Нельзя просто взять и поставить DLP, чтобы полноценно защитить бизнес. Даже самая многофункциональная система не оправдает ожиданий, если поставить перед ней неадекватные задачи и не обеспечить «рабочими руками». Звучит логично?
Заковырка в том, что «по паспорту» DLP — автоматизированное средство защиты от утечек. В теории системы должны работать автономно, но степень автономии во многом зависит от принципа их работы. Есть DLP, которые сами блокируют утечки, в других автоматика только анализирует действия пользователей с данными и указывает на нарушения — действовать остается человеку. Третьи комбинируют оба подхода. На любой вкус и цвет — другое дело, как добиться от них реальной эффективности.
Мы разобрали плюсы и минусы каждого типа и решили порассуждать, что нужно сделать, чтобы все-таки не разочароваться в своей DLP.
«Ты не пройдешь»
Первыми появились DLP-«блокировщики». Предполагается, что в них достаточно один раз задать настройки, дальше ПО само будет или разрешать, или запрещать отправку сообщений, копирование файлов — любое перемещение информации.
Настройки существуют двух видов. «Все, что не запрещено, разрешено» — тогда нужно задать четкий перечень однозначно запрещенных документов и действий, на все остальные система реагировать не будет. И наоборот — «все, что не разрешено, запрещено» — когда прописывается небольшой список разрешенных действий, а все остальное признается нарушением. В любом случае придется проанализировать все бизнес-процессы в компании, провести полный аудит данных, разметить «открытые» и «закрытые».
Звучит хорошо: большая предварительная работа на старте, а дальше — полная автоматизация. Программа сама останавливает утечки, не дает сотрудникам нарушить правила безопасности. Но на практике не все процессы в компании четко делятся на «можно/нельзя», да еще постоянно меняются. Это явление непредсказуемое, так что об идеальных настройках на все случаи жизни придется забыть.
Вроде бы выручает технология вероятностных блокировок, когда ПО считает инцидентом все, что хоть немного на него похоже — например, когда пересылают не всю клиентскую базу, а выдержку из нее. Однако в реальной жизни найдется много ситуаций, когда сотрудникам действительно понадобится отправить такой документ — с каждым из них придется разбираться вручную. В противном случае СБ утонет в жалобах пользователей, которым блокировки мешают работать.
Второй негативный момент в том, что активное вмешательство системы в работу сотрудников компрометирует способы контроля. В некоторых DLP можно настроить предупреждения для пользователей: «Вы собираетесь отправить внутренний документ. Это нарушает правила безопасности». В других системах оповещений нет, но пользователи все равно могут увидеть закономерность: некоторые письма не уходят, часть файлов не копируется на флешки — и впредь будут настороже.
Оба подхода хороши против случайных утечек, когда сотрудники ошибаются адресом или пытаются вынести закрытую информацию по незнанию. Но настоящим злоумышленникам это дает возможность учиться: избегать контролируемых каналов, изобретать новые способы обойти правила и все-таки слить информацию.
В итоге вместо автоматизированной защиты компания получает систему, которая способна «поймать» только малый процент от всех инцидентов — случайные утечки или нарушения, «состав» которых полностью подпадает под правила блокировки. Предотвратить более сложные нарушения или обнаружить реальных инсайдеров такие DLP не в силах. Поэтому принцип активных блокировок считается устаревшим — хотя на классических «режимных» объектах, где и так бескомпромиссные правила безопасности, сработает на ура.
Всевидящее око
Если бизнес не готов расплачиваться продуктивностью за безопасность, DLP используют в режиме мониторинга. Так софт обнаруживает нарушения правил безопасности, но не блокирует их сразу: как реагировать на инцидент, остается на откуп сотрудников службы безопасности.
Этот подход позволяет не только точечно устранять угрозы, но и анализировать их контекст — как и почему происходят инциденты. Ведь инсайдер не просто крадет информацию, но и планирует ее использовать. А значит, будет готовиться к сливу: попытается получить доступ к данным, выдаст себя поисковыми запросами, перепиской с теми, кто в этих данных заинтересован — например, с конкурентами. Каждое его действие в этой цепочке может стать сигналом для DLP, но, если на каком-то этапе их блокировать, схема нарушается и пропадает массив «вводных» для аналитики. Чем более полные данные получает система, тем выше вероятность детектировать нарушение еще на этапе его подготовки. Это ближе всего к понятию «предотвращение».
