Como funciona o DLP. O princípio de funcionamento do sistema DLP

A eficiência empresarial, em muitos casos, depende da manutenção da confidencialidade, integridade e disponibilidade das informações. Atualmente, uma das ameaças mais prementes no campo segurança da informação(IS) é a proteção de dados confidenciais contra ações não autorizadas do usuário.
Isto se deve ao fato de que a maioria das ferramentas de segurança tradicionais, como antivírus, firewalls e sistemas de prevenção de intrusões (IPS), não são capazes de fornecer proteção eficaz contra invasores internos (insiders), cujo objetivo pode ser transferir informações para fora da empresa para uso posterior. . – vendas, transferência a terceiros, publicação em acesso livre etc. Para resolver o problema de vazamentos acidentais e intencionais de dados confidenciais, sistemas de prevenção contra perda de dados (DLP - Data Loss Prevention).
Sistemas deste tipo criam um “perímetro digital” seguro em torno da organização, analisando todas as informações enviadas e, em alguns casos, recebidas. As informações controladas incluem não apenas o tráfego da Internet, mas também uma série de outros fluxos de informação: documentos que são retirados do circuito de segurança protegido em mídia externa, impressos em impressora, enviados para mídia móvel via Bluetooth, WiFi, etc.
Os sistemas DLP analisam os fluxos de dados que atravessam o perímetro do sistema de informação protegido. Quando encontrado neste tópico informação confidencial o componente ativo do sistema é acionado e a transmissão da mensagem (pacote, fluxo, sessão) é bloqueada. A identificação de informações confidenciais em fluxos de dados é realizada analisando o conteúdo e identificando características especiais: marcações de documentos, rótulos inseridos especialmente, valores de funções hash de um determinado conjunto, etc.
Os modernos sistemas DLP possuem um grande número de parâmetros e características que devem ser levados em consideração na escolha de uma solução para organizar a proteção de informações confidenciais contra vazamentos. Talvez o mais importante deles seja a arquitetura de rede utilizada. De acordo com este parâmetro, os produtos da classe em questão são divididos em dois grandes grupos: gateway (Fig. 1) e host (Fig. 2).
O primeiro grupo utiliza um único servidor para o qual é direcionado todo o tráfego de rede de saída do sistema de informações corporativo. Este gateway os processa para detectar possíveis vazamentos de dados confidenciais.

Arroz. 1. Diagrama funcional da solução de gateway DLP

A segunda opção baseia-se na utilização programas especiais– agentes instalados nos nós finais da rede – estações de trabalho, servidores de aplicativos, etc.

Arroz. 2. Diagrama funcional da solução host DLP

EM Ultimamente Existe uma forte tendência à universalização dos sistemas DLP. Não há ou quase nenhuma solução no mercado que possa ser chamada de puramente baseada em host ou baseada em gateway. Mesmo aqueles desenvolvedores que por muito tempo desenvolvidos exclusivamente em uma direção, agregando módulos do segundo tipo às suas soluções.
Existem duas razões para a transição para a universalização das soluções DLP. O primeiro deles são as diferentes áreas de aplicação de sistemas tipos diferentes. Conforme mencionado acima, as soluções DLP de host permitem que você controle todos os tipos de canais locais e de rede - Internet para vazamento de informações confidenciais. Com base no facto de que, na grande maioria dos casos, uma organização necessita de protecção completa, necessita de ambos. A segunda razão para a universalização são alguns recursos e limitações tecnológicas que não permitem que sistemas DLP puramente gateway controlem totalmente todos os canais de Internet necessários.
Como não é possível proibir completamente o uso de canais de transmissão de dados potencialmente perigosos, é possível controlá-los. A essência do controle é monitorar todas as informações transmitidas, identificar informações confidenciais entre elas e realizar determinadas operações especificadas pela política de segurança da organização. Obviamente, a tarefa principal, mais importante e demorada é a análise de dados. A eficiência de todo o sistema DLP depende da sua qualidade.

Técnicas de análise de fluxo de dados para DLP

A tarefa de analisar um fluxo de dados para identificar informações confidenciais pode ser chamada com segurança de não trivial. Uma vez que encontrar os dados necessários é complicado por muitos fatores que requerem consideração. Portanto, hoje diversas tecnologias foram desenvolvidas para detectar tentativas de transmissão de dados confidenciais. Cada um deles difere dos demais em seu princípio de funcionamento.
Convencionalmente, todos os métodos de detecção de vazamentos podem ser divididos em dois grupos. A primeira inclui aquelas tecnologias que se baseiam na análise dos próprios textos das mensagens ou documentos transmitidos (análises morfológicas e estatísticas, templates). Por analogia com a proteção antivírus, eles podem ser chamados de proativos. O segundo grupo consiste em métodos reativos (impressões digitais e etiquetas). Eles detectam vazamentos pelas propriedades dos documentos ou pela presença de marcas especiais neles.

Análise morfológica

A análise morfológica é um dos métodos de conteúdo mais comuns para detectar vazamentos de informações confidenciais. A essência deste método é procurar certas palavras e/ou frases no texto transmitido.
A principal vantagem do método em questão é a sua versatilidade. Por um lado, a análise morfológica pode ser utilizada para monitorar quaisquer canais de comunicação, desde arquivos copiados em unidades removíveis até mensagens no ICQ, Skype, redes sociais e, por outro lado, pode ser utilizada para analisar quaisquer textos e rastrear qualquer informação . Neste caso, os documentos confidenciais não requerem qualquer processamento preliminar. E a proteção começa a entrar em vigor imediatamente após a ativação das regras de processamento e se aplica a todos os canais de comunicação especificados.
A principal desvantagem da análise morfológica é a eficiência relativamente baixa na identificação de informações confidenciais. Além disso, depende tanto dos algoritmos utilizados no sistema de segurança quanto da qualidade núcleo semântico, usado para descrever os dados protegidos.

Análise estatística

O princípio de funcionamento dos métodos estatísticos é a análise probabilística do texto, o que nos permite assumir a sua confidencialidade ou abertura. Sua operação geralmente requer treinamento preliminar do algoritmo. Calcula a probabilidade de encontrar certas palavras e frases em documentos confidenciais.
A vantagem da análise estatística é a sua versatilidade. Vale ressaltar que esta tecnologia opera normalmente apenas como parte da manutenção do aprendizado contínuo do algoritmo. Assim, por exemplo, se durante o processo de formação foi oferecido ao sistema um número insuficiente de contratos, não será possível determinar o fato da sua transferência. Ou seja, a qualidade da análise estatística depende da correção de suas configurações. Neste caso, é necessário levar em conta a natureza probabilística desta tecnologia.

