Как вы считаете, когда в вашей компании разумно вспомнить о технологии предотвращения потерь данных (DLP)? Рекомендую сделать это на этапе формирования долговременной стратегии управления рисками. Но не руководствуйтесь при этом советами вендоров или аналитиков. Лучше послушайте, что говорят в центре управления рисками компании ING U.S. Financial Services.
Проблемы утечки информации заботят умы ИТ-руководителей, а инструменты DLP предлагают методы контроля данных при их перемещении, хранении и использовании. Объем сегмента DLP составляет всего 70 млн. долл. — малую часть в объеме рынка информационной безопасности (ИБ), но вместе с тем подобные технологии объявляются инструментами, помогающими бизнесу соответствовать регуляционным требованиям и защищать интеллектуальную собственность.
Шум вокруг этой небольшой, но быстро растущей ниши информбезопасности основан еще и на таком явлении, которое некоторые аналитики называют сдвигом в безопасности.
В последнее время такие мэтры рынка ИБ, как Symantec, McAfee и EMC, сделали существенные инвестиции в DLP -- либо напрямую в собственное развитие, либо через приобретение других компаний. Так, в прошлом году корпорация Symantec купила за 350 млн. долл. лидера сегмента DLP компанию Vontu.
В отличие от традиционных продуктов, защищающих периметр сети, технология DLP сосредоточена на главной корпоративной информационной ценности — на данных как таковых. Как отметил Рич Могулл, аналитик из компании Securosis, работающей на рынке ИБ, такой подход обращен ко многих фирмам, которые стали сосредотачиваться на модели информбезопасности, ставящей во главу угла информацию. Могул считает, что изменилась несущая угрозы внешняя среда и наши приоритеты тоже изменились, поэтому нам действительно нужно вплотную заняться защитой собственно информации. Вот откуда, по его мнению, взялась концепция информационно-центричной безопасности, которая заставляет людей задаваться вопросом, почему мы должны обращать внимание на технологии и инструменты защиты данных, а не только сетей.
Однако эта перемена вектора развития философии ИБ еще далека от действительного сдвига — технология DLP только стартовала. Вопрос в том, действительно ли DLP окажет влияние на смещение большей части ПО в области ИБ к информационно-центричной модели, или ее развитие пойдет по пути некоторых других продуктов обеспечения ИБ, сосредоточившихся по большей части на саморекламе. Аналитики и сведущие в этой индустрии люди рассчитывают на перспективы DLP, но вместе с тем они считают, что еще предстоит преодолеть некоторые проблемы, прежде чем данная технология получит широкое признание.
“Думаю, что DLP все же дает много преимуществ, но она еще слишком молода в представлении бизнеса, чтобы компании ее активно восприняли, — считает Могул. — С любой точки зрения DLP не является незрелой: ясно, что она располагает достоинствами и не относится к тем решениям, от которых пользователи не в состоянии получить практические результаты”.
Определение рынка
Одной из главных проблем развития технологии вполне может оказаться ее четкое позиционирование в покупательской среде. Могул заявляет, что область применения DLP является для понимания покупателями одной из наиболее запутанных из всех ИБ-продуктов. Частично это связано и с тем, как по-разному ее называют — технология предотвращения потерь данных, защита от утечек данных, предотвращение потерь данных, предотвращение экструзии, мониторинг и фильтрация контента.
Название DLP, которое аналитики закрепили за этой технологией несколько лет назад и которое было воспринято работающими в этой области вендорами, все еще требует уточнения, поскольку его очень просто могут использовать для решений, почти не имеющих отношения к защите данных.
“Сегодня DLP, или технологией предотвращения экструзии, вендоры часто называют все свои решения от средств шифрования до действительно DLP. Я думаю, это вызывает довольно много недоразумений и является одним из сдерживающих факторов развития рынка, — сказал Могул. — Решить проблему можно разными способами, но уж точно положение не улучшится, если всё сваливать в одну кучу”.
