Данный обзор PC Week посвящен современным аспектам практического использования систем предотвращения утечек данных (Data Loss Prevention, DLP) и основным направлениям их технологического развития.
Человек, по общему признанию специалистов по информационной безопасности (ИБ), является самым слабым звеном в системе обеспечения ИБ. Именно для предотвращения человеческих ошибок и сознательных нарушений ИБ-политик предназначены системы предотвращения утечек информации.
На российском рынке сегодня можно найти развитые DLP-системы, позволяющие контролировать практически все распространенные каналы корпоративного информационного обмена и даже обслуживать процесс расследования компьютерных преступлений (так называемую форензику). Однако стоят эти системы дорого, развертывать и эксплуатировать их сложно. Есть и менее дорогостоящие и сложные системы, их функционал специализирован только для контроля определенного набора каналов возможных утечек.
Следует отметить, что в нашей стране представлено сразу несколько отечественных DLP-продуктов; некоторые из них смогли выйти на мировой рынок и котируются в исследованиях международных аналитических компаний.
В то же время в практическом применении систем DLP до сих пор имеются принципиальные технические и юридические проблемы. Мало кто рискнет, например, сегодня поставить такую систему в разрыв потока данных и перевести ее в режим автоматического прерывания передачи. А это означает, что на самом деле DLP работают не как системы предотвращения утечек, а только как системы их обнаружения, решения же о блокировании канала утечки должен принимать специалист-аналитик.
Нет единого мнения и о легитимности использования систем DLP, поскольку они активно вторгаются в область приватности сотрудников компаний. Должностные инструкции, обязывающие персонал соглашаться на то, чтобы его действия на рабочих местах контролировались посредством DLP, случается, противоречат конституционным правам граждан России.
Свои требования к DLP-системам обуславливают масштабные изменения в ИКТ. Так, с развитием мобильного доступа понятие рабочего места сильно размывается и контроль за исполнением сотрудниками корпоративных ИБ-политик должен выходить за пределы офисного пространства.
Облачные технологии не оставляют компаниям возможности сохранять прежнее представление о локализации своих данных, и средства защиты от утечек тоже должны вслед за данными переходить в облака, распределяя свой функционал между облачным провайдером и владельцем данных.
Чтобы оставаться конкурентоспособной, современная компания должна уметь работать с большими данными, а значит, и эффективно защищать их, в том числе от утечек с помощью систем DLP.
В нашем тематическом обзоре мы обсудим наиболее острые проблемы практического применения DLP-систем и постараемся обозначить пути их разрешения.
Предотвращение или обнаружение?
Согласно наблюдениям ведущего инженера отдела информационной безопасности ГК «Компьюлинк» Сергея Барышева, всего несколько лет назад именно по наличию/отсутствию механизма блокировки каналов передачи данных можно было провести довольно четкую границу между DLP-решениями зарубежных вендоров (которые во главу угла ставили именно предотвращение утечек данных) и отечественных (больше фокусировавшихся на функционале мониторинга).
«В умы потребителей, — отмечает директор по решениям компании „Смарт Лайн Инк“ Сергей Вахонин, — активно вбивается ограниченный возможностями некоторых отечественных продуктов подход, решающий задачу предотвращения потери конфиденциальных данных опосредованным путем, т. е. через расследование связанных с утечками случаев и последующее наказание виновных, через развитие аналитического аппарата по уже свершившимся инцидентам. И совсем забавно наблюдать попытки „прислониться к рынку“ со стороны вендоров, решения которых опираются на обработку снимков компьютерных экранов. При этом за рубежом нормальной является практика прежде всего предотвращения утечек, исключения использования каналов передачи данных, которые не требуются сотрудникам для выполнения их бизнес-функций, и уже после этого исследования тех инцидентов, что случаются в условиях авторизованного использования потенциальных каналов утечки данных».