Expressões regulares (padrões)

A essência do método é a seguinte: o administrador de segurança determina o modelo de sequência de dados confidenciais: o número de caracteres e seu tipo (letra ou número). Depois disso, o sistema passa a buscar nos textos analisados ​​combinações que o satisfaçam, e aplica as ações especificadas nas regras aos arquivos ou mensagens encontrados.
A principal vantagem dos templates é a alta eficiência na detecção da transferência de informações confidenciais. Em relação aos incidentes de vazamentos acidentais, busca 100%. Os casos com transferências intencionais são mais complicados. Conhecendo as capacidades do sistema DLP utilizado, um invasor pode neutralizá-lo, em particular, separando símbolos com símbolos diferentes. Portanto, os métodos utilizados para proteger informações confidenciais devem ser mantidos em segredo.
As desvantagens dos modelos incluem, em primeiro lugar, o âmbito limitado da sua aplicação. Só podem ser utilizados para informações normalizadas, por exemplo, para proteger dados pessoais. Outra desvantagem do método em consideração é a frequência relativamente alta de falsos positivos. Por exemplo, um número de passaporte consiste em seis dígitos. Mas, se você definir esse padrão, ele funcionará sempre que 6 dígitos forem encontrados consecutivos. E este pode ser o número do contrato enviado ao cliente, o valor, etc.

Impressões digitais

Sob a impressão digital em nesse casoé entendido como todo um conjunto de elementos característicos de um documento, pelos quais ele poderá ser determinado com alta confiabilidade no futuro. As soluções modernas de DLP são capazes de detectar não apenas arquivos inteiros, mas também seus fragmentos. Neste caso, você pode até calcular o grau de conformidade. Tais soluções permitem criar regras diferenciadas que descrevem diferentes ações para diferentes porcentagens de correspondência.
Uma característica importante das impressões digitais é que elas podem ser usadas não apenas para texto, mas também para documentos de planilhas, bem como para imagens. Isso abre um amplo campo para a aplicação da tecnologia em questão.

Etiquetas digitais

Princípio este método a seguir: rótulos especiais são aplicados aos documentos selecionados, visíveis apenas para os módulos clientes da solução DLP utilizada. Dependendo da sua disponibilidade, o sistema permite ou proíbe determinadas ações com arquivos. Isto permite não só evitar a fuga de documentos confidenciais, mas também limitar a forma como os utilizadores trabalham com os mesmos, o que é uma vantagem indiscutível desta tecnologia.
As desvantagens desta tecnologia incluem, em primeiro lugar, o âmbito limitado da sua aplicação. Só pode ser usado para proteger documentos de texto, e os já existentes. Isto não se aplica a documentos recém-criados. Esta desvantagem é parcialmente compensada por formas criação automática tags, por exemplo, com base em um conjunto de palavras-chave. Porém, este aspecto reduz a tecnologia das etiquetas digitais à tecnologia de análise morfológica, ou seja, à duplicação de tecnologias.
Outra desvantagem da tecnologia de etiquetagem digital é que ela pode ser facilmente contornada. Basta digitar manualmente o texto do documento da carta (não copiá-lo para a área de transferência, mas digitá-lo) e este método ficará impotente. Portanto, só é bom em combinação com outros métodos de proteção.

Principais funções dos sistemas DLP:

As principais funções dos sistemas DLP são visualizadas na figura abaixo (Fig. 3)

• controle de transferência de informações via Internet utilizando E-Mail, HTTP, HTTPS, FTP, Skype, ICQ e outros aplicativos e protocolos;
• controle do armazenamento de informações em mídia externa- CD, DVD, flash, Celulares e assim por diante.;
• proteger informações contra vazamentos controlando a impressão de dados;
• bloquear tentativas de enviar/salvar dados confidenciais, informar administradores de segurança da informação sobre incidentes, criar cópias de sombra, usar uma pasta de quarentena;
• busca de informações confidenciais em estações de trabalho e servidores de arquivos usando palavras-chave, tags de documentos, atributos de arquivos e impressões digitais;
• prevenir vazamentos de informações monitorando o ciclo de vida e a movimentação de informações confidenciais.

Arroz. 3. Funções básicas dos sistemas DLP

A proteção das informações confidenciais no sistema DLP é realizada em três níveis:

1º nível - Dados em movimento– dados transmitidos através de canais de rede:

• web (protocolos HTTP/HTTPS);
• serviços de mensagens instantâneas (ICQ, QIP, Skype, MSN, etc.);
• correio corporativo e pessoal (POP, SMTP, IMAP, etc.);
• sistemas sem fio (WiFi, Bluetooth, 3G, etc.);
• ftp – conexões.

Nível 2 - Dados em repouso– dados armazenados estaticamente em:

• servidores;
• estações de trabalho;
• notebooks;
• sistemas de armazenamento de dados (DSS).

Nível 3 - Dados em uso– dados usados ​​em estações de trabalho.

Um sistema de classes DLP inclui os seguintes componentes:

• centro de controle e monitoramento;
• agentes nas estações de trabalho dos usuários;
• Gateway de rede DLP instalado no perímetro da Internet.

Nos sistemas DLP, as informações confidenciais podem ser determinadas por diversas características diferentes, bem como jeitos diferentes, os principais são:

• análise morfológica da informação;
• análise estatística de informações;
• expressões regulares (padrões);
• método de impressão digital;
• método de marca digital.

A implementação de sistemas DLP há muito se tornou não apenas uma moda, mas uma necessidade, porque o vazamento de dados confidenciais pode causar enormes danos à empresa e, o mais importante, ter um impacto não imediato, mas de longo prazo na empresa. negócios. Neste caso, o dano pode ser não apenas direto, mas também indireto. Porque além dos principais danos, principalmente se forem divulgadas informações sobre o incidente, sua empresa “perde prestígio”. É muito, muito difícil estimar o dano causado pela perda de reputação em dinheiro! Mas o objetivo final da criação de um sistema para garantir a segurança das tecnologias de informação é prevenir ou minimizar os danos (diretos ou indiretos, materiais, morais ou outros) causados ​​​​aos sujeitos das relações de informação através de efeitos indesejáveis ​​​​na informação, nos seus meios de comunicação e nos processos de processamento.

