
1) Что именно “контролирует” DLP
В современной терминологии часто выделяют 3 состояния данных:
● Data in motion — данные “в движении” (почта, веб, прокси, сетевые протоколы).
● Data at rest — данные “в хранении” (файловые шары, папки пользователей, базы, облака).
● Data in use — данные “в использовании” (копирование в буфер, печать, скриншоты/фото экрана, выгрузки из приложений).
Многие enterprise-решения прямо заявляют покрытие endpoint + network + cloud (рабочие станции, сетевые каналы и облачные сервисы).
2) Из каких компонентов обычно состоит DLP
Типовая архитектура выглядит так:
● Агенты на рабочих станциях/серверах (Endpoint DLP) — контролируют USB/принтеры/копирование/прикладные каналы и часть “поведения” пользователя.
● Сетевые перехватчики (Network DLP) — почта, HTTP/HTTPS и др. протоколы, иногда ICAP-интеграции.
● Discovery/сканирование хранилищ — поиск чувствительных данных “в покое”.
● Консоль управления — политики, инциденты, расследования, отчеты.
● Интеграции — AD/LDAP, почтовые шлюзы, прокси, SIEM (Security Information and Event Management — система управления событиями ИБ), иногда SOAR/ITSM.
3) Как DLP “понимает”, что данные чувствительные
На практике используется комбинация:
1. Контентные методы
o регулярные выражения (regex), словари/ключевые слова, шаблоны документов;
o “чувствительные типы данных” / готовые классификаторы (например, у Microsoft это Sensitive information types — паттерн-классификаторы, которые можно кастомизировать).
2. Контекстные методы
Кто отправляет, куда, каким каналом, размер/тип файла, устройство, время, роль пользователя, принадлежность к группе, уровень доверия к узлу и т.д.
3. Фингерпринтинг / EDM/DRM-подходы (в разных продуктах по-разному называются)
Когда система “сопоставляет” данные с эталоном (например, выгрузка клиентской базы, наборы строк, шаблоны).
4) Где границы DLP и зачем рядом встречаются DAG/DCAP
В вакансиях рядом с DLP часто упоминают DAG/DCAP, потому что утечки почти всегда упираются не только в канал вывода, но и в то, где лежат данные и кто к ним имеет доступ.
● DCAP (Data-Centric Audit and Protection — аудит и защита, ориентированные на данные) — подход/фреймворк про обнаружение, классификацию, аудит доступа и защитные политики вокруг данных.
● DAG (Data Access Governance — управление доступом к данным) — дисциплина/сегмент про видимость и контроль “кто имеет доступ к каким данным и как этот доступ используется”.
Проще: DLP сильна на “не унеси наружу”, а DAG/DCAP — на “почему это вообще было доступно/лежало не там/выдано не тем”.
Какие DLP-продукты есть на рынке
Ниже — самые известные и часто встречающиеся решения (перечень не исчерпывающий).
Российский рынок (часто выбирают для импортозамещения и требований локализации)
● InfoWatch Traffic Monitor (InfoWatch) — отечественная DLP-система для защиты/анализа/контроля чувствительных данных.
● Solar Dozor (Ростелеком-Solar) — DLP корпоративного класса для предотвращения утечек и расследований.
● Zecurion DLP (Zecurion) — гибридная DLP для сетевых и локальных каналов.
● СёрчИнформ КИБ (SearchInform) — DLP-решение с контролем каналов и аналитикой.
● DeviceLock DLP Suite (DeviceLock) — сильный фокус на endpoint-контроль устройств/каналов + контентная фильтрация.
● Falcongaze SecureTower (Falcongaze) — DLP для предотвращения утечек и контроля активности.
Международный рынок (enterprise и cloud-native сценарии)
● Microsoft Purview DLP — DLP-контуры для экосистемы Microsoft 365 и связанных сценариев (в т.ч. политики и жизненный цикл DLP).
● Broadcom Symantec DLP — один из самых распространенных enterprise-классов DLP.
● Forcepoint DLP — DLP с акцентом на политики/классификаторы и покрытие каналов.
● Trellix DLP — suite DLP-продуктов (endpoint/network/discovery в зависимости от поставки).
● Fortra DLP (ex Digital Guardian) — DLP “endpoint-to-cloud”, discovery и консоль управления.
● Proofpoint DLP — часто встречается в контексте почты/облаков/endpoint и “human-centric” сценариев.
