Как утверждает президент ГК «InfoWatch» Наталья Касперская, наша страна входит в число лидеров по количеству представленных на мировом рынке поставщиков DLP-систем. Логично предположить, что российские пользователи являются для DLP-вендоров важной средой, в которой формируются наиболее актуальные запросы на потребительские свойства современных систем DLP и проводятся первые испытания нововведений в этих решениях. Это позволяет надеяться, что высказанные в нашем обзоре мнения экспертов отражают реальные требования, предъявляемые корпоративными заказчиками (не только российскими) к современным DLP-системам, и отвечают на вопрос, насколько рыночные предложения удовлетворяют этим требованиям.
Независимо от того, какие сегменты DLP-рынка представляют приглашенные нами эксперты — являются ли они разработчиками DLP-технологий, интеграторами, внедряющими решения, независимыми экспертами или сотрудниками компаний-заказчиков, — мы предложили им посмотреть на российский рынок DLP именно c пользовательских позиций.
Что представляет собой идеальная для пользователя DLP-система?
DLP-систем, идеально подходящих сразу для всех потребителей, как считают наши эксперты, не бывает, поскольку DLP — инструмент, предназначенный решать конкретные задачи, которые у каждого предприятия свои и зависят от рода бизнеса, от того, насколько жёстко должна быть защищена информация, от зрелости компании в целом и в области ИБ в частности.
«Кто-то внедряет DLP-технологии для поиска и категоризации конфиденциальных данных, кто-то с помощью DLP пытается противодействовать распространению определенного вида данных вовне и внутри организации, для кого-то это инструмент сбора статистики по перемещению важной корпоративной информации», — считает руководитель направления инфраструктурных решений ИБ компании «Астерос» Кирилл Уголев.
Важным свойством DLP-систем является кастомизация их промышленных вариантов этих ИТ-продуктов, чему способствует, как подчеркивает Кирилл Уголев, модульность и гибкость этих продуктов, позволяющая из «кубиков» предлагаемого функционального набора без особых проблем «собрать» тот инструмент, который решает актуальные для конкретного заказчика задачи.
Ведущий эксперт по информационной безопасности ГК «InfoWatch» Мария Воронова указывает на то, что DLP-система должна соответствовать модели угроз конкретной организации, для формирования которой нужно определить категории нарушителей и возможные каналы утечки данных. Так, для компании, поддерживающей концепцию BYOD («принеси на работу свое собственное устройство») и позволяющей сотрудникам пользоваться корпоративными ИКТ-ресурсами с личных мобильных аппаратов, важно обеспечить мониторинг и контроль именно этого канала связи.
Если же компания нацелена на предотвращение утечек критичной информации (например, содержащей коммерческую тайну) и достигла того уровня, при котором можно достоверно выделить этот тип данных, важно, чтобы DLP-система обеспечивала блокировку нелегитимной обработки такой информации.
Для выбора оптимального продукта руководитель аналитического центра компании Zecurion Владимир Ульянов рекомендует, прежде чем принимать решение о закупке и внедрении DLP-системы, не только изучить её характеристики на бумаге, но и опробовать в рамках пилотного проекта, причём лучше протестировать не один, а несколько конкурирующих продуктов. Это поможет сделать взвешенный выбор, упростит эксплуатацию, снизит риски разочарования от несоответствия заявленных характеристик реальным.
Важнейшим качеством идеальной DLP-системы, полагает директор по решениям компании «Смарт Лайн Инк» Сергей Вахонин, является полнота контроля вероятных каналов утечек данных, а для этого необходимо иметь техническую возможность предотвращения утечек и регистрации событий, связанных с доступом пользователей к каналам передачи данных. Он подчеркивает именно техническую сторону в противовес концепции, построенной на неотвратимости наказания за злой умысел или непреднамеренную утечку.
Сергею Вахонину оппонирует менеджер по развитию систем противодействия мошенничеству компании Softline Владимир Копасов. «Если учитывать удобство эксплуатации, то здесь в первую очередь нужно сказать об отсутствии задержек при срабатывании политик. Однако это вопрос организационно-распорядительных мер эксплуатантов DLP-системы, наличия ресурсов на её обслуживание и проведение расследований, а также того, как выстроены процессы администрирования и отработки инцидентов, что напрямую влияет на скорость их обработки», — говорит он.