Типичные «сценарии» инцидентов прописаны в готовых политиках безопасности, с которыми вендор поставляет программу заказчику. Если политики нарушаются, DLP выдает алерт — сигнал-оповещение. Это автоматизирует процесс поиска нарушений, но только отчасти. Софт реагирует на отдельные действия сотрудников, которые сами по себе могут и не быть нарушением. Указать на готовящееся нарушение может совокупность данных об активности. Складывать эти два и два машина не умеет, без человека не обойтись.
Когда работа с DLP в качестве дополнительной нагрузки ложится на непрофильных специалистов — скажем, ИТ-департамент — им может не хватить компетенций, времени или желания, чтобы распознать настоящий инцидент. Результат от системы защиты будет нулевой, бизнес пострадает. То же произойдет, если доверить систему службе безопасности, которая привыкла работать «по старинке» — например, заниматься контролем СКУД и систем видеонаблюдения, физической охраной.
Так что пользоваться современными «умными» системами вполсилы, надеясь на настройки по умолчанию, — все равно что забивать гвозди микроскопом. А чтобы выжать из них максимум, нужно «прокачаться». Если профи в штате нет, придется или мириться с брешью в безопасности, или вкладываться в переобучение сотрудников. Ну, или обращаться за помощью. Например, доверить работу с системой аутсорсерам — в рамках разового аудита или регулярного мониторинга.
Все в одном
Идеальный вариант — когда бизнес использует DLP, сочетая оба подхода. На практике это выглядит так: блокировками отграничивают особенно критичные процессы, для остального используют наблюдение.
В этом случае блокировки решают административную задачу: регулируют бизнес-процессы и отсекают лишние риски. Каналы, которые не нужны сотрудникам по работе (например, облака и соцсети в бухгалтерии), просто перекрывают — через них точно ничего не сольют. При этом все необходимое работает, и в рамках разрешенных процессов система продолжает отслеживать активность пользователей по политикам безопасности.
Это позволяет направить аналитические возможности DLP на поиск более сложных, в том числе принципиально иных нарушений — даже тех, которые напрямую не связаны c попытками сливов. Например, можно раскрыть корпоративное мошенничество: саботаж, откаты, боковые схемы, даже майнинг на рабочем оборудовании.
Такие инциденты происходят в рамках легитимных с виду процессов — вот менеджер снабжения работает с поставщиком, вот приносит коммерческое предложение, вот оформляет тендер. А в это же время DLP обнаруживает у снабженца два письма с КП, и в первом цены на 30% ниже, чем в итоговом — а еще чат в мессенджере, где поставщик инструктирует, как забрать «благодарность». При этом собранные в DLP доказательства можно использовать в суде, бизнес имеет реальный шанс возместить убытки.
В итоге DLP из узкого ИБ-решения превращается в инструмент риск-менеджмента. Система облегчает работу службе безопасности в широком смысле слова, держит под контролем и данные, и человеческий фактор. Но детальные расследования и глубокий анализ возможны только когда системой занимаются вплотную. Если делать это «вполглаза», софт поймает одного нарушителя там, где мог бы отловить пять. Так что в идеале выделить сотрудника, который будет работать с DLP 100% своего времени.
Но тут проблема: половина ИБ-специалистов в российских компаниях жалуются, что в их подразделениях не хватает «рук». Найти специалиста непросто (только 2% опрошенных считают, что на рынке нет недостатка кадров), к тому же не у всякой компании есть ресурсы наращивать штат. Компромиссный вариант — привлекать экспертов со стороны.
В сухом остатке (или, по традиции, орлы решают)
У каждого подхода свои преимущества. Если в приоритете быстрое реагирование на инциденты, подойдет DLP с блокировками — главное предотвратить утечку, обстоятельства не важны. Компании, которые не хотят нарушать бизнес-процесс, но стремятся обнаруживать разные нарушения на раннем этапе, скорее выберут DLP для мониторинга. А можно одним инструментом взять под контроль и типичные, и нестандартные угрозы — если умеючи комбинировать оба подхода. Но важно учитывать особенности каждого, иначе системы не будут выполнять поставленные задачи вне зависимости от функционала.
И каким бы ни был этот функционал, купить DLP, «вставить в розетку» и запустить — только полдела. Это не антивирус, который работает автономно, без управления она бесполезна в любом режиме. Поэтому обеспечить полностью автоматический контроль над коллективом не удастся. Есть для работы с «машиной» опытный аналитик — отлично. Нет — выносите задачу за штат. Самый надежный результат любые DLP показывают в руках профессионалов.