DLP из коробки. Есть ли она?

В последнее время предприятия всё чаще включают функцию защиты от утечек информации (DLP) в различные программно-аппаратные комплексы. Причем как в узкоспециализированные, так и в решающие широкий спектр задач по защите сетевой инфраструктуры.

Проблемы традиционных DLP и возможные пути расширения данного сегмента

Важно, что среди этих комплексов есть и такие, приобретение которых вполне по силам относительно небольшой фирме. А это уже совершенно новая тенденция, ведь раньше внедрение систем защиты от утечек считалось уделом крупных компаний и корпораций. Только им средства позволяли осуществить сложный и довольно длительный интеграционный проект. Ведь сама система неизбежно нуждалась в доработке под требования практически каждого заказчика. Это усугублялось тем, что такое решение приходилось периодически донастраивать, поскольку появлялись новые угрозы и категории информации, которую надо было защищать, да и пользователи находили способы обманывать систему и обходить все установленные ограничения.

В итоге рынок традиционных DLP-решений был узким. Немаловажным препятствием для выхода на некоторые региональные рынки, включая европейский, была и необходимость ручного вмешательства в работу систем, что вступало в противоречие с национальным законодательством о защите частной жизни. Выпуск относительно недорогих программно-аппаратных комплексов закрывал обе эти проблемы.

При этом, как, в частности, отметил руководитель группы консультантов по безопасности компании Check Point Software Technologies Антон Разумов, многим компаниям требовалось решение, ориентированное в большей степени на борьбу со случайными, нежели злонамеренными утечками. А у таких компаний, как правило, отсутствуют средства на приобретение и тщательную настройку дорогостоящих продуктов. И именно такие, на его взгляд, и составляют основную целевую аудиторию любых программно-аппаратных комплексов, а не только обеспечивающих защиту от утечек информации. Технический консультант из Symantec Александр Суязнов обращает внимание и на то, что в небольших фирмах процессы информационной безопасности могут быть не до конца выстроены, но там все равно стоит задача защиты от утечек.

Артем Пахомов, архитектор по информационной безопасности компании «Информзащита», считает, что у предприятий среднего и малого бизнеса, как правило, нет определённого корпоративного стандарта, рекомендующего выстраивать инфраструктуру на оборудовании конкретного вендора. А поскольку такие компании, как правило, внедряют новые решения своими силами, они делают выбор в пользу аппаратно-программных комплексов. Готовые программно-аппаратные комплексы позволяют избежать вопросов подбора (совместимости) технических и программных средств или выделения вычислительных ресурсов. За технической поддержкой как программной, так и аппаратной части компания обращается к одному вендору, что тоже является неоспоримым плюсом для среднего бизнеса.

Елена Наумова, менеджер по продуктам компании Infowatch, среди своей целевой аудитории видит и крупных клиентов, которым необходимо обеспечить высокий уровень контроля внутренней информации в региональных подразделениях и филиалах с минимальными издержками на персонал. И в продуктовой линейке этой компании есть такое решение — InfoWatch Traffic Monitor Enterprise Appliance.

Не быть черным ящиком

В классической кибернетике черным ящиком называют устройство, принципы работы которого неизвестны, равно как и неизвестно, могут ли пользователи вмешиваться в его функционирование. Под это определение полностью или частично подпадают очень многие программно-аппаратные комплексы, направленные на поддержание безопасности. Однако что касается решений для защиты от утечек, то все опрошенные нами представители вендоров оказались в целом единодушными: прин­цип классического черного ящика к ним не применим.

Елена Наумова, например, просто считает саму идею создания DLP-решения по принципу черного ящика полностью утопичной, поскольку такого рода комплексы не работают со статичной информацией: «В зависимости от постоянных изменений в деловой среде возникают новые риски утечек, в силу чего изменяются и задачи, которые наши клиенты ставят перед продуктом и особенностями его настройки. Поэтому мы не запрещаем донастройки, но делаем всё возможное, чтобы таковые не потребовались. Для этого тщательно отбираем как платформу, обеспечивающую необходимый уровень пропускной способности, так и технологии, использование которых не потребует специфических знаний. Таким образом мы снимаем с нашего заказчика головную боль, связанную с выбором необходимого оборудования, а также с установкой и настройкой системы. Любое DLP-решение должно обновляться в соответствии с тенденцией развития каналов утечек. Кроме того, в нашем продукте постоянно обновляется инструментарий перехвата и анализа данных. Для решений линейки appliance мы обеспечиваем автоматическое обновление системы “в один клик”, поскольку нам известно оборудование, на котором функционирует система, и ее базовые настройки».

Александр Суязнов поясняет, что DLP -системы делятся на две категории, различающиеся между собой: «Зачастую проблема перенастройки характерна для так называемых пассивных систем DLP, которые направлены только на контроль, а не на предотвращение утечек данных. Именно для этих систем основной характеристикой является количество закрываемых каналов. Перед западными системами DLP такая проблема стоит в значительно меньшей степени, так как они ведут жесткий контроль в совокупности с другими средствами, и при этом часто используется целый комплекс организационных мер и инструментов. Это, например, может быть контроль приложений и устройств, которые просто не позволяют использовать что-либо, кроме разрешенного набора ПО. А данное ПО уже полноценно контролируется DLP-системой. Любое решение DLP требует постоянной перенастройки, поскольку в компаниях меняется состав конфиденциальной информации. Поэтому драйверы изменений — это не пользователи, а работа предприятия в принципе. К сожалению, на данном этапе развития технологий DLP-система не может быть эффективной в отрыве от других решений, хотя мы делаем шаги именно в этом направлении, особенно с точки зрения интеллектуальных систем обучения Symantec DLP».