Архитектор по информационной безопасности компании «Информзащита» Сергей Беспалов обращает внимание на то, что современные российские разработки ушли далеко от первоначального представления о DLP-системах. К контролю трафика добавилась возможность создания архива перехваченной информации, что позволяет проводить ретроспективный анализ и формировать картину инцидентов, выявлять причастных к ним лиц. Появилась возможность контролировать действия пользователей на рабочих станциях при работе с ценной информацией, анализировать информационные потоки для выявления инцидентов, которые могут негативно влиять на бизнес. Анализу подвергаются не только информационные потоки, но и связи между сотрудниками, что позволяет предугадывать угрозы на раннем этапе и выявлять тех, кто причастен к инцидентам.
В результате DLP-системы постепенно превращаются в комбайны по обработке и анализу всей информации для выявления аномалий, а полученные данные становятся основой для оперативного принятия решений.
Обобщенное представление о характеристиках идеальной DLP-системы Сергей Беспалов, опираясь на опыт внедрения на предприятиях из различных отраслей экономики, формулирует так: «Идеальная DLP-система контролирует все актуальные для заказчика каналы передачи информации; интегрируется в существующую инфраструктуру без влияния на бизнес-процессы; стабильна в работе; проста в обслуживании; а главное — безошибочно определяет и блокирует [неразрешенные] попытки передачи информации ограниченного доступа за пределы корпоративной сети. Однако наиболее важное качество DLP-системы — это снижение финансовых, репутационных и технологических рисков заказчика, которые могут возникнуть в результате утечки данных».
Дефицит потребительских свойств — в чем он?
Сегодняшние DLP-системы обладают богатым функционалом. Однако бизнес не до конца понимает, какие задачи и как можно решать, анализируя информацию, которую они собирают. Для бизнес-подразделений эти решения все еще сложны в применении, и в основном их используют только ИБ-специалисты.
Системный инженер компании Fortinet Юрий Захаров отмечает, что сложность DLP-систем можно «скрыть» за хорошо проработанным, интуитивно понятным пользовательским интерфейсом, каковой, однако, есть не у всех представленных на рынке решений.
У DLP, отмечает Сергей Беспалов, есть проблемы совместимости с другим корпоративным ПО. Кроме того, эти системы, являясь средством ИБ, сами, по его мнению, защищены слабо (что в том числе относится и к архивам собираемой ими информации).
Сергей Вахонин обращает внимание на то, что на российский рынок DLP-решений «пропихиваются», как он выразился, даже те продукты, которые вообще не реализуют функцию технического предотвращения утечки (например, использующие ведение почтовых архивов или запись экранов рабочих станций).
Как отрицательное явление г-н Вахонин рассматривает активное развитие потребительских свойств DLP, вспомогательных функций, а не функций обеспечения безопасности в плане предотвращения утечек, что стало, на его взгляд, спецификой большинства российских решений. Он считает, что главным показателем полнофункциональной DLP-системы должно быть качество решения ключевой для DLP задачи — предотвращения утечки данных. Это означает, что DLP-система должна в первую очередь нейтрализовать наиболее опасные утечки — те, которые исходят от обычных инсайдеров.
Владимир Копасов солидарен с Сергеем Вахониным в том, что DLP-системы обрастают избыточной функциональностью и второстепенные функции выдаются порой за критически важные для заказчика (например, проще запретить использование мессенджеров типа WhatsApp, чем контролировать их через DLP).
Перегруз и неоптимальность некоторых DLP-систем, отмечает Юрий Захаров, приводят к тому, что агенты, установленные на конечных станциях, повышают нагрузку на их аппаратные ресурсы или конфликтуют с другим ПО. В результате скорость работы клиентских машин падает, что вызывает недовольство пользователей и влияет на продуктивность работы.
«На мой взгляд, завершив этап „перехватим всё“, производители DLP перейдут к стадии глубокого анализа, т. е. корреляции событий. Это будет смысловой анализ действий контролируемых сотрудников, выявление и категоризация информационных потоков», — полагает Владимир Копасов.
Главные каналы утечек сегодня
Хотя потенциальную угрозу утечек информации представляет всё, что на программном или физическом уровне может быть подключено к компьютеру или серверу, пользователь которого имеет доступ к конфиденциальной информации, аналитические исследования все же позволяют выявлять наиболее часто задействованные и второстепенные каналы утечек, полагает Кирилл Уголев.