По мнению г-на Вахонина, через пару лет ответ на вопрос о том, что же такое DLP, будет однозначно трактоваться и на российском рынке, когда уровень зрелости наших потребителей достигнет зарубежного. «Видимо, не случайно нынешней осенью самый активный в маркетинге вендор вдруг заявляет о том, что в его решениях появляется возможность блокировки некоторых каналов, и это вдруг действительно важно, а другой вендор — апологет принципа „пусть сначала украдут, а потом мы найдем и накажем, поскольку успех внедрения DLP определяется количеством уволенных сотрудников“, без лишнего шума добавляет функции блокировки устройств и почтовых протоколов», — отметил он.
Вместе с тем, как считают наши эксперты, даже при наличии функционала блокировки заказчики систем DLP редко его использует из-за опасений ложных срабатываний, потому что это может принести больше вреда, чем пользы. Избежать этого, считают они, можно за счет правильной организации процессов внедрения и настройки системы.
Ключевым аспектом эффективного функционирования систем DLP и тонкой настройки политик их использования, по мнению руководителя направления DLP Центра информационной безопасности компании «Инфосистемы Джет» Виолетты Красовой, является комплекс мер по инвентаризации и классификации данных. Инвентаризация позволяет определить ключевые места расположения информационных активов, а классификация — выявить наиболее ценные сведения, которыми располагает компания, и сосредоточиться прежде всего на их защите.
После выделения образцов конфиденциальных документов и настройки правил работы систему можно переводить в режим мониторинга, чтобы понимать топологию движения информации внутри компании и за ее пределами и выявлять используемые каналы передачи того или иного вида информации. И только убедившись, что без блокирования система работает корректно, можно приступить к настраиванию функции блокировки.
Конечно же изначальное предназначение систем DLP — это именно предотвращение утечек данных, настаивает специалист по информационной безопасности департамента ИПО компании OCS Distibution Денис Дерюгин, несмотря на то что еще многие продолжают использовать их только для обнаружения утечек, последующего расследования причин и выявления виновных.
Если до недавнего времени можно было блокировать лишь малую часть каналов, отмечает г-жа Красова, то теперь реализацию возможности предотвращения утечек по всем контролируемым каналам можно считать одним из трендов развития DLP.
Обращая внимание на обязательность возможности блокирования передачи данных DLP-системой, менеджер по развитию DLP-направления компании InfoWatch Александр Клевцов утверждает, что современные DLP-системы «научились» предотвращать инциденты не в момент выхода информации за пределы контролируемого периметра, а еще на этапе планирования утечки злоумышленником, когда он проявляет признаки нестандартного поведения: «DLP-системы могут охватывать информационные потоки, генерируемые персоналом, и из множества событий выделять только те, которые содержат потенциальную угрозу».
Легитимность использования
Легитимность использования DLP-систем определяется как действующими законами, так и регуляторами отрасли ИБ. Однако однозначной практической трактовки и реализации такой легитимности заказчики, вендоры и интеграторы добиваются не всегда.
Тем не менее г-н Вахонин категорично заявляет, что никакой проблемы легитимного использования DLP никогда не существовало. На его взгляд, вместо этого существует проблема комплексного подхода к решению задач внедрения продуктов, обеспечивающих ИБ, когда зачастую игнорируется фаза проектирования, документирования и информирования сотрудников. Сами же DLP-системы являются всего лишь инструментом, и их легитимность напрямую зависит от того, как этот инструмент используется в каждом случае.
Прямым доказательством возможности легитимного использования инструментария предотвращения утечек данных и контроля переписки сотрудников (а именно потенциальная возможность чтения специалистами служб ИБ личной переписки сотрудников чаще всего и становится тут камнем преткновения), по мнению г-на Вахонина, является признание Европейским судом по правам человека права работодателя просматривать личные сообщения, отправленные и полученные сотрудниками в рабочее время, если в организации установлены соответствующие правила.