Introdução

A review é destinada a todos os interessados ​​no mercado de soluções DLP e, antes de tudo, para quem deseja escolher a solução DLP certa para sua empresa. A revisão examina o mercado de sistemas DLP no sentido amplo do termo e fornece Pequena descrição o mercado mundial e, mais detalhadamente, o segmento russo.

Sistemas para proteger dados valiosos existem desde o seu início. Ao longo dos séculos, esses sistemas se desenvolveram e evoluíram junto com a humanidade. Com o início da era da informática e a transição da civilização para a era pós-industrial, a informação tornou-se gradativamente o principal valor dos Estados, das organizações e até dos indivíduos. E os sistemas informáticos tornaram-se a principal ferramenta para armazená-lo e processá-lo.

Os Estados sempre protegeram os seus segredos, mas os Estados possuem meios e métodos próprios, que, via de regra, não influenciaram a formação do mercado. Na era pós-industrial, os bancos e outras instituições financeiras tornaram-se vítimas frequentes de fugas informáticas de informações valiosas. O sistema bancário global foi o primeiro a necessitar de protecção legislativa da sua informação. A necessidade de proteger a privacidade também foi reconhecida na medicina. Como resultado, por exemplo, a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), a Lei Sarbanes-Oxley (SOX) foram adoptadas nos EUA, e o Comité de Supervisão Bancária de Basileia emitiu uma série de recomendações denominadas “Acordos de Basileia”. Tais medidas deram um impulso poderoso ao desenvolvimento do mercado de sistemas de proteção de informações informáticas. Acompanhando a crescente demanda, começaram a surgir empresas que ofereciam os primeiros sistemas DLP.

O que são sistemas DLP?

Existem várias definições geralmente aceitas do termo DLP: Prevenção contra perda de dados, Prevenção contra vazamento de dados ou Proteção contra vazamento de dados, que podem ser traduzidas para o russo como “prevenção contra perda de dados”, “prevenção contra vazamento de dados”, “proteção contra vazamento de dados”. O termo se difundiu e se consolidou no mercado por volta de 2006. E os primeiros sistemas DLP surgiram um pouco antes justamente como forma de evitar o vazamento de informações valiosas. Foram concebidos para detectar e bloquear a transmissão em rede de informações identificadas por palavras-chave ou expressões e por “impressões digitais” digitais pré-criadas de documentos confidenciais.

Desenvolvimento adicional Os sistemas DLP foram determinados por incidentes, por um lado, e atos legislativos dos estados, por outro. Gradualmente, as necessidades de proteção contra diversos tipos de ameaças levaram as empresas à necessidade de criar sistemas de proteção abrangentes. Atualmente, os produtos DLP desenvolvidos, além da proteção direta contra vazamento de dados, oferecem proteção contra ameaças internas e até externas, rastreando o horário de trabalho dos funcionários e monitorando todas as suas ações nas estações de trabalho, inclusive o trabalho remoto.

Ao mesmo tempo, o bloqueio da transferência de dados confidenciais, função canônica dos sistemas DLP, tornou-se ausente em algumas soluções modernas atribuídas pelos desenvolvedores a este mercado. Tais soluções são adequadas exclusivamente para monitorar o ambiente de informações corporativas, mas a partir da manipulação da terminologia passaram a ser chamadas de DLP e se referem a esse mercado de forma ampla.

Atualmente, o principal interesse dos desenvolvedores de sistemas DLP mudou para a amplitude de cobertura de potenciais canais de vazamento de informações e o desenvolvimento de ferramentas analíticas para investigação e análise de incidentes. Os mais recentes produtos DLP interceptam a visualização, impressão e cópia de documentos em mídia externa, executando aplicativos em estações de trabalho e conectando-se dispositivos externos para eles, e análise moderna dos interceptados tráfego de rede permite detectar vazamentos mesmo usando alguns protocolos de tunelamento e criptografia.

Além de desenvolver funcionalidades próprias, os sistemas DLP modernos oferecem amplas oportunidades de integração com diversos produtos relacionados e até concorrentes. Os exemplos incluem amplo suporte ao protocolo ICAP fornecido por servidores proxy e a integração do módulo DeviceSniffer, parte do SearchInform Information Security Circuit, com Lumension Device Control. O desenvolvimento adicional de sistemas DLP leva à sua integração com produtos IDS/IPS, soluções SIEM, sistemas de gerenciamento de documentos e proteção de estações de trabalho.

Os sistemas DLP se diferenciam pelo método de detecção de vazamentos de dados:

• quando usados ​​(Dados em uso) – no local de trabalho do usuário;
• durante a transmissão (Data-in‑Motion) – na rede da empresa;
• durante o armazenamento (Data-at‑Rest) – nos servidores e estações de trabalho da empresa.

Os sistemas DLP podem reconhecer documentos críticos:

• segundo critérios formais, é confiável, mas requer registro prévio de documentos no sistema;
• por análise de conteúdo - isso pode dar falsos positivos, mas permite detectar informações críticas em qualquer documento.

Com o tempo, tanto a natureza das ameaças como a composição dos clientes e compradores de sistemas DLP mudaram. O mercado moderno impõe os seguintes requisitos a estes sistemas:

• suporte para vários métodos de detecção de vazamentos de dados (dados em uso, dados em movimento, dados em repouso);
• suporte para todos os populares protocolos de rede transferência de dados: HTTP, SMTP, FTP, OSCAR, XMPP, MMP, MSN, YMSG, Skype, vários protocolos P2P;
• a presença de um diretório integrado de sites e o correto processamento do tráfego que lhes é transmitido (web mail, mídia social, fóruns, blogs, sites de busca de emprego, etc.);
• É desejável suporte para protocolos de tunelamento: VLAN, MPLS, PPPoE e similares;
• controle transparente de protocolos SSL/TLS seguros: HTTPS, FTPS, SMTPS e outros;
• suporte para protocolos de telefonia VoIP: SIP, SDP, H.323, T.38, MGCP, SKINNY e outros;
• a presença de análise híbrida - suporte para diversos métodos de reconhecimento de informação valiosa: por características formais, por palavras-chave, por correspondência de conteúdo com expressão regular, com base em análise morfológica;
• a capacidade de bloquear seletivamente a transmissão de forma crítica é desejável informação importante através de qualquer canal controlado em tempo real; bloqueio seletivo (para usuários individuais, grupos ou dispositivos);
• É desejável poder controlar as ações do usuário sobre documentos críticos: visualização, impressão, cópia para mídia externa;
• É desejável poder controlar protocolos de rede para trabalhar com servidores de correio Microsoft Exchange(MAPI), IBM Notas de Lótus, Kerio, Microsoft Lync, etc. para análise e bloqueio de mensagens em tempo real utilizando protocolos: (MAPI, S/MIME, NNTP, SIP, etc.);
• é desejável interceptação, gravação e reconhecimento de tráfego de voz: Skype, telefonia IP, Microsoft Lync;
• Disponibilização de módulo de reconhecimento gráfico (OCR) e análise de conteúdo;
• suporte para análise de documentos em vários idiomas;
• manter arquivos e registros detalhados para facilitar a investigação de incidentes;
• É desejável ter ferramentas desenvolvidas para análise de eventos e suas conexões;
• a capacidade de criar vários relatórios, incluindo relatórios gráficos.

