Контакты
Подписка
МЕНЮ
Контакты
Подписка

Роль DLP-системы при реализации комплексной защиты от утечки данных

Ekaterina Danilina, 03.08.18

skorodumov_m

 

Анатолий Скородумов, заместитель директора, начальник отдела информационной безопасности (CISO), Банк “Санкт-Петербург”

 

 

“Кто владеет информацией, тот владеет миром”. Эта фраза Натана Ротшильда стала крылатой. Но в условиях современного общества, с учетом большого числа легкодоступных каналов обмена информацией, она может быть легко разглашена или похищена. Одной из основных задач службы ИБ является защита значимой для организации информации от ее утечки.

Построение системы защиты от утечек – это сложная комплексная задача, включающая в себя различные направления информационной безопасности –   от управления уязвимостями, через которые организация может быть атакована в целях похищения конфиденциальных данных, до повышения осведомленности сотрудников в области ИБ. Одним из ключевых звеньев комплекса защиты от утечек является система Data Leak Protection (DLP). Именно ее использование я и хотел бы обсудить в данной статье.

Исторически одной из основных функций DLP-системы является защита от утечек через конкретные каналы утечки данных: электронную почту, Web-доступ, мессенджеры и т.д. Проблема в том, что ни одна DLP не способна обеспечить защиту от утечек через все возможные каналы. Человек может информацию сфотографировать на личное мобильное устройство, записать, в крайнем случае – запомнить. Информация может быть вынесена прямо с носителем информации, например жестким диском или кассетами резервного копирования данных. Хранителями значительной части ключевой информации организации являются ее топ-менеджеры. И довольно часто  случается, что разглашение информации происходит в рамках их выступлений и  интервью. Если организация атакована через какую-то уязвимость, использование  которой позволяет осуществлять копирование данных, то с большой долей вероятности DLP-система вам в этом случае тоже не поможет.

Отдельная тема – правильная организация разработки и тестирования систем. Зачастую в этих процессах используются реальные данные без обеспечения необходимого уровня разграничения доступа и контроля, что может привести к утечке информации.

DLP – не панацея

С учетом развития современных технологий защищать информацию от возможной утечки, особенно от умышленного копирования, становится все сложнее. Периметр организации все больше "размывается". Растет число мобильных пользователей, сотрудников, работающих из дома. Причем многие из них работают со своих личных устройств (технология BYOD – Bring Your Own Device). Практически невозможно обойтись без удаленного доступа со стороны контрагентов, обеспечивающих техническую поддержку и сопровождение различных систем. Технически сложно реализовать защиту от утечки данных при использовании облачных сервисов (Platform as aService и Software as a Service).

Важно четко понимать, что DLP-система – это не панацея, это инструмент для решения конкретных задач в рамках большого комплекса мероприятий по защите от утечки данных.

При принятии решения о внедрении DLP-системы и выборе DLP-системы стоит сразу определить для себя, для защиты от утечки данных через какие каналы вы планируете ее использовать.

Еще лет 5–7 назад можно было рассуждать о том, какую реализацию защиты от утечки выбрать: периметровую, когда модули DLP-системы устанавливаются на периметре сети организации, или агентскую, когда агенты DLP-системы устанавливаются на конечные рабочие станции. В настоящее время практически все современные DLP-системы имеют и те и другие модули, и для обеспечения эффективной системы защиты от утечек внедрять следует весь комплекс средств защиты.

Классические DLP

Хочу заострить внимание еще на одном моменте. Классические DLP-системы – это системы именно предотвращения утечки данных. Их задача не просто зафиксировать утечку данных через какой-то канал, а предотвратить ее. По факту во многих организациях DLP-системы внедряются в режиме обнаружения утечки (Detection), а не в режиме предотвращения. Понятно, почему. В таком режиме DLP-система не может оказать никакого негативного влияния на ИТ-сервисы, на работу той же электронной почты или Web-доступа в Интернет.

Внедрить DLP-систему в этом варианте значительно проще, не надо думать о производительности сервисов и резервировании компонентов. Кроме того, нет рисков заблокировать легальные сообщения, если вдруг правила, реализованные в DLP-системе, начали давать большое количество ложных срабатываний. Но следует понимать, что гарантированно удалить информацию, которая попала в сеть Интернет, практически невозможно. Кроме того, такой вариант более трудозатратный для службы ИБ, т.к. анализ событий и реагирование на них полностью ложится на сотрудников информационной безопасности, и это требует достаточно существенных людских ресурсов.

