Как работает система перехвата данных в корпоративных сетях?

Система перехвата данных в корпоративных сетях (DLP-система) работает путём перехвата и анализа информации, проходящей через сеть. 1

Некоторые способы перехвата:

• Агентский перехват. 1 Агенты DLP-системы устанавливаются на рабочие станции пользователей. 1 Они контролируют действия на устройствах в соответствии с заданными профилями, включая работу с файлами, буфер обмена, периферийные устройства, сетевые подключения и многое другое. 1
• Сетевой перехват. 1 Производится через зеркалирование нешифрованного трафика с сетевого оборудования (например, модема) на сервер сетевого перехвата с использованием SPAN-порта. 1
• Интеграция с почтовыми серверами. 1 Позволяет анализировать содержание корпоративной электронной почты. 1
• Интеграция с прокси-серверами и перехват по протоколу ICAP. 1 Применяется для анализа веб-трафика, если в организации используется соответствующая инфраструктура. 1

Перехватываются не все действия без разбора, а только те, которые попадают под настройки, заданные администратором безопасности. 1 Система в режиме мониторинга отслеживает, какие операции соответствуют политике безопасности, а какие — вызывают тревожные сигналы. 1

Если в потоке передаваемых данных была выявлена конфиденциальная информация, система классифицирует эту передачу как инцидент. 2 Автоматически срабатывает режим защиты, и запускается процедура реагирования на инцидент, например, происходит блокирование передачи информации. 2

Все уведомления о событиях отправляются ответственному лицу, которое уже принимает решение, был ли инцидент правомерным или необходимо начать расследование. 3