Graças às novas tendências no desenvolvimento da tecnologia da informação, novas funções dos produtos DLP estão se tornando procuradas. Com a ampla adoção da virtualização nas empresas sistemas de informação e havia necessidade de apoiá-lo em soluções DLP. O uso generalizado de dispositivos móveis como ferramenta de negócios estimulou o surgimento do DLP móvel. A criação de “nuvens” corporativas e públicas exigiu a sua proteção, incluindo sistemas DLP. E, como continuação lógica, levou ao surgimento de serviços de segurança da informação “em nuvem” (segurança como serviço - SECaaS).

O princípio de funcionamento do sistema DLP

Um moderno sistema de proteção contra vazamento de informações, via de regra, é um complexo distribuído de software e hardware que consiste em um grande número de módulos para diversos fins. Alguns módulos operam em servidores dedicados, alguns nas estações de trabalho dos funcionários da empresa e alguns nas estações de trabalho dos agentes de segurança.

Servidores dedicados podem ser necessários para módulos como banco de dados e, às vezes, para módulos de análise de informações. Esses módulos, na verdade, são o núcleo e nenhum sistema DLP pode viver sem eles.

Um banco de dados é necessário para armazenar informações que vão desde regras de controle e informação detalhada sobre incidentes e finalizando com todos os documentos que apareceram no sistema durante um determinado período. Em alguns casos, o sistema pode até armazenar uma cópia de todo o tráfego de rede da empresa interceptado durante um determinado período de tempo.

Os módulos de análise de informações são responsáveis ​​​​por analisar textos extraídos por outros módulos de diversas fontes: tráfego de rede, documentos em quaisquer dispositivos de armazenamento de informações da empresa. Alguns sistemas têm a capacidade de extrair texto de imagens e reconhecer imagens capturadas. mensagens de voz. Todos os textos analisados ​​são comparados com regras predefinidas e marcados adequadamente quando uma correspondência é encontrada.

Para monitorar as ações dos colaboradores, agentes especiais podem ser instalados em seus postos de trabalho. Tal agente deve ser protegido da interferência do usuário em seu trabalho (na prática isso nem sempre é o caso) e pode monitorar passivamente suas ações e interferir ativamente naquelas que são proibidas ao usuário pela política de segurança da empresa. A lista de ações controladas pode ser limitada ao login/logout do usuário e à conexão de dispositivos USB, e pode incluir interceptação e bloqueio de protocolos de rede, cópia de sombra de documentos para qualquer mídia externa, impressão de documentos em impressoras locais e de rede, transferência de informações via Wi-Fi. Fi e Bluetooth E muito mais. Alguns sistemas DLP são capazes de registrar todas as teclas digitadas (key‑logging) e salvar capturas de tela (capturas de tela), mas isso está fora do escopo das práticas geralmente aceitas.

Normalmente, um sistema DLP inclui um módulo de controle projetado para monitorar a operação do sistema e administrá-lo. Este módulo permite monitorar o desempenho de todos os outros módulos do sistema e configurá-los.

Para tornar o trabalho de um analista de segurança mais conveniente, o sistema DLP pode ter um módulo separado que permite configurar a política de segurança da empresa, monitorar suas violações, conduzir uma investigação detalhada delas e gerar os relatórios necessários. Curiosamente, ceteris paribus, é a capacidade de analisar incidentes, conduzir uma investigação completa e gerar relatórios que ganha destaque em importância em um sistema DLP moderno.

Mercado global de DLP

O mercado de sistemas DLP começou a tomar forma já neste século. Conforme mencionado no início do artigo, o próprio conceito de “DLP” se espalhou por volta de 2006. O maior número de empresas que criaram sistemas DLP surgiu nos Estados Unidos. Houve uma maior procura por estas soluções e um ambiente favorável à criação e desenvolvimento de tal negócio.

Quase todas as empresas que começaram a criar sistemas DLP e obtiveram sucesso significativo nisso foram compradas ou adquiridas, e seus produtos e tecnologias foram integrados em sistemas de informação maiores. Por exemplo, a Symantec adquiriu a Vontu (2007), a Websense adquiriu a PortAuthority Technologies Inc. (2007), EMC Corp. adquiriu a RSA Security (2006) e a McAfee absorveu várias empresas: Onigma (2006), SafeBoot Holding B.V. (2007), Reconnex (2008), TrustDigital (2010), tenCube (2010).

Atualmente, os principais fabricantes mundiais de sistemas DLP são: Symantec Corp., RSA (uma divisão da EMC Corp.), Verdasys Inc., Websense Inc. (adquirida pela empresa privada Vista Equity Partners em 2013), McAfee (adquirida em 2011 da Intel). Fidelis Cybersecurity Solutions (adquirida pela General Dynamics em 2012), CA Technologies e GTB Technologies desempenham um papel significativo no mercado. Uma ilustração clara de sua posição no mercado, em uma das seções, pode ser o quadrante mágico da empresa analítica Gartner no final de 2013 (Figura 1).