Многие “чистые игроки” рынка DLP выражают расстройство из-за такого недоразумения, несмотря на то, что это помогает работе их отделов маркетинга. “Мне кажется, в некоторых случаях подобная путаница вызвана тем, что каждый претендует на некую свою разновидность DLP, — считает Джон Петерс, директор компании Reconnex, занимающейся технологией DLP. — Появился новый модный термин, и вендорам хочется прилепить его к своим продуктам. Отсюда и недоразумения. Если у вас есть продукт, работающий с электронной почтой и умеющий делать поиск по ключевым словам, можно ли его назвать DLP-продуктом? Если я создал систему обнаружения проникновений и могу отыскивать номера кредитных карт, есть ли это DLP-система?”
Как считает Могул, чтобы относиться к технологии DLP, продукт должен базироваться на централизованных политиках, которые посредством глубокого контентного анализа идентифицируют, отслеживают и защищают данные в состоянии покоя, перемещения и использования. Джон Петерс полагает, что это есть аналитическое действие, пронизывающее все три состояния, направленное на наблюдение за хранимыми данными посредством исследования контента, на защиту данных при использовании в оконечных точках сети и в процессе их передачи по сети, что и отличает на самом деле продукты DLP от спекулятивных вариантов. Он считает, что когда технология будет очищена до такого состояния, она станет гораздо более контролируемой.
“Нам нужно решение, покрывающее все эти три области и снабженное единой централизованной системой управления. Лишь немногие вендоры предлагают такие полные варианты, — заметил Джон Петерс. — То, что мы сегодня наблюдаем на рынке, почти всегда представляет собой результат конкуренции между двумя-тремя вендорами”.
Стив Руп, вице-президент по маркетингу и продуктам в подразделении Vontu корпорации Symantec, соглашается с определением DLP, которое дал Джон Петерс, и подчеркивает в свою очередь, что преимущество при этом достигается за счет объединения функций под зонтиком соблюдения политик, чего не получишь, собрав отдельные продукты вместе на скорую руку. “Вы не должны разделять политики и правила: одни для сети, другие для системы хранения, третьи для конечных точек подключения, — утверждает Руп. — Покупатели хотят иметь единую консоль управления реагированием на инциденты, с которой можно контролировать ситуацию в любом из трех компонентов”.
Например, кто-то из пользователей скопировал критичные данные на USB-устройство, или за десять минут переслал со своего ноутбука по электронной почте на внешние адреса штук семьдесят файлов, или за такое же короткое время скопировал их на CD-ROM. “Когда все эти события оказываются объединенными в одном отклике на инцидент, можно восстановить полную картину угрозы хищения данных, и независимо от того, случился на самом деле инцидент или нет, нужно провести расследование, имеет ли место небрежность со стороны персонала или злой умысел, — сказал Руп. — Наши покупатели хотят контролировать работу с данными с единой точки зрения”.
Ответы на возражения
Такой всесторонний подход является мощным аргументом за DLP и против точечных решений. Но вместе с тем в дальнейшем он может стать ограничением для технологии из-за проблем на стадии внедрения, вызванных ее широким охватом.
“Возражения против DLP, которые я называю маленькими темными секретами DLP, заключаются в том, что развертывание решений, реализующих эту технологию, особенно в больших организациях, сопряжено с несколько большими расходами, чем изначально предполагает заказчик, — сказал Петерс. — Некоторые заказчики при развертывании столкнулись с определением истинной стоимости внедрения. Причина этого в том, что они не учли, что первейшей задачей в проектах для них является определение того, какие правила обеспечения защиты информации нужно реализовывать. Какую информацию нужно защищать? Насколько жесткой должна быть политика, чтобы гарантировать заказчика от ложной успокоенности, с одной стороны, и не терять информации, с другой?”
Петерс отметил, что недавно Reconnex усовершенствовала свой продукт с тем, чтобы улучшить автоматическую обработку контента, упростить конфигурирование и улучшить автоматизированное формирование политики. Он полагает, что это — главная задача вендоров DLP-решений, реагирующих на запросы реальных и потенциальных пользователей.