Схожая точка зрения у Артема Пахомова: «Дополнительная настройка аппаратно-программных комплексов DLP-систем возможна и, более того, необходима. Конечно, существуют преднастроенные политики, подготовленные на основе лучших практик в различных предметных областях. Данные наборы политик существенно помогают при запуске системы, но не отменяют необходимости индивидуальной настройки решения. Актуализация политик — это непрерывный процесс, поскольку внутри компании появляются новые типы информации, подлежащие защите. В своевременном добавлении новых и обновлении уже принятых политик заключается основная донастройка DLP-системы. При этом компании должны иметь в виду, что чрезмерная детализация политик может приводить к пропуску инцидентов. С другой стороны, при слишком общих политиках будет расти количество зафиксированных инцидентов и соответственно увеличиваться нагрузка на операторов, их обрабатывающих. Поиск “золотой середины” — одна из важнейших задач как при составлении политик, так и при их актуализации».

Игорь Ляпунов, директор Центра информационной безопасности компании «Инфосистемы Джет», также полагает, что DLP-система представляет собой живой организм. И он особо подчеркнул необходимость того, чтобы система эта обладала возможностью самообучения в процессе работы. Подобного взгляда придерживается и Александр Суязнов, который считает самообучение одним из преимуществ решения Symantec.

А вот у Антона Разумова несколько иная точка зрения: «“Из коробки” устройство уже понимает большое количество форматов файлов и типов данных. Например, вы можете сразу использовать в политике типы данных “номера кредитных карт” или “имена людей” (в том числе на русском языке). При этом предоставляется доступ к встроенном языку CPCode, на котором можно описать и свои собственные типы данных. Впрочем, такая необходимость возникает редко. Кроме того, можно передать нам описание (например, алгоритм проверки ИНН или банковских счетов), и специалисты Check Point оперативно добавят новый тип».

Как не дать обмануть систему

Артем Пахомов советует тщательнее подходить к проектированию своих систем: «Важно при этом понимать, что новые технические каналы утечки информации не появляются сами собой. Часто они становятся следствием внедрения новых ИТ-решений, будь то система документооборота, перенос инфраструктуры в облако, система удаленного доступа к корпоративным ресурсам с мобильных устройств или что-то иное. Уже на этапе планирования данного внедрения следует начать контактировать с вендором используемого DLP-решения. Даже если ваша система предотвращения утечек ещё не поддерживает необходимого функционала, поставщик может предложить наиболее оптимальное решение вопроса вплоть до доработки своего продукта к моменту запуска новой системы в эксплуатацию. Появление новых каналов утечки информации подталкивает к развитию и DLP-системы. Например, при распространении смартфонов в качестве устройств доступа к корпоративной почте была добавлена поддержка контроля передачи данных на мобильные устройства. На волне роста популярности облачных технологий DLP-решения также не остались в стороне и предоставили необходимый функционал».

Антон Разумов советует не ограничиваться одним только внедрением технических средств, но и вводить организационные меры. Не должны оставаться безнаказанными любые попытки обойти средства защиты, особенно если это делается сознательно. Хотя, по его мнению, все же малые DLP ориентированы на борьбу со случайными, а не злонамеренными утечками, и такая проблема возникает редко.

Чем малые DLP отличаются от больших

По мнению Артема Пахомова, основное различие между этими классами относится лишь к специфике внедрения. Программно-аппаратные решения отличаются от чисто программных тем, что они лучше оптимизированы под конкретную аппаратную платформу и их проще внедрять. Сама же эксплуатация систем практически идентична, что связано с решаемой задачей.

Точка зрения Антона Разумова заметно отличается: «Традиционные системы рассматривают мир как черно-белый, что, безусловно, не соответствует действительности и создает значительные трудности как администраторам, так и пользователям. Но при этом очень полезны решения, способные не только предотвращать утечку конкретных документов, но и предупреждать пользователя в сомнительных случаях. Например, когда, скажем, раз в неделю появляется сообщение при попытке зайти на “Одноклассников” или “Вконтакте”, напоминающее, что в социальных сетях ни в коем случае нельзя публиковать информацию о командировках, проектах и т.п.».

В частности, малая DLP компании CheckPoint предлагает следующий типовой сценарий:

• если отправляемый документ похож на запрещенный с вероятностью выше определенной (к примеру, 70%), его отправка блокируется;
• если отправляемый документ похож на запрещенный с вероятностью ниже определенной (скажем, 30%), его отправка разрешается;
• если отправляемый документ похож на запрещенный, но в этом нет уверенности (в данном примере вероятность 30–70%), система предупреждает пользователя о возможном нарушении корпоративной политики, определенного ее правила. В результате он может как отозвать документ, так и подтвердить его отправку, явным образом написав причину, почему он разрешает отправить этот документ.

В любом случае о событии могут быть извещены соответствующие люди (у типов данных имеется даже специальное поле Data Owner — владелец данных). Таким образом можно избежать значительного числа ложных срабатываний, не создавая множества исключений.

Антон Разумов утверждает, что это дает заметный эффект: «Например, впервые я столкнулся с подобным проявлением DLP, когда общался с заказчиком и партнером из Узбекистана. Система предупредила меня, что, мол, не ошибся ли я и почему помимо узбекских адресов присутствует еще и казахстанский. И лишь когда я подтвердил, что так и задумано (действительно, дистрибьютор, отвечающий за Среднюю Азию, расположен в Казахстане), письмо ушло адресатам. Разумеется, такая система полезна даже внутри организации. Ведь как легко можно случайно отправить письмо коллеге из другого департамента. И как часто возникают конфликты, когда вследствие подобных ошибок сотрудники узнают о зарплатах коллег, существенно отличающихся от их собственных».