Задачу сбора, обработки и хранения только корпоративной части коммуникаций сотрудников, исключая данные, относящиеся к личным коммуникациям, он считает технически решаемой (при правильном подходе к использованию технологий контентной фильтрации) на фазе перехвата передаваемых, сохраняемых или печатаемых данных (как для того, чтобы система принимала решения о возможности дальнейшей передачи данных за пределы корпоративной сети, так и для создания теневых копий данных).
Поэтому-то, по мнению г-на Вахонина, при обработке данных исключительно важно эффективное применение контентного анализа для поиска корпоративных данных. Если в полной мере использовать возможности контентной фильтрации, можно детектировать только те данные, которые являются конфиденциальной корпоративной информацией, скажем, содержат интересующие службу ИБ признаки, теги, ключевые слова и выражения, и не затрагивать личные данные сотрудников.
Важной предпосылкой решения проблемы функционирования DLP-системы в рамках правового поля, считает г-жа Красова, является соблюдение в компании некоторых обязательных правил. Так, система DLP должна функционировать вместе с дополнительными ограничительными мерами, включающими в себя документирование процедур обращения с конфиденциальными сведениями (в идеале нужно формировать режим коммерческой тайны как единственный правовой механизм привлечения к ответственности за утечку/разглашение критичной информации), требования к допустимому использованию Интернета, электронной почты, систем обмена мгновенными сообщениями, внутрикорпоративных ресурсов компании и т. д.
Определив изначально, что нормативно-правовое поле вокруг DLP-систем строится на базе Конституции РФ, Трудового кодекса и гражданского законодательства, в частности
По мнению г-на Барышева, легитимное использование DLP не имеет однозначного решения уже потому, что сами производители DLP-систем предоставляют функционал, который помогает скрывать работу программных агентов системы на рабочих станциях пользователей. «У ИБ-специалистов это может сформировать обманчивое впечатление, будто контролируемые DLP-решением сотрудники никогда не узнают о том, что находятся под наблюдением. Но для применения санкций к „проштрафившемуся“ сотруднику результаты работы DLP-системы придется ему предъявить, и вполне возможно, что эти результаты (вместе с санкциями) можно будет опротестовать в суде, что, конечно, повлияет на лояльность остальных сотрудников», — говорит он.
Поэтому сегодня при внедрении DLP интеграторы и вендоры предоставляют услуги, состоящие в том, что в ИБ-политику компании включается юридически подкрепленная возможность использования системы, результаты работы которой будут приниматься судом во внимание. В нашей стране уже есть такие примеры из судебной практики.
Чтобы подвести итог в вопросе легитимности использования DLP в нашей стране, хотелось бы сослаться на мнение системного архитектора компании IBS Platformix Тимура Кабатаева, который полагает, что спорные ситуации будут возникать постоянно из-за противоречий и неточностей в российских законах, допускающих неоднозначное толкование ситуаций при использовании DLP-систем.
DLP и мобильность
В целом наши эксперты считают, что в контроле мобильного доступа к корпоративным данным и их использования DLP не является основным инструментом, хотя развитие функциональности таких систем в сторону мобильности рынку интересно. Так, DLP-системы могут эффективно контролировать мобильные устройства, подключаемые к рабочим станциям, за счет устанавливаемых на станциях агентов, а ряд DLP-вендоров предлагают специальные модули для контроля смартфонов, планшетов, ноутбуков.
Основную задачу в защите от утечек через мобильные устройства г-н Клевцов видит в умении грамотно разграничивать корпоративную и личную информацию на устройствах. В компаниях следует внедрять правила обращения с корпоративной информацией на мобильных средствах доступа. В отношении служебных мобильных средств это в большой степени закрывается функционалом иных, нежели DLP, представленных на рынке ИБ-решений, позволяющих контролировать корпоративную информацию на мобильных устройствах.
Если же в компании используются личные мобильные устройства для работы, DLP-система должна уметь разделять личные и корпоративные данные. Александр Клевцов указывает, что для этого существует несколько вариантов по контенту или по штатному расписанию (например, перемещение данных в рабочее время с
Вопрос контроля мобильных сотрудников, отмечает г-н Вахонин, должен увязываться с некоторыми важными аспектами: в каких условиях используется мобильный доступ к корпоративным данным, где они хранятся.