Но вместе с тем технология принесла некоторым пользователям убытки, а некоторых “гуру от ИБ” заставила дважды подумать, прежде чем решиться на внедрение. Именно так и было в ситуации с Андре Голдом, ветераном информбезопасности, возглавляющим направление управления рисками в ING U.S. Financial Services. Впервые он столкнулся с DLP два года назад, когда один из ведущих вендоров привлек его к пилотному развертыванию системы в инфраструктуре своего тогдашнего заказчика, компании Continental Airlines. Голд позволил вендору конфигурировать систему, с тем чтобы по окончании он предоставил ему полную картину проблем потери данных. Спустя три недели участники проекта вернулись к прежнему состоянию и задались вопросом, где же те драгоценные крупицы, о которых они говорили. Представители вендора спросили:
Вам известно о том, что в вашей системе такое-то количество шпионских программ?
Да, ведь у нас есть продуты, которые регистрируют это, — ответил Голд.
Ну а о том, что у вас в сети такое-то количество соединений P2P, вы знаете?
Голд сказал, что и об этом тоже известно, но неизвестно, где же обещанные “драгоценные крупицы”. На это представители вендора заявили, что не могут их найти.
Именно такие случаи бросают тень на восприятие рынком технологии DLP. Устройство оказалось совершенно бесполезным, несмотря даже на то, что его конфигурировал сам производитель. “Мне кажется, суть этой истории заключается в том, что все еще бытует штамп, будто бы от устройства DLP можно получить выигрыш за счет его правильного конфигурирования и короткого времени окупаемости”, — сказал Голд. Постепенно данное заблуждение выветривается.
“После быстро пролетевших двух лет рынок DLP начинает демонстрировать зрелость. Определенно продолжается консолидация, а вендоры вкладываются в технологии, улучшая автоматическую обучаемость систем и упрощая их конфигурирование, — сказал он, пояснив, что ING реализует это как стратегию поведения, и не упоминая о промашках вендоров. Он полагает, что вендоры поступают правильно, одновременно обеспечивая компаниям краткосрочный выигрыш за счет выполнения нормативных требований и долговременный выигрыш, помогая им в стратегической защите IP-технологий.
Могул согласен с тем, что этот баланс нарушен и на протяжении нескольких последних лет вендоры вынуждены были слушать протесты, а в результате научились нивелировать ситуацию, помогая компаниям реагировать на потребности бизнеса. “Значительный рост зрелости заметен и в самих компаниях, — заметил Могул, который как аналитик шесть лет проработал на рынке DLP. — На мой взгляд, какое-то время этот рынок напоминал скачки с участием одной-единственной лошади, многие компании руководствовались технологиями, а не бизнесом. За последние два года ситуация решительно переменилась и на рынке заметно выросла конкуренция”.
Изменения в стратегии
Краткосрочные преимущества, связанные с возможностью DLP обеспечить соответствие нормативным требованиям, могут быть реализованы также и с помощью продуктов на основе других технологий. Некоторые специалисты, как и Голд, полагают, что для выявления долговременных преимуществ DLP еще потребуется время, надо, чтобы эта технология стала массовой, поскольку сегодня компании заняты согласованием информационно-центричной стратегии и своих главных деловых целей.
“Есть некоторая область, по поводу которой специалисты по оценке рисков испытывают беспокойство. Порой мы следим за развитием новейших технологий индустрии и не сосредотачиваемся на том, куда направлено развитие собственной компании, — говорит Голд. — Думаю, мы позволяем технологиям обслуживать самих себя, управлять нашей стратегией, поскольку внешне это выглядит притягательно. Но в таком случае по большому счету мы не осознаем, зачем используем технологии, как внутри конкретной среды конкретной компании они стратегически отражаются на уровне рисков ”.
В его случае, когда он впервые пришел в ING и начал работать над долгосрочной стратегией управления рисками, определение выигрыша от применения DLP состоялось. “Ничего не получалось до тех пор, пока мы не выложили на стол трехгодичную стратегию, продемонстрировав конкретное использование DLP. Мы постарались увидеть то, что компания хочет сделать в стратегической перспективе, а затем наложили это на перспективу рисков. По-моему, как только это удается сделать, область сосредоточия усилий немедленно проявляется, — заявил Голд. — Например, из наших возможных утечек информации явно обозначилась одна из таких областей”.
