Контакты
Подписка 2023
МЕНЮ
Контакты
Подписка

DLP: один в поле не воин?

Александр Коновалов, 11/01/22

На ранних этапах развития компьютерных и сетевых технологий задачи информационной безопасности в основном строились вокруг предотвращения проникновения злоумышленника внутрь защищаемого периметра ИТ-инфраструктуры. Однако достаточно быстро пришло понимание, что не менее важным является и обеспечение защиты информации от утечек, инициированных непосредственно внутри периметра организации. Причем эти утечки могут носить как злонамеренный характер, так и случайный – вызванный небрежностью сотрудников.

Автор: Александр Коновалов, технический директор Varonis Systems в России

Основным средством борьбы с этим типом угроз стали DLP-системы (Data Leak Prevention), главная задача которых – фильтрация всего исходящего из защищаемой ИТ-инфраструктуры трафика и выявление в нем признаков утечки конфиденциальных данных. Еще одна важная задача DLP – соответствие требованиям отраслевых стандартов и законодательства, в том числе 152-ФЗ, 98-ФЗ, GDPR, PCI DSS, HIPPA.

Подобные системы нейтрализации внутренних угроз развиваются уже более 20 лет и достигли определенного совершенства. При этом методы, основанные на анализе контекста трафика даже лучшими в отрасли DLP-системами, часто приводят к ложным срабатываниям. Это выливается в постоянную гонку за контролем все большего числа каналов передачи информации и необходимость бесконечно совершенствовать правила фильтрации, что в конечном итоге приводит к дополнительной нагрузке для ИТ-бюджета компании. Кроме того, подход, основанный на по-файловом анализе, который используют большинство DLP-систем, сдается под натиском петабайтов неструктурированной информации: такая система начинает генерировать сотни оповещений, которые чрезвычайно сложно приоритизировать.

Несмотря на все усилия, количество утечек данных растет. Только в США стало известно о более чем 1 тыс. подобных случаев за 2020 г., что вдвое выше показателя 2010 г. И это всего лишь часть проблемы, которую смогли разглядеть СМИ.

Результаты исследований Varonis говорят, что в среднем каждый сотрудник крупной организации имеет доступ к 17 млн документов, а в 41% компаний более 1 тыс. конфиденциальных файлов находятся в распоряжении любого работника. Все это указывает на необходимость внедрения дополнительных средств защиты, которые помогли бы кардинально повысить эффективность DLP-систем, а то и вовсе заменить их.

Найти данные

Для организации эффективной защиты от утечек конфиденциальных данных прежде всего необходимо четко представлять, где они находятся. Для этого можно применить специальные системы классификации, которые проанализируют весь информационный массив организации как в локальных хранилищах, так и в облаке (DCAP. – Прим. ред.). Подобные решения выполняют определение важности документа на основе правил и моделей, позволяющих, например, отыскать все файлы, для которых должны быть выполнены требования GDPR или аналогичные.

Кроме того, правильная классификация подразумевает использование набора регулярных выражений, минус-слов, механизма сопоставления с учетом "близости". Однажды проведенный полный анализ в дальнейшем должен обновляться на основе данных, полученных из журнала регистрации активностей в файловой системе.

Понять данные

Качественно проведенный анализ информационного массива организации сам по себе не приведет к повышению уровня его защищенности. Результаты этого этапа работы необходимо визуализировать и представить в удобном для мониторинга и контроля виде. Мы рекомендуем использовать дашборды для отслеживания ключевых индикаторов риска данных.

Помимо этого, инструмент должен обеспечивать видимость прав доступа к данным (с учетом наследования), наличия учетных записей с широкими правами и нестойкими паролями, а также подозрительных соединений по VPN. Предпочтительно, чтобы визуализация всех этих данных могла быть упорядочена как по цепочке "данные – пользователь", так и в обратном порядке.

Автоматизировать защиту

Цифровая трансформация настолько увеличила объемы хранимой и обрабатываемой информации, что методы защиты, требующие ручного труда, просто пасуют. Здесь на помощь могут прийти средства автоматизации, которые способны снижать риски в короткий срок благодаря массовой корректировке прав доступа к конфиденциальным данным. Для удобства предварительного моделирования вносимых изменений средства автоматизации должны иметь режим песочницы, помогающий заранее понять, как отзыв ненужных прав скажется на работе организации.