Если доступ к служебной информации нужен сотруднику, находящемуся в условиях ограниченного подключения к корпоративной сети (скажем, в самолете или в местности со слабыми каналами передачи данных), то следует решать задачу надежного хранения корпоративных данных на самих мобильных устройствах в сочетании с контролем периферийных устройств.
Если же сотрудник имеет полноценный удаленный доступ к корпоративным данным в реальном времени, то нет практического смысла допускать перемещение корпоративных данных на личное или мобильное устройство и затем бороться с возникающими вследствие этого рисками утечек. Более чем достаточно предоставить доступ через терминальную сессию, когда корпоративные данные независимо от физического размещения терминальных клиентов (в офисе, дома, в других местах) хранятся и обрабатываются строго на стороне корпоративной среды, а пользователю в терминальной сессии предоставляется только результат обработки.
При таком подходе следует решать задачу контроля переноса корпоративных данных на удаленные компьютеры и мобильные устройства из терминальных и виртуальных сред. DLP-система здесь должна обеспечить контроль потока данных между виртуальным рабочим столом или приложением и перенаправленными с удаленных рабочих компьютеров периферийными устройствами, включая съемные накопители, принтеры, USB-порты и буфер обмена данными, а также каналы сетевых коммуникаций, доступные пользователю на стороне терминального сервера. Кроме того, должны обеспечиваться централизованное журналирование действий пользователя, теневое копирование переданных им данных, тревожные оповещения в случае выявления инцидентов безопасности.
Если DLP-система может гарантировать, что передача пользователем данных ограниченного доступа находится строго внутри границ виртуальной среды (терминальной сессии) и данные, утечка которых недопустима, не попадают на личную часть персонального устройства (от тонкого клиента или домашнего компьютера до мобильного устройства любого типа), оставаясь при этом доступными для эффективного выполнения бизнес-задач, то контроль мобильного доступа к корпоративным данным можно признать успешно реализованным, полагает г-н Вахонин.
DLP и большие данные
Современные DLP-системы, по мнению наших экспертов, уже давно и вполне успешно используют технологии работы с большими данными. В первую очередь это относится к сегменту крупных структур, которым нужно, чтобы DLP-системы работали с большими объемами данных, и эти требования обозначились практически с самого зарождения DLP.
Что же касается технологий анализа больших данных, основанных на BI (Business Intelligence), то они, как отмечает г-н Клевцов, сейчас активно внедряются в DLP-системы, что позволяет за доли секунды проводить аналитику, строить корреляции и визуализировать большие объемы данных. Обрабатывая такие данные, DLP-система обозначает случившиеся инциденты, помогает анализировать подозрительные активности и выявлять потенциальные угрозы. «В перспективе аналитические модули DLP-систем на базе анализа большого количества генерируемых событий будут создавать некие паттерны — готовые решения (по политикам, периметру защиты, потенциальным угрозам, вердиктам по инцидентам и т. д.) для различных бизнес-вертикалей», — полагает г-н Клевцов.
За последние два года, отмечает г-жа Красова, очевидно обозначилось смещение фокуса от детектирования утечек к расследованию связанных с ними инцидентов. Современные системы DLP хранят большие объемы данных о трафике, и в случае расследования оказывается доступной информация обо всем пуле коммуникаций, включая и те, в которых политики безопасности не нарушались. Появилась возможность получать срезы данных по персонам, информационным объектам, строить маршруты движения информации, графы связей, выявлять аномалии в поведении сотрудников (скоринговый показатель «уровня доверия») и т. д., и всё это происходит в режиме реального времени благодаря механизмам быстрого поиска.