Общую тенденцию отмечает Мария Воронова. Согласно данным аналитического центра InfoWatch, в 2016 г. выросло количество утечек информации через сетевые каналы. Причина — в увеличении объемов обрабатываемых данных, которое догоняет скорость развития технологий передачи информации, а также в увеличении числа онлайн-сервисов, взаимодействующих с пользователями и агрегирующих данные. Для бизнес-коммуникаций сегодня характерно использование облачных хранилищ, файлообменных сервисов, социальных сетей.
Согласно данным Zecurion Analytics, собранным из открытых источников, наиболее популярным каналом утечек сегодня стали веб-сервисы. В среднем с ними связано около четверти всех публичных инцидентов. Исследования, проведенные фирмой Zecurion среди российских компаний, эксплуатирующих DLP-системы, показывают, что больше всего нарушений в нашей стране связано с электронной почтой и использованием USB-накопителей.
«Перспективные» каналы утечек
Как считает Сергей Беспалов, список наиболее вероятных каналов утечки информации не меняется из года в год. Он увязывает это с тем, что в накапливаемой аналитиками статистике учитываются непреднамеренные утечки, которые происходят по наиболее часто используемым каналам передачи данных, — доля таких инцидентов может достигать половины.
Тем не менее мы попросили наших экспертов учесть и «перспективные» каналы, которые сегодня могут выглядеть, по выражению Сергея Беспалова, как экзотические, — они более характерны для преднамеренных действий злоумышленников. Доля утечек через эти каналы в общем объеме мала, зато именно они зачастую используются в целенаправленных атаках и причиняют самый большой урон.
Сергей Беспалов полагает, что проще запретить использование «экзотических» каналов либо контролировать их другими средствами защиты, нежели подбирать DLP-систему, в которой есть функционал предотвращения утечек по ним. В качестве важных направлений развития функционала российских DLP-систем он видит контроль мобильных устройств, мессенджеров, виртуальной инфраструктуры.
Актуальной задачей, вызванной активным проникновением облачных технологий в корпоративную среду, Владимир Ульянов считает контроль информации в облачных хранилищах. Он полагает, что решение этой задачи будет также способствовать ускорению развития самих облачных сервисов: до тех пор, пока провайдеры облачных технологий не реализуют в своих продуктах адекватные технологии защиты информации и не подтвердят свою ответственность за возможную утечку, корпоративные клиенты будут осторожны в использовании их предложений.
Активнее всего, по мнению Сергея Вахонина, развиваются «ширпотребовские» каналы, нацеленные на создание удобства пользователей и никак не взаимодействующие с корпоративными инструментами ИБ. Но вопрос в том, нужны ли эти «современные каналы» пользователям для выполнения бизнес-задач.
Наиболее эффективным способом предотвращения утечек является контроль потоков данных именно на используемых сотрудниками оконечных устройствах в любых сценариях их применения — как внутри, так и за пределами корпоративной сети. И если какой-то канал передачи данных невозможно контролировать гибко и избирательно и при этом он не имеет значимости для исполнения бизнес-функций сотрудником, значит, его нужно, полагает Сергей Вахонин, закрыть.
Кирилл Уголев отмечает актуализацию спроса на DLP-системы, способные эффективно бороться с утечками через мобильные устройства. По его мнению, сегодня таковых практически нет. Для снижения рисков утечек через мобильные каналы некоторые компании дополнительно к DLP применяют решения класса Mobile Device Management, с помощью которых они, по сути, управляют мобильными устройствами сотрудников и частично контролируют их действия. Однако, как он считает, это всего лишь один из элементов комплекса защиты от утечек, причем с весьма ограниченным функционалом. Кроме того, поскольку пользователь отдает под управление личное устройство (которое может содержать личную информацию), актуализируются этический и правовой вопросы.
Абстрактно ранжировать каналы по важности, как полагает Владимир Копасов, не совсем корректно — всё зависит от конкретной организации: какие важные данные у нее существуют, где они хранятся и как обрабатываются. Так, модели AutoCad нельзя «слить» голосом, а базу объёмом в миллиарды записей не передать по электронной почте. Оптимальный для пользователя подход — определиться с типами защищаемой информации, описать актуальные для них риски и уже потом, с целью минимизации конкретных рисков, выбрать подходящий функционал.