Figura 1. DistribuiçãoposiçõesDLP-sistemas no mercado mundialPorGartner

Mercado DLP russo

Na Rússia, o mercado de sistemas DLP começou a se formar quase simultaneamente com o mercado mundial, mas com características próprias. Isso aconteceu gradualmente, à medida que os incidentes surgiam e eram feitas tentativas para lidar com eles. A Jet Infosystems foi a primeira empresa na Rússia a começar a desenvolver uma solução DLP em 2000 (no início era um arquivo de correio). Um pouco mais tarde, em 2003, o InfoWatch foi fundado como subsidiária da Kaspersky Lab. Foram as decisões dessas duas empresas que definiram as diretrizes para os demais players. Estas incluíram, um pouco mais tarde, as empresas Perimetrix, SearchInform, DeviceLock, SecureIT (renomeada Zecurion em 2011). À medida que o estado cria atos legislativos relativos à proteção de informações (Código Civil da Federação Russa, Artigo 857 “Sigilo Bancário”, 395-1-FZ “Sobre Bancos e Atividades Bancárias”, 98-FZ “Sobre Segredos Comerciais”, 143 -FZ “Sobre Atos do Estado Civil” ", 152-FZ "Sobre Dados Pessoais", e outros, cerca de 50 tipos de segredos no total), aumentou a necessidade de ferramentas de proteção e cresceu a demanda por sistemas DLP. E alguns anos depois, a “segunda onda” de desenvolvedores chegou ao mercado: Falcongaze, MFI Soft, Trafica. É importante destacar que todas essas empresas tiveram desenvolvimentos na área de DLP muito antes, mas substitutos começaram a aparecer no mercado há relativamente pouco tempo. Por exemplo, a empresa MFI Soft começou a desenvolver sua solução DLP em 2005 e só se anunciou no mercado em 2011.

Ainda mais tarde, o mercado russo tornou-se interessante para empresas estrangeiras. Em 2007-2008, os produtos Symantec, Websense e McAfee foram disponibilizados para nós. Mais recentemente, em 2012, a GTB Technologies apresentou suas soluções ao nosso mercado. Outros líderes do mercado mundial também não desistem de tentar entrar no mercado russo, mas até agora sem resultados visíveis. Nos últimos anos, o mercado russo de DLP tem demonstrado um crescimento estável (mais de 40% ao ano) há vários anos, o que está atraindo novos investidores e desenvolvedores. Como exemplo, podemos citar a empresa Iteranet, que desde 2008 vem desenvolvendo elementos de um sistema DLP para fins internos e depois para clientes corporativos. A empresa está atualmente oferecendo sua solução Business Guardian para compradores russos e estrangeiros.

A empresa se separou da Kaspersky Lab em 2003. No final de 2012, o InfoWatch ocupava mais de um terço do mercado russo de DLP. A InfoWatch oferece uma gama completa de soluções DLP para clientes, desde empresas de médio porte até grandes corporações e agências governamentais. A solução mais popular do mercado é o InfoWatch Traffic Monitor. As principais vantagens de suas soluções: funcionalidade desenvolvida, tecnologias exclusivas de análise de tráfego patenteadas, análise híbrida, suporte para vários idiomas, diretório integrado de recursos web, escalabilidade, um grande número de configurações e políticas predefinidas para diferentes setores. Os diferenciais da solução InfoWatch são um console de gerenciamento único, controle intuitivo sobre as ações dos funcionários sob suspeita interface clara, formação de políticas de segurança sem uso de álgebra booleana, criação de funções de usuário (responsável de segurança, gerente da empresa, diretor de RH, etc.). Desvantagens: falta de controle sobre as ações dos usuários nas estações de trabalho, o InfoWatch Traffic Monitor é pesado para empresas de médio porte e alto custo.

A empresa foi fundada em 1991 e hoje é um dos pilares do mercado russo de DLP. Inicialmente, a empresa desenvolveu sistemas para proteger as organizações contra ameaças externas e a sua entrada no mercado DLP é um passo lógico. A empresa Jet Infosystems é um importante player no mercado russo de segurança da informação, fornecendo serviços de integração de sistemas e desenvolvendo seu próprio software. Em particular, a solução DLP da própria Dozor-Jet. Suas principais vantagens: escalabilidade, alto desempenho, capacidade de trabalhar com Big Data, grande conjunto de interceptores, diretório integrado de recursos web, análise híbrida, sistema de armazenamento otimizado, monitoramento ativo, trabalho “in a gap”, ferramentas para busca e análise rápida de incidentes, avançadas suporte técnico, inclusive nas regiões. O complexo também tem capacidade de integração com SIEM, BI, MDM, Security Intelligence, Sistema e Gerenciamento de rede. Nosso know-how próprio é o módulo “Dossiê”, desenvolvido para investigação de incidentes. Desvantagens: funcionalidade insuficiente dos agentes para estações de trabalho, baixo desenvolvimento do controle sobre as ações do usuário, solução focada apenas em grandes empresas, alto custo.

Empresa americana que iniciou suas atividades em 1994 como fabricante de software de segurança da informação. Em 1996, introduziu seu primeiro desenvolvimento proprietário, o Internet Screening System, para monitorar as ações do pessoal na Internet. Posteriormente, a empresa continuou a atuar na área de segurança da informação, desenvolvendo novos segmentos e ampliando a gama de produtos e serviços. Em 2007, a empresa reforçou a sua posição no mercado DLP ao adquirir a PortAuthority. Em 2008, a Websense entrou no mercado russo. A empresa oferece atualmente um produto abrangente, o Websense Triton, para proteção contra vazamentos de dados confidenciais, bem como visões externas ameaças. Principais vantagens: arquitetura unificada, desempenho, escalabilidade, múltiplas opções de entrega, políticas predefinidas, relatórios avançados e ferramentas de análise de eventos. Desvantagens: sem suporte para vários protocolos de mensagens instantâneas, sem suporte para a morfologia do idioma russo.

A Symantec Corporation é líder global reconhecida no mercado de soluções DLP. Isso aconteceu após a compra, em 2007, da Vontu, grande fabricante de sistemas DLP. Desde 2008, o Symantec DLP está oficialmente representado no Mercado russo. No final de 2010, a Symantec foi a primeira empresa estrangeira a localizar seu produto DLP para o nosso mercado. As principais vantagens desta solução são: funcionalidade poderosa, um grande número de métodos de análise, capacidade de bloquear vazamentos através de qualquer canal controlado, um diretório de site integrado, capacidade de escala, um agente desenvolvido para análise de eventos no nível da estação de trabalho , rica experiência de implementação internacional e integração com outros produtos da Symantec. As desvantagens do sistema incluem o alto custo e a falta de recursos de controle para alguns protocolos de mensagens instantâneas populares.

Esse Empresa russa foi fundada em 2007 como desenvolvedora de ferramentas de segurança da informação. As principais vantagens da solução Falcongaze SecureTower: facilidade de instalação e configuração, interface amigável, controle de um maior número de canais de transmissão de dados, ferramentas avançadas de análise de informações, capacidade de monitorar as ações dos funcionários nas estações de trabalho (incluindo visualização de capturas de tela da área de trabalho), analisador gráfico de relações pessoais, escalabilidade, pesquisa rápida baseado em dados interceptados, um sistema de relatórios visuais baseado em vários critérios.