Голд постоянно слышал от своего директора, что ING планирует существенный рост в будущем году независимо от того, каким способом это будет реализовано — расширением самой компании или приобретением другой фирмы. Из личного опыта Голд знал о разрушительном росте числа утечек по каналам IP при слияниях и приобретениях. Во время его работы в авиакомпании Continental намечалась покупка другого авиаперевозчика — компании Delta. Но произошла утечка информации о сделке, и биржевая стоимость Delta подскочила до такого уровня, что покупка стала слишком дорогой. Голд решил, что в ING ему нужно как-то предотвратить подобные утечки.
Как отметил Петерс из компании Reconnex, такое совмещение тактики и стратегии обещают удовлетворить многие поставщики решений DLP. Согласно его высказыванию происходящее сегодня свидетельствует о том, что основная часть наших реальных и потенциальных покупателей уже имеет те или иные приложения, тактически решающие задачи соответствия нормативным требованиям. Но стратегия заключается в том, чтобы защитить интеллектуальную собственность, которая является ключевой ценностью их бизнеса. Поэтому практически у каждого покупателя имеется некая комбинация защиты, направленной на соответствие нормативным требованиям и сохранение конфиденциальности информации.
Могул не считает, что всем организациям с позиций стратегического развития нужна технология DLP в инфраструктуре. На его взгляд, если уж быть честным, DLP может оказаться и скороспелым, непродуманным вариантом, например, когда заказчик прежде всего озабочен тем, что его данные оказываются незащищенными в каналах передачи — от USB до электронной почты. В этом случае нет оснований задумываться об информационно-центричной модели.
Технология DLP развивается. И сначала мы видим тех, кто развертывает новые технологии, фокусируясь на вещах попроще, подобных защите данных кредитных карт и социальных данных. Хорошо это или плохо, но Могул полагает, что сегодня 90% рынка сфокусировано именно на этом. В результате он полагает, что использование инструментов DLP будет развиваться в направлении защиты неструктурированного контента через приведение его в частичное соответствие с другими документами.
“Я думаю, что та область, к которой мы движемся, где люди начнут реально проявлять интерес к DLP, является областью исследования контента. По мере улучшения возможностей продуктов и роста числа реализаций пойдёт движение в направлении защиты контента, где нет еще достаточной определенности. Люди начали использовать DLP как инструмент, который помогает лучше понять, как внутри организации правильнее использовать важные данные.
Однако этот процесс не может слишком затянуться. Могул полагает, что рынку все еще требуется время для роста. Согласно его оценкам, следующие несколько лет рынок DLP будет демонстрировать рост дохода около 75%. Взрывного развития не будет, поскольку данная технология не направлена на подавление прямых экстренных угроз, подобных вирусам.
По словам Петерса, как и некоторые другие продуктовые концепции, технология DLP не замещает в действующем бюджете существующие средства. Это новая бюджетная статья, не похожая на более дешевые и быстрые жесткие диски или процессоры, которые немедленно принесут выигрыш в деньгах, это новая инициатива, требующая вложений.
Как считает Могул, повторяя, что стратегический выигрыш напоминает глазурь на пирожном, найти деньги на внедрение помогут потребности соответствия нормативам. “Думаю, что через несколько лет рассматриваемое нами направление принесет немало усовершенствований в различных продуктах, — сказал Могул. — Некоторые продукты только что стартовали, и трудно представить их будущее. Но сегодня я не знаю наверняка, что происходит с моими данными, и потому хочу видеть всё, что может происходит в этом направлении в техническом плане”.
Резонно было бы понять ещё, как DLP соотносится с другими информационно-центрическими решениями. “У нас есть некоторые вещи, подобные шифрованию, DLP, мониторингу активности баз данных, но реально они не спроектированы для совместной работы, — заметил Могул. — Люди не должны тратить время на то, чтобы понять, как объединить эти модели, и я думаю, что это то направление, куда нужно направить усилия”.