Юрий Захаров согласен с коллегами, что сегодня информационные ресурсы необходимо защищать комплексными методами, которые во многом зависят от рода деятельности компании, от типа и объема защищаемых данных. Сложно, например, представить, чтобы злоумышленник стал фотографировать реестр акционеров, состоящий из тысяч страниц, на камеру мобильного телефона. Намного более вероятным представляется случай, когда сотрудник без злого умысла принесет из дома Wi-Fi-устройство и для своего удобства развернет на рабочем месте сеть беспроводного доступа, не уделив должного внимания технологиям аутентификации и шифрования.
Ставшие актуальными в последнее время мессенджеры и мобильные приложения, которые максимально скрывают взаимодействие с серверами в Интернете и пользуются двусторонней аутентификацией для предотвращения расшифровки трафика, также заслуживают внимания при разработке мер противодействия утечкам конфиденциальной информации. Работу таких приложений довольно сложно выявить стандартными средствами и еще сложнее контролировать.
Вопрос о том, какие каналы утечки станут актуальными в ближайшее время, Мария Воронова рассматривает не в контексте увеличения числа контролируемых каналов, а с позиции развития бизнес-процессов, которые в современных организациях протекают в различных рабочих средах, на различных устройствах и приложениях. Она обращает внимание, что DLP-система становится полноценным звеном корпоративной сети наряду с бизнес-приложениями и другими ИТ-решениями. Поэтому эффективность борьбы с утечками данных и внутренними угрозами зависит от способности DLP-системы интегрироваться с корпоративной ИТ-средой и защищать информационные потоки, создаваемые бизнес-приложениями.
Современные пути повышения эффективности DLP
Заказчикам, как подчеркивает Мария Воронова, нужно учитывать, что DLP-система — не коробочное решение и максимальную эффективность показывает только при условии, что на предприятии определены категории критичной корпоративной информации, оцениваются риски утечки данных, ведется донастройка системы, своевременно расследуются инциденты.
Соглашаясь с тем, что развернуть DLP-систему «из коробки» невозможно, Владимир Копасов считает, что повышение ее эффективности в первую очередь связано с организационными мерами. Прежде чем систему внедрять, говорит он, необходимо провести аудит информационных систем, понять пути распространения информации внутри компании, выявить ее владельцев и места хранения, разработать архитектуру продукта, ввести регламенты обращения с информацией разного уровня ценности. После такого аудита заказчик начинает понимать, в каких информационных системах эти данные хранятся, где они могут находиться в тот или иной момент, кто их владелец, какие сотрудники к ним допущены. И далее остается грамотно настроить DLP-решение в соответствии со спецификой работы предприятия. Владимир Копасов обращает внимание на то, что не стоит полагаться на предлагаемые большинством DLP-вендоров типовые политики, поскольку они слишком универсальны и не могут применяться как есть.
Одна из актуальных задач увеличения эффективности DLP, как считает Владимир Ульянов, — повышение точности классификации информации. Это упрощает и улучшает использование систем, в том числе в активном режиме (т. е. в режиме блокировки утечек). Сейчас DLP-системы в этом режиме использует менее половины компаний-заказчиков, опасаясь нарушения бизнес-процессов. В результате многие утечки не пресекаются, а расследуются постфактум, и компании всё равно несут потери. Повышение точности классификации данных существенно облегчает работу ИБ-подразделений благодаря сокращению ресурсов, необходимых на эксплуатацию системы.
В случае с DLP-системами, утверждает Сергей Вахонин, суть полноценного (эффективного) контроля — инспекция, детектирование, анализ на соответствие политикам, а конечный результат — принятие решения. Решение может состоять в том, чтобы запретить или, наоборот, разрешить определенным группам пользователей обращаться с определенными каналами перемещения информации в реальном времени, в том числе в зависимости от контента, регистрировать попытки использования и факты передачи данных и т. д. У службы ИБ должен быть инструментарий для задания параметров принятия такого решения и его выполнения. Тогда и только тогда, считает он, можно говорить о том, что установлен полноценный контроль каналов передачи данных.
Чтобы понимать возможные пути повышения эффективности, как считает Сергей Вахонин, необходимо прежде всего понять вектор угроз, связанных с утечками данных. Особенность современного этапа развития ИТ, по его мнению, состоит в том, что «центром» хранения и обработки информации, корневым узлом ее распространения становится пользователь.