Режим предотвращения дает вам значительно больше гибкости. Вы можете настроить систему так, чтобы пользователь сам дополнительно подтверждал необходимость отправки данных, несмотря на то, что DLP-система откатегорировала их как конфиденциальные. Можете делегировать такое право руководителю сотрудника, что соответствует политике ИБ, т.к. за правильность обработки информации в конкретном подразделении ответственность несет его руководитель. В каких-то случаях можно оставить окончательное решение о возможности отправки за службой безопасности. По своему усмотрению вы можете организовать любой микс из предоставляемых системой возможностей.

Кроме того, не используя DLP-систему в режиме предотвращения, вы не сможете использовать ее воспитательную роль. Когда работник организации начинает получать предупреждения о том, что в нарушение действующих требований ИБ он пытается отправить вовне конфиденциальную информацию, он поневоле начинает более осознанно подходить к своим действиям. Когда руководитель является ответственным за обработку информации в подразделении не просто на бумаге, а ежедневно принимает решения о допустимости или недопустимости отправки той или иной информации вовне, осознание им своей ответственности существенно возрастает.

Что дальше?

Итак, вы определили для себя необходимость и цели внедрения DLP-системы.

Необходимо определиться с функционалом системы и критериями выбора.

В своей организации мы давно пришли к мнению, что покупать систему защиты без полноценного ее пилотирования внутри организации нельзя. Но полноценный пилот решения – это довольно длительная и трудоемкая задача. Поэтому реально пилотировать следует одно-два, максимум три решения. Выделить эту пару наиболее подходящих вам решений из всего спектра, имеющегося на рынке ИБ, вам и должны помочь функциональные требования и критерии выбора (сравнения).

Все современные DLP-решения достаточно функциональны. Но, несмотря на довольно длительный путь развития, все они далеки от совершенства.

Различия DLP-решений

Надо учитывать, что есть довольно существенные различия между российскими и зарубежными DLP-решениями. Зарубежные решения "заточены" именно на предотвращение утечек в реальном режиме времени. Их хорошо использовать, когда вы точно знаете, какую именно информацию у себя в организации вы охраняете и каком виде она может быть представлена. В реальности зачастую понятны только категории защищаемой информации, при том что критерии отнесения информации к таким категориям достаточно расплывчаты. Плюс на это накладывается куча различных исключений, которые всегда есть в реальной жизни. Проводить же постфактум анализ данных в целях выявления, как могла утечь из организации та или иная информация, с использованием зарубежных систем затруднительно. Функционал этих систем по формированию единого архива всей исходящей информации, и особенно по гибкому интеллектуальному поиску конкретных данных в этом архиве, мягко говоря, "оставляет желать лучшего". Поэтому если такие задачи вам периодически приходится решать, рекомендую обратить внимание на DLP-системы российского производства.

Из функций, которые вам могут понадобиться при эксплуатации системы, стоит обратить внимание на следующие:

  • возможности использования системы в режиме предотвращения утечек;
  • наличие предустановленных политик по выявлению отправки персональных данных, финансовой информации, клиентских списков;
  • возможности гибкого сквозного поиска по архиву сохраненных данных с учетом морфологии языка;
  • возможность выявления заполненных форм стандартных для организации документов;
  • умение работать с цифровыми отпечатками документов, с возможностью указания степени совпадения;
  • наличие модулей для мобильных устройств;
  • контроль информации, отправляемой через мессенджеры;
  • возможности гибкого создания исключений из правил;
  • наличие "интеллекта" для анализа данных в агентах, устанавливаемых на конечные рабочие станции.

Безусловно, при выборе решения необходимо обратить внимание на политику лицензирования. Большинство решений имеют модульную архитектуру, и разные модули могут иметь разные схемы лицензирования даже в рамках одного решения.

Если вы планируете использовать систему в активном режиме (предотвращения утечек), то она должна поддерживать современные механизмы резервирования, распределения нагрузки, быть масштабируемой.

Немаловажным фактором успешности проведения проекта по внедрению в организации DLP-системы является выбор интегратора. Подобные проекты достаточно сложны в реализации. Предпочтение следует отдавать хорошо зарекомендовавшим себя на рынке ИБ-компаниям, имеющим значительный опыт работы по реализации подобных проектов. А еще лучше – по внедрению конкретного, выбранного вами решения. Пилотировать продукт стоит уже именно с тем интегратором, с которым вы планируете осуществлять его внедрение.

Хорошо, если к моменту внедрения DLP-системы в вашей организации есть перечень конфиденциальных документов, которые требуют защиты. В противном случае формирование такого перечня необходимо закладывать в проект по внедрению.