Desvantagens: não há previsão de trabalho em lacuna no nível do gateway, capacidade limitada de bloqueio de transferência de dados confidenciais (apenas SMTP, HTTP e HTTPS), falta de módulo para busca de dados confidenciais na rede corporativa.

Empresa americana fundada em 2005. Graças aos seus próprios desenvolvimentos no domínio da segurança da informação, tem um grande potencial de desenvolvimento. Ela entrou no mercado russo em 2012 e implementou com sucesso diversos projetos corporativos. As vantagens de suas soluções: alta funcionalidade, controle de múltiplos protocolos e canais de potencial vazamento de dados, tecnologias originais patenteadas, modularidade, integração com IRM. Desvantagens: localização parcial em russo, sem documentação em russo, falta de análise morfológica.

Empresa russa fundada em 1999 como integradora de sistemas. Em 2013, foi reorganizada em holding. Uma das áreas de atuação é a prestação de uma ampla gama de serviços e produtos para segurança da informação. Um dos produtos da empresa é o sistema Business Guardian DLP de design próprio.

Vantagens: alta velocidade processamento de informação, modularidade, escalabilidade territorial, análise morfológica em 9 idiomas, suporte para uma ampla gama de protocolos de tunelamento.

Desvantagens: capacidades limitadas para bloquear a transferência de informações (suportadas apenas por plugins para MS Exchange, MS ISA/TMG e Squid), suporte limitado para protocolos de rede criptografados.

A MFI Soft é uma empresa russa que desenvolve sistemas de segurança da informação. Historicamente, a empresa é especializada em soluções complexas para operadoras de telecomunicações, por isso dá grande atenção à velocidade de processamento de dados, tolerância a falhas e armazenamento eficiente. A MFI Soft vem se desenvolvendo na área de segurança da informação desde 2005. A empresa oferece no mercado o sistema DLP do complexo agroindustrial Garda Enterprise, voltado para grandes e médias empresas. Vantagens do sistema: facilidade de implantação e configuração, alto desempenho, configurações flexíveis para regras de detecção (incluindo a capacidade de registrar todo o tráfego), amplas capacidades de controle de canais de comunicação (além de conjunto padrão incluindo telefonia VoIP, P2P e protocolos de tunelamento). Desvantagens: falta de determinados tipos de relatórios, falta de capacidade de bloquear a transferência de informações e busca de locais para armazenar informações confidenciais na rede corporativa.

Empresa russa fundada em 1995, inicialmente especializada no desenvolvimento de tecnologias de armazenamento e recuperação de informações. Posteriormente, a empresa aplicou sua experiência e desenvolvimentos na área de segurança da informação e criou uma solução DLP chamada “Circuito de Segurança da Informação”. As vantagens desta solução: amplas capacidades de interceptação de tráfego e análise de eventos nas estações de trabalho, monitoramento do tempo de trabalho dos funcionários, modularidade, escalabilidade, ferramentas avançadas de pesquisa, velocidade de processamento consultas de pesquisa, gráfico de comunicações de funcionários, nosso próprio algoritmo de busca patenteado “Search for Similar”, nosso próprio centro de treinamento para treinamento de analistas e especialistas técnicos de clientes. Desvantagens: capacidades limitadas para bloquear a transferência de informações, falta de um único console de gerenciamento.

Empresa russa fundada em 1996 e especializada no desenvolvimento de soluções DLP e EDPC. A empresa passou para a categoria de fabricante DLP em 2011, acrescentando à sua mundialmente famosa solução DeviceLock na categoria EDPC (controle de dispositivos e portas em estações de trabalho Windows) componentes que fornecem controle de canais de rede e tecnologias de análise e filtragem de conteúdo. Hoje o DeviceLock DLP implementa todos os métodos de detecção de vazamento de dados (DiM, DiU, DaR). Vantagens: arquitetura flexível e licenciamento modular, facilidade de instalação e gerenciamento de políticas DLP, incl. através políticas de grupo AD, tecnologias originais patenteadas para monitoramento de dispositivos móveis, suporte para ambientes virtualizados, disponibilidade de agentes para Windows e Mac OS, controle total de funcionários móveis externos Rede corporativa, módulo OCR residente (usado, entre outras coisas, ao digitalizar locais de armazenamento de dados). Desvantagens: falta de agente DLP para Linux; a versão do agente para computadores Mac implementa apenas métodos de controle contextual.

Uma jovem empresa russa especializada em tecnologias para análise profunda de tráfego de rede (Deep Packet Inspection - DPI). Com base nessas tecnologias, a empresa está desenvolvendo seu próprio sistema DLP denominado Monitorium. Vantagens do sistema: facilidade de instalação e configuração, conveniente interface de usuário, um mecanismo de criação de políticas flexível e intuitivo, adequado até mesmo para pequenas empresas. Desvantagens: capacidades de análise limitadas (sem análise híbrida), capacidades de controle limitadas no nível da estação de trabalho, falta de capacidade de procurar locais onde cópias não autorizadas de informações confidenciais são armazenadas na rede corporativa.

conclusões

O desenvolvimento adicional de produtos DLP está na direção da consolidação e integração com produtos em áreas relacionadas: controle de pessoal, proteção contra ameaças externas e outros segmentos de segurança da informação. Ao mesmo tempo, quase todas as empresas estão trabalhando na criação de versões leves de seus produtos para pequenas e médias empresas, onde a facilidade de implantação de um sistema DLP e a facilidade de uso são mais importantes do que funcionalidades complexas e poderosas. Além disso, continua o desenvolvimento de DLP para dispositivos móveis, suporte para tecnologias de virtualização e SECaaS nas nuvens.

Tendo em conta tudo o que foi dito, podemos assumir que o rápido desenvolvimento dos mercados globais e especialmente russos de DLP atrairá novos investimentos e novas empresas. E isto, por sua vez, deverá levar a um aumento adicional na quantidade e qualidade dos produtos e serviços DLP oferecidos.