Сергей Вахонин связывает это с тем, что пользователи работают на конечных устройствах — корпоративных рабочих станциях, ноутбуках, тонких клиентах, домашних компьютерах, наконец, BYOD-устройствах — и вся эта техника позволяет полноценно создавать, обрабатывать, хранить и передавать корпоративные данные. Доступ пользователя к ресурсам и значимость его поведения в корпоративных ИТ-процессах неизмеримо возрастает день от о дня. Из этого он делает вывод, что ключ к повышению эффективности DLP — во всеобъемлющем контроле конечных устройств и нейтрализации наиболее опасных векторов угроз утечки информации, а именно тех, которые исходят от инсайдеров.
Основные точки роста эффективности DLP Кирилл Уголев увязывает с развитием их функциональных возможностей, в том числе с более глубоким анализом процессов передачи и модификации данных. Он видит значительный потенциал роста в развитии лингвистического модуля DLP-систем. «Важно не просто отслеживать отдельные слова или фразы, а „вылавливать“ конфиденциальную информацию в определённом контексте. Классическое определение конфиденциального документа по уровню соответствия эталону должно смениться более интеллектуальными инструментами, которые способны выявлять с высокой детализацией факт копирования или передачи незначительной по объему, но критически важной информации», — говорит он.
Другое направление роста эффективности DLP-систем Кирилл Уголев видит в развитии методов борьбы с попытками сокрытия или маскирования передаваемой информации. Перспективными здесь могут стать технологии установки меток собственника, которые позволили бы определять владельца, а также конечного и промежуточного пользователей передаваемой информации.
От DLP-систем завтрашнего дня, полагает Мария Воронова, потребуется защита больших потоков данных, которые генерируются и хранятся на различных устройствах и в разных рабочих средах. Эффективность защиты информации от утечек, по ее мнению, будет зависеть от способности DLP-систем интегрироваться с другими бизнес-приложениями и продуктами ИБ-класса: CRM, ERP, SIEM, IDS/IPS, СЭД и др. Так, согласно данным исследовательской компании Gartner, к 2020 г. 85% организаций будут использовать интегрированные DLP-системы, а к
Завершить обсуждение вопроса повышения эффективности систем DLP хотелось бы словами Владимира Копасова: «Не думаю, что цель заказчика должна формулироваться как „повышение эффективности DLP“. Цель (бизнес-цель!) можно сформулировать так — снизить риск утечек важной информации. DLP выступает лишь подручным инструментом для повышения общего уровня информационной безопасности. Объективные же проблемы с эффективностью DLP могут возникать при необходимости контролировать новые каналы. В этом случае либо докупается соответствующий модуль, либо приобретается более подходящая для конкретных процессов новая система»
DLP как сервис: спрос и предложение
Следует отметить, что по мнению наших экспертов DLP-решения в массе своей относятся к разряду систем, которые затруднительно внедрять и эксплуатировать самостоятельно: с самого начала проекта внедрения они требуют плотного сотрудничества с квалифицированными внешними консультантами. «В результате, — отмечает Владимир Ульянов, — многие DLP-системы и сейчас поставляются практически как сервис: стоимость лицензий в проектах их развертывания гораздо ниже, чем стоимость сопутствующих услуг». Ситуацию он считает характерной для вендоров, предпочитающих партнёрские продажи прямым, что выгодно и вендорам, и партнёрам, но не потребителю.
Несмотря на преимущества сервисной модели в ИБ (оперативный доступ к технологиям защиты без необходимости развертывать решения на своей инфраструктуре и нанимать необходимых специалистов) и наличие соответствующих предложений на рынке, российские корпоративные пользователи относятся к ней скептически. По их мнению, риски у модели все еще слишком высоки и не сформирован достаточный уровень доверия к провайдерам ИБ-сервисов.
Модель «DLP как сервис», считают наши эксперты, больше подходит для малого и среднего бизнеса. «Но могут ли малые и средние предприятия позволить себе сегодня такой сервис? Каков у них уровень зрелости процессов информационной безопасности? — задает риторические вопросы Мария Воронова. — Зачастую ответы на эти вопросы как раз и сдерживают развитие сервисной модели DLP в стране».
Что же касается крупных российских структур, то они тяготеют к развертыванию систем DLP на собственной инфраструктуре (онпремис), к поддержке архивов событий, позволяющих им применять ретроспективные методы анализа для расследования инцидентов, и стараются не выносить эти процессы наружу.