Для эффективной работы с большими данными, подчеркивает г-н Кабатаев, DLP-система должна быть масштабируемой, чтобы поддерживать рабочий ритм бизнес-процессов. Он утверждает, что любая промышленная DLP-система масштабируется горизонтально для решения подобных задач. В системах класса Big Data также есть возможности для горизонтального масштабирования и кластеризации, специальные файловые системы для практически неограниченного роста объема обрабатываемых данных, модель распределенной обработки данных и т. п.
Однако следует учитывать нынешние темпы роста объемов данных, прямо пропорционально которым растет время обработки, поиска и их блокировки по каналам утечки. В работе DLP-систем вследствие этого могут наблюдаться большие задержки, негативно сказывающиеся на бизнес-процессах. Возможно, в будущем при развитии технологии машинного обучения удастся оптимизировать в совокупности функциональность этих систем, их скорость и эффективность, полагает г-н Кабатаев.
Перспективы и сложности технологического развития и практического использования
Как отмечают наши эксперты, разработчики DLP-систем продолжают расширять охват возможных каналов утечек (начиная с наиболее опасных), работают над снижением количества ложных срабатываний, интеллектуальностью и простотой обслуживания, чтобы минимизировать время, необходимое для принятия решений, продолжают бороться с шифрованным трафиком современных мессенджеров, выпускают агенты, позволяющие контролировать массово используемые операционные системы...
Сложности на этом пути, считает г-жа Красова, заключаются в том, что необходимо не только отвечать запросам рынка, но и предвидеть их, нужно стараться не отставать от усложняющихся день ото дня угроз. Для повышения эффективности она призывает производителей систем DLP учитывать специфику деятельности компаний-заказчиков, а также особенности современных методов кражи информации.
Основное внимание разработчиков, по мнению г-на Кабатаева, направлено сегодня на защиту мобильных платформ, приложений и технологий передачи данных, формирующих новые каналы утечки. Однако чтобы обеспечить в DLP-системе необходимый функционал, протестировать решения и устранить ошибки, требуется значительное время. Поскольку мобильность все глубже проникает в ИТ-ландшафт, это будет основной сложностью технологического развития DLP. В то же время он напоминает о том, что DLP не панацея и предотвращение утечек обеспечивается в том числе непосредственно работой с людьми.
Ключевую перспективу развития DLP г-н Вахонин видит в переходе, как он формулирует, от сетецентричных (основанных на пассивном перехвате трафика) и хостовых (устанавливаемых на конечных точках) систем с возможностью блокировки каналов передачи информации к гибридным решениям, в которых при едином подходе к политике ИБ в отношении доступа к устройствам и сетевым каналам передачи информации единообразно реализуется защита корпоративных данных от утечек — как на стороне DLP-агента, так и на стороне DLP-сервера.
На фоне новых трендов в защите информации, по мнению г-на Барышева, интерес к DLP-решениям начинает снижаться. Нынешние системы нередко представляют собой многофункциональные «мультикомбайны», обещающие защиту «от всего», а на практике предоставляющие заказчикам избыточный, не полностью используемый ими функционал. Необходимо понимать, призывает эксперт, что перегруженное решение отнюдь не является лучшим выбором.
К важным векторам развития DLP наши эксперты относят возможность быстрого внедрения систем в инфраструктуру заказчика и их бесшовную интеграцию с другими корпоративными ИТ- и ИБ-решениями. DLP-системы учатся получать и передавать информацию из других систем, обрабатывать, анализировать и представлять ее в удобном виде для принятия общих решений.
Помимо этого DLP-системы должны быть готовы к конкуренции со стороны родственного по назначению функционала, который разработчики ИТ- и ИБ-решений, изначально не предназначенных для борьбы с утечками, дополнительно встраивают в свои продукты.
На развитии DLP-систем сказывается тенденция к унификации ИБ-продуктов и улучшению интеграции смежных классов систем защиты информации, что позволяет использовать более гибкие, усовершенствованные интегрированные механизмы защиты данных. Ведь заказчикам нужны ИБ-комплексы, использующие возможности интеграции разных ИТ- и ИБ-продуктов друг с другом.