Алексей Парфентьев, «СёрчИнформ»: Российские DLP ушли далеко вперед от западных аналогов

Алексей Парфентьев: На рынке ИБ сейчас много разговоров о хайповых трендах — ИИ, облака. Но, если смотреть глазами практика, главный тренд года — реализация отложенного спроса. Спрос накапливался несколько лет: рынок готовился к вводу закона об оборотных штрафах, следил за ужесточением регуляторики.

Кроме того, шел плавный процесс импортозамещения, начавшийся с ухода иностранных игроков. К тому моменту 9 из 10 решений в сегменте ИБ и СЗИ уже были отечественными, но они работали на иностранной системной части. В 2022-ом начался этап перехода с Windows-инфраструктуры на отечественную, потом этап реализации совместимости между отечественными решениями и СЗИ. Сейчас клиенты, по сути, решают те вопросы и внедряют те решения, которые хотели получить еще год-два назад.

Регуляторика и реальные потребности заказчиков совпали: защита данных стала системной обязанностью, а не реакцией на разовые риски. В этом смысле рынок прошел важный перелом.

Алексей Парфентьев: В сегменте DLP история очень интересная. С давних пор российский рынок развивается абсолютно самостоятельно, и сейчас он очень насыщен. В России уже давно запрещено использовать непроверенные средства защиты, а иностранные вендоры не отдают исходные коды на проверку, чтобы получить местный сертификат. Поэтому в стране есть много зрелых отечественных DLP-систем, которые уже лет десять конкурируют друг с другом, и в разработке ориентируются в первую очередь на потребности российских пользователей и функционал других отечественных платформ.

За годы изолированного развития российские DLP-платформы по функционалу сильно ушли вперед по сравнению с иностранными тяжеловесами вроде Forcepoint и GTB. Ушли так далеко, что когда Gartner еще работал в России и готовил очередной квадрант по DLP, исследователи изучили несколько российских DLP-платформ и признались, что это решения выше классом. Российские решения уже тогда вышли за рамки традиционной DLP и стали закрывать внутренние риски, расследования, контроль продуктивности, анализ поведения.

Сейчас российские игроки, предлагая решения, например, в ОАЭ, позиционируют свои продукты уже не как DLP-систему, а как комплексный продукт по закрытию внутренних рисков безопасности. Это уже защита бизнес-процессов, аудит продуктивности, детальное расследование инцидентов — чего у иностранных компаний нет до сих пор. Заказчики не привыкли к такому богатству возможностей, ведь всегда было представление, что «DLP — это как антивирус, только для информации «на выход».

Так что да, по функциональности российские решения сегодня опережают иностранных «тяжеловесов» и успешно с ними конкурируют везде, где это позволяет геополитика.

Алексей Парфентьев: Выделить один приоритет очень сложно. DLP давно превратились в комплексные системы, и каждый заказчик выбирает свою конфигурацию и приходит к своей стилистике работы с системой. Для кого-то важнее всего детальное расследование инцидентов. Для кого-то — автоматизация, когда один специалист может защищать несколько тысяч сотрудников. А кому-то критична автоматизация расследования инцидентов, когда система сама переводит аудиозвонки в мессенджерах в текст и прогоняет их на ключевые фразы, или находит факты, когда за компьютером сидел не его владелец, с помощью анализа фото с веб-камеры.

Главное для любого заказчика — чтобы выбранная система соответствовала заявленному функционалу. Потому что нередко оказывается, что какая-то фича, описанная в маркетинговых материалах или даже технической документации, работает только в определенных условиях. Например, заказчик хочет контролировать Telegram — а DLP «видит» только чаты в десктопном приложении, а браузерную версию нет. Или работает только вычитка чатов, но голосовые сообщения, видео и звонки остаются вне поля зрения. Или заявлена блокировка, скажем, пересылки вложений, но только для файлов меньше определенного размера. Или — и сейчас на рынке это довольно болезненная точка — часть функций работает только на Windows, но отсутствует для Linux и Mac. Проблема в том, что порой такие несоответствия не увидишь на пилоте в тестовой среде. Так что заказчик выясняет, что критичный для него канал не защищен, уже на «боевом» внедрении — потратив деньги и время. С точки зрения вендоров ситуация понятная: сразу всего не реализуешь, например, весь годами наработанный Windows-функционал не напишешь под Linux за день. Но здесь важно не вводить заказчика в заблуждение. Так или иначе, полноценная и качественная реализация всех инструментов — приоритет для обеих сторон, и рынок потихоньку балансируется.