● Endpoint Protector (CoSoSys/Netwrix) — кроссплатформенный endpoint-DLP.
Реальная “доступность к закупке/поддержке” некоторых зарубежных решений зависит от юрисдикции и условий поставок — это обычно уточняется на этапе пресейла.
Какие требования к специалисту по DLP: что он должен знать и уметь
Ниже — практический профиль (прямо “под” обязанности из вашего описания).
1) Нормативка и классификация “информации ограниченного доступа”
Специалист должен уверенно ориентироваться в том, что именно защищаем и на каком основании:
● персональные данные: 152-ФЗ, требования к защите ПДн и уровни защищенности в ИСПДн (в т.ч. ПП РФ №1119).
● коммерческая тайна: 98-ФЗ (режим, признаки, организационные меры).
● если компания — субъект КИИ: базовое понимание контура 187-ФЗ и связанной регуляторики (даже если DLP не “про КИИ”, на практике данные и процессы пересекаются).
Практически: уметь переводить “юридические категории” (ПДн/КТ/служебная/внутренняя) в метки/классы данных и правила DLP/DCAP.
2) Техническая экспертиза по каналам утечек
Нужно понимать, где реально утекает и что DLP способна контролировать:
● почта (SMTP), веб (HTTP/HTTPS), прокси, облака/файлообменники;
● мессенджеры (возможности зависят от продукта/архитектуры);
● endpoint-каналы: USB, печать, буфер обмена, скриншоты/запись экрана (если поддерживается);
● схемы обхода: архивы, пароли, стеганография (в рамках реалистичных ожиданий от DLP).
3) Контент-анализ: словари, регулярки, многоязычность
Из вашего описания это ключевое. Специалист должен уметь:
● строить словари терминов и поддерживать их жизненный цикл (актуализация, синонимы, исключения, “шум”);
● делать базовую лингвистику для DLP-детектов: морфология/лемматизация, стоп-слова, контекстные признаки;
● писать и отлаживать regex-правила (и понимать их ограничения: ложные срабатывания, производительность, “дырки” в паттернах);
● настраивать/кастомизировать готовые классификаторы (например, “тип чувствительной информации” как паттерн-классификатор).
4) Расследования инцидентов: от триажа до рекомендаций
Это не “посмотреть алерт”, а полноценный цикл:
● triage: приоритизация, определение критичности, устранение false positive;
● сбор артефактов (контекст события, цепочка действий, источники/получатели, вложения, хэши, временные метки);
● доказательная база и корректная коммуникация (ИБ ↔ ИТ ↔ юристы ↔ HR ↔ бизнес);
● формирование preventive actions: как поменять политики, где закрыть доступ, какие шаблоны/сценарии добавить в DLP/DAG/DCAP.
5) Интеграции и “экосистема”
DLP почти всегда живет не одна:
● SIEM-интеграции (корреляции “DLP + EDR + proxy + почта”);
● ITSM/ticketing (жизненный цикл инцидента, SLA, статусы, шаблоны);
● AD/LDAP, почта/шлюзы, прокси, CASB/облака, DCAP-контуры.
6) Документы и процессная зрелость
От специалиста обычно ожидают:
● участие в внутренних нормативных документах (политики, регламенты расследований, матрицы классификации, порядок реагирования);
● метрики и улучшения: снижение false positive, рост доли “actionable” инцидентов, покрытие каналов, время реакции;
● обучение пользователей через “coach-сценарии” (мягкие уведомления/предупреждения вместо тотального блокирования там, где это оправдано).
7) Инструменты, которые часто требуют “по умолчанию”
● уверенный уровень Windows-инфраструктуры (AD, почта, прокси), базово Linux;
● SQL (запросы к хранилищу инцидентов/репортинг);
● скрипты (PowerShell/Python) для автоматизации, выгрузок, сверок;
● базовое понимание сетей (куда “полетело”, чем отличается web-канал от почтового и т.д.).
Мини-шпаргалка: “идеальный DLP-специалист” в одной строке
Это аналитик-практик, который одновременно умеет:
(1) классифицировать данные и переводить требования в правила,
(2) строить детекты (словари/regex/классификаторы),
(3) вести расследования в тикет-процессе и давать корректирующие меры,
(4) интегрировать DLP в общую систему безопасности (SIEM/DCAP/DAG).
©Автор-эксперт: Владислав Халяпин