DLP | Агентство De Facto

Объект контроля	Методики	Комментарий	Трудоемкость
Корпоративная почта (SMTP, MS Exchange)	Мониторинг и блокировка исходящих писем с вложениями, содержащими ключевые слова «чертеж», «техпроцесс», «бюджет» и т.п.	Утечка конструкторской и финансовой документации на личные ящики	Низкая (здесь и далее - разовая настройка с текущей доработкой фильтров и контролем алертов)
Подключение внешних устройств	Отслеживание события подключения любых USB-устройств (клавиатуры с памятью, смарт-карты, внешние HDD) с немедленной блокировкой неизвестных VID/PID	Подключение аппаратных кейлоггеров, флешек-обманок, внешних рекордеров	Низкая
Принтеры и МФУ с сетевым доступом	Мониторинг очередей печати через сетевые протоколы (RAW, LPR) и сравнение с допустимыми типами документов	Вынос бумажных копий с грифом «ДСП», печать документов других отделов, нестандартное время распечатки	Низкая
Мессенджеры (Telegram, WhatsApp, Skype)	Анализ текстовых сообщений и передачи файлов; маскирование вложений под изображения – извлечение и проверка хешей	Передача технологических карт через мессенджеры, сговор с конкурентами	Средняя (здесь и далее - требует участия аналитика для решения ложных срабатываний и проверки контекста)
Веб-трафик (HTTP/HTTPS)	Контроль загрузки файлов в облачные хранилища (Google Drive, Dropbox, Яндекс.Диск и т.п.) и отправки через webmail	Выгрузка чувствительных отчетов в личное облако	Низкая
Буфер обмена (Clipboard)	Перехват и анализ фрагментов текста, помещаемых в буфер, более N символов с фильтром по ключевым словам	Копирование формул, схем, описаний уникальных технологий в неконтролируемые приложения	Низкая
Сетевые папки (SMB/CIFS)	Контроль операций copy/move/delete на критических файловых серверах с подсчетом объема скопированных данных за короткий интервал	Массовое копирование документов перед увольнением	Низкая
Веб-камеры и захват экрана	Периодический захват скриншота (раз в 5 минут) при обнаружении активности в CAD/CAM-приложениях, сравнение с эталонными изображениями	Фотографирование экрана с чертежом на смартфон (видно позу, отражения)	Высокая (здесь и далее - требует ручного анализа)
Переименование и изменение расширений	Анализ операций rename файла конфиденциального типа в .txt, .jpg с последующим копированием	Маскировка базы данных под фото при отправке через webmail	Низкая
Виртуальные машины (VirtualBox, VMware)	Обнаружение файлов виртуальных машин на рабочих станциях и попыток проброса папок хоста	Запуск гостевой ОС без DLP и копирование файлов через shared folders	Средняя
Сжатые архивы (ZIP, RAR, 7z)	Инспекция содержимого архивов, передаваемых по любым каналам, даже с паролем (перехват паролей из буфера обмена)	Упаковка и отправка запароленного архива с чертежами под видом личного файла	Высокая
Сессии удаленного рабочего стола (RDP, TeamViewer)	Мониторинг приема входящих RDP-подключений с нестандартных IP, копирования файлов через clipboard между сессиями	Удаленный доступ злоумышленника с домашнего ПК к технологическим картам	Средняя
Нестандартные протоколы (Tor, I2P)	Обнаружение попыток установки анонимайзеров и трафика через нестандартные порты, блокировка по сигнатурам	Обход DLP	Низкая
Системный реестр (Windows Registry)	Контроль изменений ключей автозапуска и параметров служб, влияющих на компоненты DLP	Отключение агента DLP	Низкая
Фоновые записи звука (микрофон)	Активация записи с микрофона ПК при определенных условиях	Любые переговоры, в том числе без использовония ПК	Высокая
Технический анализ аномалий	Поведенческие аномалии	Например: сотрудник всегда отправляет 5 писем в день, нежиданно - резкое увеличение количества, отправка документов на личную внешнюю почту	Низкая
Связь с инструментами физического доступа (турникеты + DLP)	Анализ соответствия проходов и активностей в сети: если сотрудник работает за пределами периметра - включение повышенного контроля всех исходящих каналов	Поведенческие аномалии и расчет объективной заргрузки	Средняя