Mesmo os termos de TI mais em voga devem ser usados ​​de forma adequada e tão correta quanto possível. Pelo menos para não enganar os consumidores. Definitivamente está na moda considerar-se um fabricante de soluções DLP. Por exemplo, na recente exposição CeBIT-2008, a inscrição “solução DLP” muitas vezes podia ser vista nos estandes de fabricantes não apenas de antivírus e servidores proxy pouco conhecidos no mundo, mas até de firewalls. Às vezes, havia a sensação de que na próxima esquina você poderia ver algum tipo de ejetor de CD (um programa que controla a abertura da unidade de CD) com o orgulhoso slogan de uma solução DLP corporativa. E, curiosamente, cada um desses fabricantes, via de regra, tinha uma explicação mais ou menos lógica para tal posicionamento de seu produto (naturalmente, além do desejo de “benefício” de um termo da moda).

Antes de considerar o mercado de fabricantes de sistemas DLP e seus principais players, devemos decidir o que queremos dizer com sistema DLP. Tem havido muitas tentativas de definir esta classe de sistemas de informação: ILD&P - Information Leakage Detection & Prevention (“identificação e prevenção de vazamentos de informações”, o termo foi proposto pela IDC em 2007), ILP – Information Leakage Protection (“proteção contra vazamentos de informações vazamentos”, Forrester, 2006), ALS - Software Anti-Leakage (“software anti-vazamento”, E&Y), Monitoramento e Filtragem de Conteúdo (CMF, Gartner), Sistema de Prevenção de Extrusão (semelhante ao sistema de prevenção de intrusão).

Mas o nome DLP - Data Loss Prevention (ou Data Leak Prevention, proteção contra vazamentos de dados), proposto em 2005, ainda assim se estabeleceu como um termo comumente usado como russo (em vez de uma tradução, mas um termo semelhante) a frase “. sistemas de proteção confidencial” foram adotados dados de ameaças internas.” Ao mesmo tempo, as ameaças internas são entendidas como abusos (intencionais ou acidentais) por parte de funcionários de uma organização que têm direitos legais de acesso aos dados relevantes e aos seus poderes.

Os critérios mais harmoniosos e consistentes para pertencer aos sistemas DLP foram apresentados pela agência de pesquisa Forrester Research durante o seu estudo anual deste mercado. Eles propuseram quatro critérios segundo os quais um sistema pode ser classificado como DLP. 1.

Multicanal. O sistema deve ser capaz de monitorar vários canais possíveis de vazamento de dados. EM ambiente de rede Isto é pelo menos e-mail, Web e IM (mensageiros instantâneos), e não apenas verificação do tráfego de correio ou atividade de banco de dados. Na estação de trabalho - monitoramento operações de arquivo, trabalhando com a área de transferência, além de controlar e-mail, Web e mensagens instantâneas. 2.

Gestão unificada. O sistema deve ter ferramentas unificadas de gestão de políticas de segurança da informação, análise e relatórios de eventos em todos os canais de monitoramento. 3.

Proteção ativa. O sistema não deve apenas detectar violações da política de segurança, mas também, se necessário, forçar o cumprimento da mesma. Por exemplo, bloqueie mensagens suspeitas. 4.

Com base nestes critérios, em 2008 a Forrester selecionou uma lista de 12 fabricantes para análise e avaliação Programas(eles estão listados abaixo em ordem alfabética, com o nome da empresa adquirida por este fornecedor para entrar no mercado de sistemas DLP indicado entre colchetes):

1. Código Verde;
2. InfoWatch;
3. McAfee (Onigma);
4. Orquestra;
5. Reconexo;
6. RSA/EMC (Tablus);
7. Symantec (Vontu);
8. Trend Micro (Provilla);
9. Verdasys;
10. Vericept;
11. Websense(PortAuthority);
12. Compartilhamento de trabalho.

Hoje, dos 12 fornecedores mencionados acima, apenas InfoWatch e Websense estão representados no mercado russo de uma forma ou de outra. Os demais não trabalham na Rússia ou apenas anunciaram suas intenções de começar a vender soluções DLP (Trend Micro).

Considerando a funcionalidade dos sistemas DLP, os analistas (Forrester, Gartner, IDC) introduzem uma categorização de objetos de proteção - tipos de objetos de informação a serem monitorados. Esta categorização permite avaliar, numa primeira aproximação, o âmbito de aplicação de um determinado sistema. Existem três categorias de objetos de monitoramento.

1. Dados em movimento (dados em movimento) - mensagens E-mail, pagers da Internet, redes ponto a ponto, transferências de arquivos, tráfego da Web, bem como outros tipos de mensagens que podem ser transmitidas por canais de comunicação. 2. Dados em repouso (dados armazenados) – informações sobre estações de trabalho, laptops, servidores de arquivos, armazenamento especializado, dispositivos USB e outros tipos de dispositivos de armazenamento de dados.

3. Dados em uso (dados em uso) - informações processadas em este momento.

Atualmente, existem cerca de duas dezenas de produtos nacionais e estrangeiros em nosso mercado que possuem algumas das propriedades dos sistemas DLP. Breves informações sobre eles no espírito da classificação acima estão listadas na tabela. 1 e 2. Também na tabela. 1 introduziu um parâmetro como “armazenamento e auditoria centralizada de dados”, implicando a capacidade do sistema de salvar dados em um único depósito (para todos os canais de monitoramento) para análise e auditoria adicionais. Esta funcionalidade adquiriu recentemente particular importância não só pelas exigências de diversos atos legislativos, mas também pela sua popularidade junto dos clientes (com base na experiência de projetos implementados). Todas as informações contidas nestas tabelas são retiradas de fontes públicas e materiais de marketing das respectivas empresas.

Com base nos dados apresentados nas Tabelas 1 e 2, podemos concluir que hoje apenas três sistemas DLP são apresentados na Rússia (das empresas InfoWatch, Perimetrix e WebSence). Inclui também o recentemente anunciado produto integrado da Jet Infosystem (SKVT+SMAP), uma vez que abrangerá diversos canais e terá uma gestão unificada de políticas de segurança.

É muito difícil falar sobre as participações de mercado desses produtos na Rússia, pois a maioria dos fabricantes mencionados não divulga os volumes de vendas, o número de clientes e os postos de trabalho protegidos, limitando-se apenas às informações de marketing. Só podemos afirmar com certeza que os principais fornecedores no momento são:

• Sistemas “Dozor”, presentes no mercado desde 2001;
• Produtos InfoWatch vendidos desde 2004;
• WebSense CPS (começou a ser vendido na Rússia e no mundo em 2007);
• Perimetrix (uma empresa jovem, cuja primeira versão de produtos foi anunciada em seu site no final de 2008).

