Контакты
Подписка 2023
Статьи по информационной безопасности

DLP: один в поле не воин?

Александр Коновалов, 11/01/22

На ранних этапах развития компьютерных и сетевых технологий задачи информационной безопасности в основном строились вокруг предотвращения проникновения злоумышленника внутрь защищаемого периметра ИТ-инфраструктуры. Однако достаточно быстро пришло понимание, что не менее важным является и обеспечение защиты информации от утечек, инициированных непосредственно внутри периметра организации. Причем эти утечки могут носить как злонамеренный характер, так и случайный – вызванный небрежностью сотрудников.

Автор: Александр Коновалов, технический директор Varonis Systems в России

Основным средством борьбы с этим типом угроз стали DLP-системы (Data Leak Prevention), главная задача которых – фильтрация всего исходящего из защищаемой ИТ-инфраструктуры трафика и выявление в нем признаков утечки конфиденциальных данных. Еще одна важная задача DLP – соответствие требованиям отраслевых стандартов и законодательства, в том числе 152-ФЗ, 98-ФЗ, GDPR, PCI DSS, HIPPA.

Подобные системы нейтрализации внутренних угроз развиваются уже более 20 лет и достигли определенного совершенства. При этом методы, основанные на анализе контекста трафика даже лучшими в отрасли DLP-системами, часто приводят к ложным срабатываниям. Это выливается в постоянную гонку за контролем все большего числа каналов передачи информации и необходимость бесконечно совершенствовать правила фильтрации, что в конечном итоге приводит к дополнительной нагрузке для ИТ-бюджета компании. Кроме того, подход, основанный на по-файловом анализе, который используют большинство DLP-систем, сдается под натиском петабайтов неструктурированной информации: такая система начинает генерировать сотни оповещений, которые чрезвычайно сложно приоритизировать.

Несмотря на все усилия, количество утечек данных растет. Только в США стало известно о более чем 1 тыс. подобных случаев за 2020 г., что вдвое выше показателя 2010 г. И это всего лишь часть проблемы, которую смогли разглядеть СМИ.

Результаты исследований Varonis говорят, что в среднем каждый сотрудник крупной организации имеет доступ к 17 млн документов, а в 41% компаний более 1 тыс. конфиденциальных файлов находятся в распоряжении любого работника. Все это указывает на необходимость внедрения дополнительных средств защиты, которые помогли бы кардинально повысить эффективность DLP-систем, а то и вовсе заменить их.

Найти данные

Для организации эффективной защиты от утечек конфиденциальных данных прежде всего необходимо четко представлять, где они находятся. Для этого можно применить специальные системы классификации, которые проанализируют весь информационный массив организации как в локальных хранилищах, так и в облаке (DCAP. – Прим. ред.). Подобные решения выполняют определение важности документа на основе правил и моделей, позволяющих, например, отыскать все файлы, для которых должны быть выполнены требования GDPR или аналогичные.

Кроме того, правильная классификация подразумевает использование набора регулярных выражений, минус-слов, механизма сопоставления с учетом "близости". Однажды проведенный полный анализ в дальнейшем должен обновляться на основе данных, полученных из журнала регистрации активностей в файловой системе.

Понять данные

Качественно проведенный анализ информационного массива организации сам по себе не приведет к повышению уровня его защищенности. Результаты этого этапа работы необходимо визуализировать и представить в удобном для мониторинга и контроля виде. Мы рекомендуем использовать дашборды для отслеживания ключевых индикаторов риска данных.

Помимо этого, инструмент должен обеспечивать видимость прав доступа к данным (с учетом наследования), наличия учетных записей с широкими правами и нестойкими паролями, а также подозрительных соединений по VPN. Предпочтительно, чтобы визуализация всех этих данных могла быть упорядочена как по цепочке "данные – пользователь", так и в обратном порядке.

Автоматизировать защиту

Цифровая трансформация настолько увеличила объемы хранимой и обрабатываемой информации, что методы защиты, требующие ручного труда, просто пасуют. Здесь на помощь могут прийти средства автоматизации, которые способны снижать риски в короткий срок благодаря массовой корректировке прав доступа к конфиденциальным данным. Для удобства предварительного моделирования вносимых изменений средства автоматизации должны иметь режим песочницы, помогающий заранее понять, как отзыв ненужных прав скажется на работе организации.

Второй важной задачей, требующей автоматизации, является перенос, архивирование или удаление конфиденциальных данных для соответствия текущим политикам их безопасности. Надлежащие средства помогут быстро навести порядок в инфраструктуре и в короткие сроки внедрить принцип наименьших привилегий. Важно обеспечить пользователей в случае необходимости удобной формой запроса на выдачу прав к папкам, группам.

