Лаборатория eWeek Labs: Подход к предотвращению утраты данных не обязательно должен быть “тотальным”. Порой лучше начинать с чего-то простого.
Идея предотвращения утраты данных (data loss prevention, DLP) не нова, но приобретает все большую значимость для ИТ-подразделений по мере осознания ими угрозы для их операций в результате утечек через недовольных своим положением инсайдеров, с одной стороны, и вторжения враждебных аутсайдеров — с другой.
Однако в большинстве случаев организации, развернувшие системы DLP, в конце концов понимают, что утечки данных чаще всего носят случайный характер или происходят из-за плохо отлаженных процедур, а не по чьему-то злому умыслу, отмечает аналитик и генеральный директор компании Securosis Рич Могалл. В интервью корреспонденту eWeek он заявил, что при изучении причин утечек регулярно всплывает фактор “ой!”.
Кто-то передает медицинские данные в незашифрованном виде, нарушая закон о защите информации о состоянии здоровья пациентов (HIPAA), или помещает в незащищенную область файл, содержащий номера кредитных карт. Такого рода вещи, если их обнаружит аудитор, могут означать конец карьеры. А если они попадут в прессу, то сильно пострадает репутация компании.
Конечно, это не означает, будто организации, которым нет необходимости соблюдать HIPAA или закон Сарбейнса — Оксли, могут обойтись без DLP. Как пояснил Могалл, риск утраты данных не всегда очевиден. “Если данные похищены или с ними просто обращаются ненадлежащим образом, — сказал он, — у вас не будет даже простейших инструментов мониторинга, чтобы выявить проблему”.
Как организация может эффективно использовать систему DLP, если угроза утечки или утраты данных исходит чуть ли не отовсюду? Прежде чем перейти к частностям, обратимся к концептуальным вопросам.
Для начала можно рассматривать данные как находящиеся сразу в одном или более состояниях: в движении, в покое, в использовании. Но здесь вас подстерегает опасность сосредоточить все внимание лишь на одном из этих состояний. Между тем методы, которые прекрасно работают, скажем, применительно к сети (данные в движении), могут оказаться малопригодными или вовсе бесполезными против попыток получить доступ к данным, находящимся в процессе использования в конечной точке.
Надежная стратегия DLP соотносит все три состояния с потребностями организации — операционными, культурными или связанными с выполнением требований регуляторов. Трудность как для ИТ-менеджеров, так и для специалистов по безопасности заключается в том, что никакой отдельный продукт не может решить проблему применительно ко всем трем категориям.
Если вы хотите рассмотреть технологию DLP с другой точки зрения, можно взглянуть на нее с позиции вектора угроз. При этом тремя столпами будут электронная почта, Интернет и конечная точка. Способы защиты первых двух сравнительно хорошо известны и легко реализуются. Третий случай несколько сложнее. Съемные носители информации можно блокировать или экранировать. Но широкое распространение телефонов с видеокамерами позволяет их владельцам считывать данные с экрана, хотя это неудобно и слишком заметно.
Первым шагом в реализации стратегии DLP является идентификация данных. Хотя определить природу защищаемых данных в целом (финансовые документы, информация о клиентах или планы выпуска продукции), может быть, и нетрудно, однако не всегда легко присвоить конкретному документу определенный уровень риска. По словам Могалла, необходимо понимать, чтó защищать.
Контекст + контент
Вероятно, лучше всего рассматривать контекст и контент данных как две стороны одной медали. Контекст может принимать форму метаданных файла, заголовка сообщения электронной почты или использующего данные приложения. При более сложных формах анализа контекста в процессе DLP могут использоваться форматы файлов или сетевые протоколы, а также сетевая информация, полученная от DHCP-сервера и службы каталогов для идентификации потребителя данных. Эту информацию можно расширить, приняв во внимание специфические веб-сервисы или адресаты при передаче по сети. Можно также идентифицировать конкретные устройства хранения, например, подключаемые к порту USB.
Что такое контент, понятно из самого слова. Зная контент данных, часто можно заключить, какие средства следует использовать для их защиты. Анализ контента может представлять трудность, поскольку начинать следует с контекста, после чего переходить к изучению контента.
Для этого можно применить подход на основе правил с использованием регулярных выражений, сопоставления файлов и особенностей баз данных или статистический анализ. Подобное “знание контента”, утверждает Могалл, отличает подлинную DLP-систему.
На последующих этапах реализации системы DLP могут встретиться трудности. Например, решение проблемы DLP применительно к электронной почте кажется сравнительно простым в силу природы этого вида коммуникаций. Многие продукты, предназначенные для защиты электронной почты от других угроз, выполняют и некоторые функции DLP. Могалл называет это “облегченным вариантом DLP”. Если установить специализированную систему с собственной программой-агентом для контроля за передачей сообщений, которая обеспечит DLP, пользователи едва ли ее заметят. Недостатки? Такая система может хорошо работать с внешним трафиком, но при этом внутренний трафик останется незащищенным.
Если заглянуть внутрь трафика
Сходную ситуацию можно наблюдать при использовании сетевых DLP-продуктов, которые при изучении трафика, зашифрованного по протоколу SSL (Secure Sockets Layer), зачастую работают с имеющимися у интернет-шлюза функциями инвертированного прокси-сервера. В отчете компании Palo Alto Networks говорится, что 20,7% полосы пропускания, как сообщили опрошенные в США организации, занимал трафик по протоколу SSL через порт 443 и другие порты.
Тот же анализ трафика показал, что 15% обследованных сетей мира используют один или несколько многослойных маршрутизаторов Tor. Максимум, что может сделать DLP-решение применительно к такому трафику, это пометить его или полностью заблокировать без идентификации содержания.
В области хранения, по наблюдениям Могалла, “облегченные” системы DLP используются реже. Здесь отчасти благодаря применению баз данных и систем управления документами достигнута более высокая степень интеграции. В силу природы этих систем мониторинг DLP в реальном времени часто ограничивается приемами, напоминающими фильтрацию (по категориям, моделям и правилам), поскольку более глубокий анализ может стать препятствием для достижения оптимальной производительности систем.
Что бы вы ни включили в свою стратегию DLP, важно, чтобы она имела четкий интерфейс пользователя и мощные средства подготовки отчетов. Могалл отметил, что создатели инструментов DLP порой слишком увлекаются технической стороной и забывают, что пользователям, которые не обязательно работают в области ИТ, нужны простые и эффективные способы решения потенциальных проблем.
Нечасто затрагивается такая сфера применения DLP, как меры в случае утечки данных. Порой эти меры напоминают охоту на ведьм, которая может нанести больше вреда, чем сама утрата данных, поскольку она отражается на моральном состоянии сотрудников, клиентов и партнеров. Поэтому важно помнить о предостережении Могалла. Или, перефразируя известное выражение, не следует предполагать злой умысел там, где имеет место простая беспечность.
Использующих DLP, считает Могалл, должна обнадеживать растущая зрелость рынка, хотя технология продолжает развиваться быстрее, чем осваиваться. Наверное, главная трудность для ИТ-менеджеров и специалистов по безопасности состоит в том, чтобы найти средства на приобретение инструментов, удовлетворяющих потребности их организации. Причём независимо от того, рассматривать ли такие потребности с точки зрения угрозы или с точки зрения навыков персонала компании.
Разумеется, эту проблему практически никогда не удается решить. Во всяком случае до тех пор, пока не станет слишком поздно.