Para concluir, gostaria de acrescentar que pertencer ou não à classe dos sistemas DLP não torna os produtos piores ou melhores - é simplesmente uma questão de classificação e nada mais.

Um vazamento de informações comercialmente significativas pode levar a perdas significativas para uma empresa, tanto financeiras quanto de reputação. A configuração de componentes DLP permite rastrear correspondência interna, mensagens de e-mail, troca de dados, trabalhar com armazenamento na núvem, iniciando aplicativos na área de trabalho, conectando dispositivos externos, relatórios, mensagens SMS, conversas telefônicas. Todas as transações suspeitas são monitoradas e um banco de dados de relatórios é criado com base em precedentes rastreados. Para o efeito, os sistemas DLP dispõem de mecanismos integrados de determinação do sistema de informação confidencial, para os quais são analisados ​​​​marcadores especiais de documentos e o seu próprio conteúdo (por palavras-chave, frases, sentenças). Alcance possível Configurações adicionais no controle de pessoal (legitimidade das ações dentro da empresa, utilização dos recursos de trabalho, até as impressões da impressora).

Se o controle total sobre a transferência de dados for uma prioridade, então a configuração inicial do DLP consistirá em identificar e determinar possíveis vazamentos de informações, controlar dispositivos finais e acesso dos usuários aos recursos da empresa. Se a prioridade são estatísticas sobre a movimentação de informações corporativas importantes dentro da organização, então, para rastreá-las, são calculados canais e métodos de transmissão de dados. Os sistemas DLP são configurados individualmente para cada empresa, com base em modelos de ameaças esperados, categorias de violações e identificação de possíveis canais de vazamento de informações.

Os DLPs ocupam um grande nicho de mercado na área de segurança econômica. Com base em pesquisas do Analytical Center Anti-Malware.ru, há um aumento notável na necessidade das empresas por sistemas DLP, um aumento nas vendas e uma expansão da linha de produtos. É relevante configurar a prevenção da transferência de informações indesejadas não só de dentro para fora, mas também de fora para dentro da rede de informação empresarial. Além disso, dada a virtualização generalizada nos sistemas de informação empresarial e a utilização generalizada de dispositivos móveis através dos quais é realizado o controlo empresarial dos funcionários móveis, é uma das maiores prioridades.

É importante considerar a integração dos sistemas DLP selecionados com a rede corporativa de TI e as aplicações que a empresa utiliza. Para evitar com sucesso o vazamento de dados e tomar medidas imediatas para impedir o abuso de informações corporativas, é necessário estabelecer um ambiente estável Trabalho DLP, configure a funcionalidade de acordo com as tarefas, instale o trabalho com contas de e-mail corporativas internas, drives USB, mensageiros instantâneos, armazenamento em nuvem, dispositivos móveis, e no caso de trabalhar em uma grande corporação - integração com sistema SIEM dentro do SOC.

Confie a implementação do sistema DLP a especialistas. O integrador de sistemas “Radius” instalará e configurará o DLP de acordo com as normas e regulamentos de segurança da informação, bem como as características da empresa cliente.

A escolha de um sistema DLP específico depende do nível de segurança de dados exigido e é sempre escolhida individualmente. Para auxiliar na escolha de um sistema DLP e calcular o custo de sua implantação na infraestrutura de TI da empresa, deixe uma solicitação e entraremos em contato o mais breve possível.

O que é um sistema DLP

Sistema DLP(Data Leak Prevention traduzido do inglês - meio de prevenir vazamento de dados) são tecnologias e dispositivos técnicos, que evitam o vazamento de informações confidenciais dos sistemas de informação.

Os sistemas DLP analisam os fluxos de dados e controlam a sua movimentação dentro de um determinado perímetro do sistema de informação, que é seguro. Podem ser conexões FTP, correio corporativo e web, conexões locais, bem como transferência de mensagens instantâneas e dados para uma impressora. Se informações confidenciais forem convertidas em um fluxo, um componente do sistema será ativado, bloqueando a transmissão do fluxo de dados.

Em outras palavras, Sistemas DLP zelar por documentos confidenciais e estrategicamente importantes, cujo vazamento dos sistemas de informação para o exterior possa causar danos irreparáveis ​​​​à empresa, bem como violar as Leis Federais nº 98-FZ “Sobre Segredos Comerciais” e nº 152-FZ “ Sobre Dados Pessoais”. A proteção de informações contra vazamentos também é mencionada no GOST. " Tecnologia da Informação. Regras práticas para gestão de segurança da informação" - GOST R ISO/IEC 17799-2005.

Via de regra, o vazamento de informações confidenciais pode ocorrer como resultado de hacking e penetração, ou como resultado de desatenção, negligência dos funcionários da empresa, bem como dos esforços de pessoas internas - a transferência intencional de informações confidenciais por funcionários da empresa. Portanto, os sistemas DLP são as tecnologias mais confiáveis ​​para proteção contra vazamento de informações confidenciais - eles detectam informações protegidas por conteúdo, independentemente do idioma, tipo, canal de transmissão e formato do documento.

Também, Sistema DLP controla absolutamente todos os canais usados ​​todos os dias para transmitir informações eletronicamente. Os fluxos de informação são processados ​​automaticamente com base na política de segurança estabelecida. Caso as ações de informações confidenciais entrem em conflito com a política de segurança estabelecida pela empresa, a transferência de dados será bloqueada. Ao mesmo tempo, o representante de confiança da empresa responsável pela segurança da informação recebe uma mensagem instantânea alertando sobre uma tentativa de transferência de informações confidenciais.

Implementação de um sistema DLP, em primeiro lugar, garante o cumprimento de uma série de requisitos do padrão PCI DSS relativos ao nível de segurança da informação da empresa. Além disso, os sistemas DLP auditam automaticamente as informações protegidas, de acordo com sua localização, e proporcionam controle automatizado, de acordo com as regras de movimentação de informações confidenciais na empresa, processando e prevenindo incidentes de divulgação ilícita de informações secretas. O sistema de prevenção de vazamento de dados, baseado em relatórios de incidentes, monitora o nível geral de riscos e também, nas modalidades de análise retrospectiva e resposta imediata, controla o vazamento de informações.

Os sistemas DLP são instalados em pequenas e grandes empresas, evitando o vazamento de informações, protegendo assim a empresa dos riscos financeiros e jurídicos decorrentes da perda ou transferência de informações corporativas ou confidenciais importantes.