Детали дьявола или решето в глянцевой упаковке

Сегодня хотелось бы поговорить об одной редко обсуждаемой публично теме – технологическом качестве продуктов, призванных предотвращать утечки информации (DLP). Как говорится, дьявол кроется в деталях и часто его укрытием оказывается красивая глянцевая упаковка.

Бог с ним, что большинство DLP-решений на российском рынке не являются DLP, т.к. они не способны что-либо предотвращать, а могут лишь пассивно наблюдать за утекающими данными, с последующим предоставлением красивых отчетов и расследованием инцидентов. Сейчас данная особенность не будет рассматриваться. Давайте рассмотрим конкретные примеры, когда то или иное DLP-решение не выполняет или не полностью выполняет заявленные его же производителем самые что ни на есть базовые функции.

Ни в коем случае не стоит ожидать от данного текста сравнительного анализа разных продуктов, это скорее попытка показать «внутренности» и качество реализации заявленных на бумаге функциональных возможностей, за которые платятся деньги клиентов. Дело не в ошибках реализации, ошибки есть всегда и у всех. Можно расценивать все, о чем пойдет речь ниже, как врожденные заболевания некоторых DLP-продуктов, практически не поддающиеся лечению.

Не ждите здесь прямых указаний на тот или иной продукт, однако все описанное легко проверяется и если у вас уже стоит какое-либо решение для борьбы с утечками данных – просто попробуйте на нем, возможно, будет «приятный» сюрприз.

- Первое, с чего начнем - это контроль печати документов. Важнейшая, базовая функция любого решения по противодействию утечкам корпоративной информации. Файл с подозрительным содержимым, отправляемый на печать, должен быть подвергнут неким действиям (запрет, протоколирование, теневое копирование и т.п.) вашей DLP-системы. А что если нет никакого файла, а содержимое есть, и оно отправляется на печать? Представим себе, что текст набран или вставлен из буфера обмена в пустой документ MS Word (или любого другого редактора) и без сохранения послан на принтер.

- Контроль исходящей электронной почты, также критически важная функция DLP-продукта. Вы удивитесь, сколько на рынке решений, в спецификации которых честно указано с какими почтовыми клиентами они работают. Т.е. эти решения не контролируют почтовые протоколы (SMTP, MAPI, Notes, IMAP и т.д.) как таковые, а заточены на конкретные приложения (например, MS Outlook). Для вас, как для потребителя подобной продукции, это означает ровно одно – устанавливайте любой почтовый клиент, которого нет в списке поддерживаемых - и никакого контроля почты не будет. Попробуйте свободно распространяемый почтовый клиент Mozilla Thunderbird, далеко не все т.н. DLP способны перехватывать и сохранять теневые копии писем при использовании данного клиента.

- Подобно предыдущему пункту с почтой, существует достаточно много решений, в которых заявлен контроль веб-ресурсов (веб-почта, облачные хранилища данных, социальные сети и т.д.) только для поддерживаемых браузеров (например, Internet Explorer, Firefox, Opera и т.д.). Тут все точно также, как описано выше. Любой HTTP-агент, не указанный в списке поддерживаемых, сможет осуществлять неконтролируемые действия с веб-сервисами. Отдельно хочется отметить, что часто бывает достаточно изменить локальную папку синхронизации файлов у приложения облачного хранилища (например, Dropbox), чтобы установленное средство предотвращения утечек перестало это облачное хранилище контролировать.

- Самый надежный способ избавиться от назойливого контроля это просто отключить (скажем временно, на тот период, когда надо что-то отправить) DLP-агент на своем компьютере ;) Собственно так многие пользователи и поступают, особенно учитывая тот факт, что наличие у них (пользователей) прав локального администратора - это очень частая ситуация в реальной жизни. Некоторые DLP-разработчики заявляют о том, что способны противодействовать таким привилегированным пользователям, у некоторых DLP это даже получается, но чаще – нет. Совсем примитивная защита обходится путем отключения (перевод в состояние disabled) служб непокорного DLP-агента штатными средствами администрирования Windows, удалением или временным перемещением его драйверов и перезагрузкой компьютера. «Продвинутые» DLP легко выносятся с помощью бесплатных утилит, таких как GMER и FileASSASSIN – достаточно натравить эти утилиты на файлы служб и драйвера DLP-агента. Попробуйте, это совсем не сложно.

Не хочу детально расписывать совсем уж очевидные дыры типа отсутствия контроля исходящих сообщений в мессенджерах при заявленном контроле этих мессенджеров (по факту перехватываются только файлы). Или заявленные блокировки снимков экранов, которые работают только для штатных средств Windows (кнопка PrintScreen) и легко обходятся любой сторонней программой. И многое другое. Оставлю себе темы на будущее ;)

Автор: Ашот Оганесян