Второй важной задачей, требующей автоматизации, является перенос, архивирование или удаление конфиденциальных данных для соответствия текущим политикам их безопасности. Надлежащие средства помогут быстро навести порядок в инфраструктуре и в короткие сроки внедрить принцип наименьших привилегий. Важно обеспечить пользователей в случае необходимости удобной формой запроса на выдачу прав к папкам, группам.

Защитить облака

Такие облачные сервисы, как Microsoft 365, SalesForce, Zoom, GitHub, Google Workspace, нуждаются в контроле доступа к их содержимому и определении пользователей со слишком широкими правами. Чтобы решить эту задачу, применяются средства, оповещающие о передаче конфиденциальных файлов через ссылки с общим доступом, об открытии доступа к ним гостевым пользователям, о распознавании неактивных ссылок с внешним доступом.

Эти инструменты, опираясь на полученный в ходе анализа контекст, приоритизируют собираемую информацию, визуализируют ее и оповещают администратора о подозрительной активности.

Остановить злоумышленника

Возвращаясь к слабым сторонам большинства DLP-систем, следует признать, что их функциональность не может обеспечить защиту от продвинутых угроз, например от детально проработанных кибератак, выполняемых квалифицированными хакерами. Сильно уменьшить "простор для творчества" злоумышленников помогают инструменты контроля конфиденциальных данных.

Распознать комбинированные кибератаки, подозрительный доступ к данным, попытки несанкционированного входа в систему и кражу DNS можно с помощью средств анализа событий на конечных точках, определения геолокации и проверки репутации URL. Алгоритмы искусственного интеллекта, прошедшие обучение на данных анализа повседневной активности пользователей, позволят выявить подозрительные отклонения от поведенческих паттернов и вовремя изолировать скомпрометированный узел от защищаемых данных. Необходимо, чтобы эта задача решалась и за пределами локальной ИТ-инфраструктуры, распространяясь на облачные сервисы, так как их штатные меры защиты нельзя признать достаточными.

Следовать правилам

Непрерывный мониторинг корпоративных хранилищ с последующей проверкой контекста конфиденциальных данных позволяет обеспечить тот самый "нулевой" этап защиты данных, которого так не хватает DLP-системам.

Консалтинговая компания Forrester в своем недавнем отчете сообщила, что внедрение инструментов защиты позволяет снизить риск утечки чувствительной для компании информации на 75% по сравнению с результатами, демонстрируемыми DLP без дополнительных средств поддержки. Игнорировать этот факт – значит оставить компанию беззащитной перед реальной угрозой, пополнить список корпоративных утечек, который и без того выглядит весьма печально.

Темы:DLPЖурнал "Информационная безопасность" №5, 2021
Статьи по той же темеСтатьи по той же теме

  • Роль аутсорсинга и психологии в DLP. Круглый стол вендоров решений класса DLP
    Импортозамещение коснулось многих классов решений в сфере информационной безопасности. Но производители DLP-систем чувствуют себя в новой реальности более чем уверенно. Почему это так, как будет развиваться ситуация в перспективе 2–3 лет, что нового ждать в функциональности систем?
  • DCAP выявляет нарушения в 100% внедрений
    Роман Подкопаев, Генеральный директор компании Makves
    Роман Подкопаев, основатель и генеральный директор компании Makves, о том, почему DCAP-решения являются неотъемлемой частью надежной ИБ-системы любой компании.
  • Как инсайдер помог наладить дисциплину в компании
    Владислав Эркенов, начальник отдела безопасности ООО НПО “НТЭС”
    Теперь наша главная задача – профилактика
  • Импортозамещение DLP уже закончилось
    Мария Разумовская, руководитель пресс-службы Zecurion
    Между западным и российским подходами к защите информации от утечек существует огромная разница.
  • Главные обновления "СерчИнформ КИБ"
    Если вы задумали внедрять DLP, «СёрчИнформ КИБ» скорее всего войдет в число систем, которые вы будете тестировать.
  • DCAP и DLP: в чем разница?
    Дмитрий Горлянский, Руководитель направления технического сопровождения продаж “Гарда Технологии”
    Несмотря на некоторую схожесть функциональности, DLP и DCAP являются самостоятельными системами для решения совершенно разных задач

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

More...