Есть еще одна общая тенденция — это вовлечение сотрудника в процесс информационной безопасности. Если раньше все DLP и DCAP-системы работали в закрытую — что-то блокировали, что-то собирали в фоновом режиме, то сейчас появляется все больше сценариев, когда у пользователя появляется интерфейс, объясняющий, почему то или иное действие запрещено. Он даже может участвовать в защите информации, присваивая документам теги конфиденциальности. Например, так это реализовано в нашей DCAP «СёрчИнформ FileAuditor». Система в любом случае проверит пересылаемый документ, но если автор сам отметил его как конфиденциальный, это большая помощь. Тренд на такую «открытость» пока только набирает обороты в ИБ, но явно укрепится в будущем.

Алексей Парфентьев: Здесь важен баланс. Без технических мер компания беззащитна: даже идеальный пользователь не заменит антивирус или DLP. Но правда и в том, что значительную часть внутренних инцидентов можно предотвратить простым информированием и корректной коммуникацией системы с пользователем.

Если система не объясняет, почему что-то запрещено, человек будет искать обходные пути. А если он получает понятную обратную связь — он учится. Это не замена средств защиты, а усиление их эффективности.

Алексей Парфентьев: Облака полностью меняют модель безопасности. В классическом подходе у разработчиков был доступ к рабочей станции, к драйверам, к сетевому трафику. В облаке этого нет — по сути, у вас исчезает сам «компьютер» как точка контроля. Вместо этого нужно использовать API и SDK самого облака, которые еще нужно запросить у платформы.

Мы впервые проходили этот путь, когда интегрировали DLP «СёрчИнформ КИБ» с Microsoft 365. Тогда мы сделали коннектор, который с нуля реализовывал все привычные DLP-функции, но уже в облачной архитектуре. С тех пор выстроили методологию интеграции и теперь работаем с российскими облачными платформами.

В облаках сложнее не реализовать DLP заново, а убедить саму облачную платформу добавить требуемые механизмы. Основная сложность для вендора в том, что функции нужно реализовать те же самые, но каждый раз совершенно по-другому, ведь у каждого облака свои механизмы. Поэтому это долгий путь — и вендоры, которые начинают его только сейчас, точно не пройдут его «по запросу клиента за месяц».

Алексей Парфентьев: Бюджеты растут, но плавно, без резких скачков. Для заказчиков важна предсказуемость в стоимости использования системы на год, два, пять лет вперед. В этом контексте они предъявляют два ключевых требования:

1. Поддержка свободно распространяемых или отечественных СУБД и ОС для серверной части. Никто не хочет зависеть от зарубежных лицензий и непредсказуемого роста цен. В последние годы мы видим уверенный спрос от заказчиков, поэтому планомерно расширяем перечень поддерживаемых российских и опенсорсных ОС – как на сервере, так и на агенте. Например, недавно КИБ и FileAuditor поддержали работу со SberOS.
2. Максимальная оптимизация железа. DLP — ресурсоемкий класс решений. Неправильно оптимизированная система превращает хранилище в резервную копию всего трафика компании. Постоянно что-то дорожает: оперативная память, видеокарты, процессоры — и все это мгновенно бьет по бюджету. Так что сегодня в фокусе оптимизация самих СЗИ: производительность и экономичность важнее новых фич.

Алексей Парфентьев: Эти требования растут постоянно. Must have — балансировка нагрузки, отказоустойчивость, распределенная архитектура. Очень часто звучит требование по оптимизации каналов связи.