Защитить облака

Такие облачные сервисы, как Microsoft 365, SalesForce, Zoom, GitHub, Google Workspace, нуждаются в контроле доступа к их содержимому и определении пользователей со слишком широкими правами. Чтобы решить эту задачу, применяются средства, оповещающие о передаче конфиденциальных файлов через ссылки с общим доступом, об открытии доступа к ним гостевым пользователям, о распознавании неактивных ссылок с внешним доступом.

Эти инструменты, опираясь на полученный в ходе анализа контекст, приоритизируют собираемую информацию, визуализируют ее и оповещают администратора о подозрительной активности.

Остановить злоумышленника

Возвращаясь к слабым сторонам большинства DLP-систем, следует признать, что их функциональность не может обеспечить защиту от продвинутых угроз, например от детально проработанных кибератак, выполняемых квалифицированными хакерами. Сильно уменьшить "простор для творчества" злоумышленников помогают инструменты контроля конфиденциальных данных.

Распознать комбинированные кибератаки, подозрительный доступ к данным, попытки несанкционированного входа в систему и кражу DNS можно с помощью средств анализа событий на конечных точках, определения геолокации и проверки репутации URL. Алгоритмы искусственного интеллекта, прошедшие обучение на данных анализа повседневной активности пользователей, позволят выявить подозрительные отклонения от поведенческих паттернов и вовремя изолировать скомпрометированный узел от защищаемых данных. Необходимо, чтобы эта задача решалась и за пределами локальной ИТ-инфраструктуры, распространяясь на облачные сервисы, так как их штатные меры защиты нельзя признать достаточными.

Следовать правилам

Непрерывный мониторинг корпоративных хранилищ с последующей проверкой контекста конфиденциальных данных позволяет обеспечить тот самый "нулевой" этап защиты данных, которого так не хватает DLP-системам.

Консалтинговая компания Forrester в своем недавнем отчете сообщила, что внедрение инструментов защиты позволяет снизить риск утечки чувствительной для компании информации на 75% по сравнению с результатами, демонстрируемыми DLP без дополнительных средств поддержки. Игнорировать этот факт – значит оставить компанию беззащитной перед реальной угрозой, пополнить список корпоративных утечек, который и без того выглядит весьма печально.
Темы:DLPЖурнал "Информационная безопасность" №5, 2021

Безопасный удаленный доступ.
Меры защиты информационной инфраструктуры от кибератак

12 октября 2023 
Жми для участия
Онлайн-конференция. Доверенные решения в области ИБ
11 октября 2023. Доверенные решения в области ИБ и импортозамещение в госсекторе и ключевых отраслях
Жми, чтобы участвовать
Статьи по той же темеСтатьи по той же теме

  • О физиках, лириках и флешках
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Техническая задача защиты флешки сводится к тому, чтобы сделать нелегальное физическое обладание ею бессмысленным. Эта задача решена в защищенной флешке “Секрет Особого Назначения”. Коротко рассмотрим, как.
  • Next Generation DLP. Поспорим о терминах
    Владимир Ульянов, руководитель аналитического центра Zecurion
    Совместное использования DLP и DCAP - это и есть идея DLP следующего поколения: соединить части, которые были искусственно разделены для обеспечения безопасности данных.
  • Атакующий дебют: разбор неразмеченных событий в DLP
    ИИ, машинное обучение и когнитивные технологии для автоматизации работы с большими данными – это не хайп, а реальный инструмент для анализа и классификации большого объема информации, выявления непостижимых для человеческого мозга связей и закономерностей.
  • DLP: маловато будет. Защита персональных данных на протяжении всего жизненного цикла
    Рустэм Хайретдинов, заместитель генерального директора группы компаний “Гарда”
    При защите персональных данных самые мощные аналитические инструменты DLP-систем – контентный анализ и "цифровые отпечатки" недостаточно эффективны.
  • Роль аутсорсинга и психологии в DLP. Круглый стол вендоров решений класса DLP
    Импортозамещение коснулось многих классов решений в сфере информационной безопасности. Но производители DLP-систем чувствуют себя в новой реальности более чем уверенно. Почему это так, как будет развиваться ситуация в перспективе 2–3 лет, что нового ждать в функциональности систем?
  • DCAP выявляет нарушения в 100% внедрений
    Роман Подкопаев, Генеральный директор компании Makves
    Роман Подкопаев, основатель и генеральный директор компании Makves, о том, почему DCAP-решения являются неотъемлемой частью надежной ИБ-системы любой компании.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ITSEC: информационная и кибербезопасность
Форум ITSEC 2023: информационная и кибербезопасность России. 10-20 октября 2023
Жми, чтобы участвовать

More...
Форум ITSEC 2023: информационная и кибербезопасность России
Форум ITSEC 2023: информационная и кибербезопасность России
Жми, чтобы участвовать
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2023, ООО "ГРОТЕК"