Трудности внедрения

Итак, вы выбрали решение и интегратора, который поможет вам его внедрить. С какими трудностями обычно сталкиваются организации при внедрении DLP-системы? Их можно разделить на технические и технологические. Технические обычно связаны со встраиванием периметровых модулей в существующую ИТ-инфраструктуру. Тот же модуль для разбора почтовых сообщений по сути – дополнительный промежуточный почтовый сервер, и насколько логично он впишется в существующую систему электронной почты – большой вопрос. Определенные сложности могут возникать с балансировной нагрузки, особенно в пиковые периоды. Для корректного анализа Web-трафика требуется разрывать SSL-соединения, т.к. большинство современных интернет-сервисов и сайтов работают по защищенным протоколам. Это достаточно ресурсоемкая задача, особенно если вы обрабатываете информацию в режиме реального времени. В части рабочих станций технические проблемы могут заключаться в конфликтах агентов DLP-системы с другим установленным на рабочей станции системным ПО, а также повышением нагрузки на рабочие станции и соответствующим "проседанием" их производительности. Кроме того, как и в любом "агентском" решении, возникают технические проблемы с установкой ПО на большое количество рабочих станций, контролем его работоспособности, актуальности версий и т.д. Технологические проблемы обычно связаны с наличием практически в любой организации неких устоявшихся технологий информационного обмена, не укладывающихся в стандартные политики DLP-систем. В качестве одного из примеров можно привести предварительное согласование с клиентом проектов заключаемых договоров и иных документов путем переписки по электронной почте. Другие технологические проблемы могут быть связаны с тем, что после внедрения DLP-системы все вложения в почтовые сообщения, которые она не может проанализировать, должны блокироваться. Например, если у вас в организации часто используются для взаимодействия с внешними клиентами и контрагентами архивы с паролем, это может стать проблемой, т.к. все эти архивы будут блокироваться системой.

Развитие DLP-систем

По факту, теряя эффективность в части основного функционала, DLP-системы начинают обрастать дополнительными функциями, не свойственными данному классу систем. Сюда можно отнести так называемый модуль "краулер" – модуль поиска защищаемой информации на различных информационных ресурсах. Хотя в нашей организации мы большей частью его применяем для контроля отсутствия защищаемой информации на общедоступных информационных ресурсах, например на корпоративном портале. Агентские модули часто имеют функционал для управления записью данных на периферийные устройства, а также "шпионские штучки" типа  кейлоггера, снимков экрана и т.п. вплоть до включения камеры (при наличии) и микрофона.

Еще одним серьезным направлением развития DLP-систем в последние годы является формирование так называемых досье на субъектов системы, а проще говоря, на работников организации, и построения графов информационного взаимодействия между сотрудниками и сотрудников с внешними лицами. И это уже направление, совсем мало относящееся к защите от утечек. Скорее, это элемент системы фрод-анализа. Причем для использования DLP-системы в таком качестве схема ее внедрения существенно отличается от классического внедрения DLP-системы, т.к. для получения максимальной эффективности вам надо завести в систему максимально возможное количество каналов информационного обмена, в т.ч. каналов информационного обмена внутри организации, а это уже совсем иные объемы информации, для обработки которых требуются существенно большие ресурсы.

Несмотря на то что DLP-системы прошли длительный путь развития, на мой взгляд, им явно не хватает следующего:

1. Глубокого понимания структуры организации.

Они не могут вычислить непосредственного руководителя сотрудника, определить, что сотрудник принадлежит к руководству Банка. Что вы им дадите в части структуры из Active Directory, то DLP-система и будет использовать. На уровне самой DLP-системы нельзя подразделения разбить на бизнес-подразделения и обеспечивающие, работающие с клиентами и не работающие с клиентами. Это существенно сокращает возможности по анализу информационного взаимодействия как внутри организации, так и с внешними контактами.

2. Возможностей по выявлению аномалий.

Интересно было бы строить профиль обычного поведения пользователя и отслеживать аномалии. Было бы также полезно иметь некий усредненный профиль по сотрудникам с одинаковым функционалом, чтобы имелась возможность отслеживать отклонения от этого усредненного профиля.

3. Отсутствие ИТ-зрелости.

Прежде всего в части надежности работы, отказоустойчивости, масштабируемости, управляемости. Во многом из-за этого ИТ-службы организаций неохотно соглашаются на включение модулей DLP-систем в разрыв в режиме предотвращения утечки.

Есть еще одна проблема DLP-систем, которая в итоге может поставить крест на всей этой технологии в существующем сейчас варианте, – это отставание от современных ИТ-технологий. Есть существенное запоздание между появлением новых ИТ-технологий и их охватом системами DLP. И с течением времени данная проблема только нарастает. Поэтому использовать DLP-системы можно и нужно, но не стоит ждать от них чудес, особенно в современных условиях быстро появляющихся и изменяющихся ИТ-технологий.


Читайте также:

Темы:Информационная безопасностьБанк “Санкт-Петербург”журналЗащита сетейконтроль доступаутечка информациифинансыDLPinformation security

Еще темы...