これらの違いは何ですか?
左側には「すべてを閉じ、不可能はない」という西洋のアプローチがあり、右側には「すべてとすべてを制御している」
誇張すると、DLPシステムは組織内のすべてのトラフィックを分析し、送信された情報が機密情報のように見える場合は送信をブロックするプログラムです。
この図は、「クレジットカードデータの転送を禁止する」ルールの例を使用したDLP操作の原理を示しています。 2通の手紙が送られます。手紙1にはクレジットカードの詳細が記載されており、手紙2には記載されていません。 メールサーバーでの分析後、2番が宛先に送信され、1番が宛先に返され、警備員/管理者に違反が通知されます。
「西側」のセキュリティ専門家は、「機密」情報をブロックするためだけにプログラムを使用します。 実際には、このように見えます-システムをインストールし、重要な情報を理解していることをマークし、特定の操作にロックオプションを設定してセキュリティルールを設定し、月に一度システムに戻ってルールを確定し、操作性を確認します。 動作するように意図されていないものはすべて他のツールによってブロックされ、DLPは許可されたトラフィック(ほとんどの場合メール)の違反を監視します。
したがって、欧米の開発者は主に、ルールを設定するためのわかりやすいアルゴリズムである迅速で信頼性の高いロックの提供に関心があり、何らかの分析を他のシステム(たとえばSIEM)に任せています。 「自分の」システムでは、傍受したデータを保存することさえできず、それに応じて遡及的な分析と調査を行うこともできません。なぜ、システムはこのために設計されておらず、この機能を使用しないのですか?
同時に、「東部」アプローチは、手元で受け取った楽器を管理するさまざまな方法が特徴です。 作業中、DLPは膨大な量の情報を収集します-すべての従業員の交渉、アプリケーションでの労働時間、訪問したサイト、入力したテキストなど。 収集プロセス中に、システムは機密情報の送信を確認できるだけでなく、設定に従って情報を分析および処理できます。このデータは、グラフ、チャート、表、ドキュメント転送スキーム、従業員のコミュニケーションなどの視覚的な形式で利用できます。
私は特に問題の倫理的側面について言及したくありません、これはあまりにも広大なトピックであり、個別の議論に値しますが、この機能は需要があります-したがって、国内(およびアジア、同様のアプローチを持っています)開発者は分析機能にもっと注意を払い、いくつかの点で最新のDLPユーザーの行動を追跡するためのツールのような、UBAクラスの製品。 このアプローチにより、組織の経済的セキュリティが大幅に確保され、セキュリティの専門家は本格的な調査のツールとしての製品に関心があり、「クラシック」DLPの主な機能であるブロッキングツールはあまり注目されていません。
アプローチの違いは肉眼では目立ちますが、それが何に関係しているのか、という疑問は未解決のままです。 おそらく、これは悪名高いプライバシーに対するさまざまな法律と態度によるものでしょう。あるいは、歴史的背景が重要であり、中国人とともに「私たち」の人たちは、自動化というよりも「手動」制御モードのようです。 また、「with us」と「with them」の進化の過程で、類似製品の機能の非常に異なる分岐の類似例があるかどうかを知ることは興味深いでしょう。