Но в больших компаниях есть дополнительные особенности: неоднородность инфраструктуры. Где-то гигабитные каналы, а где-то — филиал чуть ли не на 3G-модеме. Для таких случаев просят индивидуальные решения. Например, система должна собирать данные локально и пересылать их ночью по расписанию в головную систему, где они позже фильтруются и анализируются.

Требования бывают абсолютно разные. В некоторых компаниях есть сегменты, где данные, наоборот, нужно обрабатывать медленнее. Не всем и не всегда нужна максимально быстрая обработка данных по всей сети.

Алексей Парфентьев: Это одна из многих планомерных доработок для увеличения производительности в «СёрчИнформ КИБ». Все началось с глобального перехода на инновационную технологию хранения. Мы ушли от хранения всего в СУБД и перешли на трехсоставное хранение: табличные данные — в БД, файлы — в специальной структуре, оптимизированной для быстрого адресного доступа к объектам, а тексты — в индексах. Это значительно ускорило работу с системой. Технология оказалась настолько уникальной, что мы даже получили на нее патент.

Есть и более точечная оптимизация. Например, мы делаем из больших баз данных цепочки маленьких. При поиске система понимает, в каких из сотен маленьких баз могут лежать искомые события, и подключает для поиска только их, что ускоряет поиск на порядки.

Последний важный шаг — оптимизация работы управляющего сервера. Мы увеличили пропускную способность до 10 000 агентов на одном сервере (ранее было 2 500-3 000). Это позволяет заказчикам в три раза сократить количество управляющих серверов, делая работу с системой удобнее и значительно дешевле.

Алексей Парфентьев: Абсолютный лидер — это внедрение в наши продукты действительно рабочих элементов искусственного интеллекта. Сейчас ИИ — модное слово, но на рынке много решений, где его применение либо избыточно, либо фактически бесполезно. Например, все, что связано с текстом и идентификаторами, прекрасно обрабатывается классическими алгоритмами, никакой ИИ там не нужен.

Мы осторожно подходили к внедрению ИИ: применяли его только там, где классические алгоритмы принципиально не справляются — в анализе изображений, голосе, распознавании лиц и объектов в кадре. Но в этом году мы подошли к качественно новому этапу: интегрировали в продукт модуль понимания контекста. Он позволяет находить такие нарушения, которые невозможно обнаружить ни одним существующим алгоритмом — ни регулярками, ни словарями, ни классическими механизмами анализа текста.

Простой пример. Есть два письма:

• «Осуществляем отгрузку после перевода 30% суммы на счет, работаем с НДС». Ключевых слов — полно, но человек интуитивно понимает, что это нормальная деловая переписка.
• «Готов переслать инфу по интересующему тебя человечку после оплаты. Перевод на кошелек». С точки зрения тематики ключевых слов — почти то же самое. Но смысл и тональность совершенно другие.

Так вот, этот ИИ-модуль способен отличить первое от второго, выявить сомнительный характер переписки и вывести инцидент на контроль. Это не эксперимент: инструмент работает, прошел внутреннее тестирование и сейчас готовится к релизу. Я считаю это правильной реализацией ИИ — не ради маркетинга, а для решения задач, которые раньше были технически невозможны. По сути, это новый класс анализа данных внутри DLP и DCAP.

Алексей Парфентьев: Я бы выделил два направления:

Нативная интеграция с облачными сервисами. Не просто подключение DLP к облаку, а включение DLP-функций прямо в архитектуру сервисов уровня «Яндекс 360» и VK Workspace. Этот тренд только зарождается, но я уверен, что в ближайшие годы такой переход произойдет.

Расширение функциональности и перекрестные сценарии с другими СЗИ. DLP и DCAP будут «откусывать» функции у других классов СЗИ. Например, DCAP может пойти в сегмент, занятый сейчас системами защищенного обмена документами (VDR), добавляя возможности расшаривания документов с контролем доступа, логированием изменений и невидимыми метками