О проблеме Сегодня, информационные технологии являются важной составляющей любой современной организации. Говоря образно, информационные технологии - это сердце предприятия, которое поддерживает работоспособность бизнеса и повышает его эффективность и конкурентоспособность в условиях современной, жесткой конкуренции.Системы автоматизации бизнес-процессов, такие как документооборот, CRM -системы, ERP -системы, системы многомерного анализа и планированияпозволяют оперативно собирать информацию, систематизировать и группировать ее,ускоряя процессы принятия управленческих решений и обеспечивая прозрачность бизнеса и бизнес-процессов для руководства и акционеров.Становится очевидным, что большое количество стратегических, конфиденциальных и персональных данных является важным информационным активом предприятия, и последствия утечки этой информации скажутся на эффективности деятельности организации.Использование традиционных на сегодня мер безопасности,таких как антивирусы и фаерволлы выполняют функции защиты информационных активов от внешних угроз, но не каким образом не обеспечивают защиту информационных активов от утечки, искажения или уничтожения внутренним злоумышленником.Внутренние же угрозы информационной безопасности могут оставаться игнорируемыми или в ряде случаев незамеченными руководством ввиду отсутствия понимания критичности этих угроз для бизнеса.Именно по этой причине защита конфиденциальных данных так важна уже сегодня.О решении Защита конфиденциальной информации от утечки является важной составляющей комплекса информационной безопасности организации. Решить проблему случайных и умышленных утечек конфиденциальных данных, призваны DLP-системы (система защиты данных отутечки).
Комплексная система защиты данных от утечек (DLP-система) представляют собой программный, либо программно-аппаратный комплекс, предотвращающий утечку конфиденциальных данных.
Осуществляется DLP-системой при помощи использования следующих основных функций:
- Фильтрация трафика по всем каналам передачи данных;
- Глубокий анализ трафика на уровне контента и контекста.
Data-in-Motion – данные, передаваемые по сетевым каналам:
- Web (HTTP/HTTPS протоколы);
- Интернет – мессенджеры (ICQ, QIP, Skype, MSN и т.д.);
- Корпоративная и личная почта(POP, SMTP, IMAP и т.д.);
- Беспроводные системы (WiFi, Bluetooth, 3G и т.д.);
- FTP – соединения.
- Серверах;
- Рабочих станциях;
- Ноутбуках;
- Системах хранения данных (СХД).
Меры, направленные на предотвращение утечек информации состоят из двух основных частей: организационных и технических.
Защита конфиденциальной информации включает в себя организационные меры по поиску и классификации имеющихся в компании данных. В процессе классификации данные разделяются на 4 категории:
- Секретная информация;
- Конфиденциальная информация;
- Информация для служебного пользования;
- Общедоступная информация.
В DLP-системах конфиденциальная информация может определяться по ряду различных признаков, а также различными способами, например:
- Лингвистический анализ информации;
- Статистический анализ информации;
- Регулярные выражения (шаблоны);
- Метод цифровых отпечатков и т.д.
Технические меры:
Защита конфиденциальной информации при помощи технических мер основана на использование функционала и технологий системы по защите данных отутечек. В состав DLP-системы входят два модуля: хост модуль и сетевой модуль.
Хост модули устанавливаются на рабочие станции пользователей и обеспечивают контроль действий производимых пользователем в отношении классифицированных данных (конфиденциальной информации). Кроме этого модуль хоста позволяет отслеживать активность пользователя по различным параметрам,например время, проведенное в Интернет, запускаемые приложения, процессы и пути перемещения данных и т.д.
Сетевой модуль осуществляет анализ передаваемой по сети информации и контролирует трафик выходящей за пределы защищаемой информационной системы. В случае обнаружения в передаваемой трафике конфиденциальной информации сетевой модуль пресекает передачу данных.
Что даст внедрение DLP-системы?
После внедрения системы защиты данных от утечки компания получит:
- Защиту информационных активов и важной стратегической информации компании;
- Структурированные и систематизированные данные в организации;
- Прозрачности бизнеса и бизнес-процессов для руководства и служб безопасности;
- Контроль процессов передачи конфиденциальных данных в компании;
- Снижение рисков связанных с потерей, кражей и уничтожением важной информации;
- Защита от вредоносного ПО попадающего в организацию изнутри;
- Сохранение и архивация всех действий связанных с перемещением данных внутри информационной системы;
- Контроль присутствия персонала на рабочем месте;
- Экономия Интернет-трафика;
- Оптимизация работы корпоративной сети;
- Контроль используемых пользователем приложений;
- Повышение эффективности работы персонала.
D LP-систему используют, когда необходимо обеспечить защиту конфиденциальных данных от внутренних угроз. И если специалисты по информационной безопасности в достаточной мере освоили и применяют инструменты защиты от внешних нарушителей, то с внутренними дело обстоит не так гладко.
Использование в структуре информационной безопасности DLP-системы предполагает, что ИБ-специалист понимает:
- как сотрудники компании могут организовать утечку конфиденциальных данных;
- какую информацию следует защищать от угрозы нарушения конфиденциальности.
Всесторонние знания помогут специалисту лучше понять принципы работы технологии DLP и настроить защиту от утечек корректным образом.
DLP-система должна уметь отличать конфиденциальную информацию от неконфиденциальной. Если анализировать все данные внутри информационной системы организации, возникает проблема избыточной нагрузки на IT-ресурсы и персонал. DLP работает в основном «в связке» с ответственным специалистом, который не только «учит» систему корректно работать, вносит новые и удаляет неактуальные правила, но и проводит мониторинг текущих, заблокированных или подозрительных событий в информационной системе.
Для настройки «КИБ СёрчИнформ» используются - правила реагирования на ИБ-ицинденты. В системе есть 250 предустановленных политик, которые можно корректировать с учетом задач компании.
Функциональность DLP-системы строится вокруг «ядра» - программного алгоритма, который отвечает за обнаружение и категоризацию информации, нуждающейся в защите от утечек. В ядре большинства DLP-решений заложены две технологии: лингвистического анализа и технология, основанная на статистических методах. Также в ядре могут использоваться менее распространенные техники, например, применение меток или формальные методы анализа.
Разработчики систем противодействия утечкам дополняют уникальный программный алгоритм системными агентами, механизмами управления инцидентами, парсерами, анализаторами протоколов, перехватчиками и другими инструментами.
Ранние DLP-системы базировались на одном методе в ядре: либо лингвистическом, либо статистическом анализе. На практике недостатки двух технологий компенсировались сильными сторонами друг друга, и эволюция DLP привела к созданию систем, универсальных в плане «ядра».
Лингвистический метод анализа работает напрямую с содержанием файла и документа. Это позволяет игнорировать такие параметры, как имя файла, наличие либо отсутствие в документе грифа, кто и когда создал документа. Технология лингвистической аналитики включает:
- морфологический анализ - поиск по всем возможным словоформам информации, которую необходимо защитить от утечки;
- семантический анализ - поиск вхождений важной (ключевой) информации в содержимом файла, влияние вхождений на качественные характеристики файла, оценка контекста использования.
Лингвистический анализ показывает высокое качество работы с большим объемом информации. Для объемного текста DLP-система с алгоритмом лингвистического анализа более точно выберет корректный класс, отнесет к нужной категории и запустит настроенное правило. Для документов небольшого объема лучше использовать методику стоп-слов, которая эффективно зарекомендовала себя в борьбе со спамом.
Обучаемость в системах с лингвистическим алгоритмом анализа реализована на высоком уровне. У ранних DLP-комплексов были сложности с заданием категорий и другими этапами «обучения», однако в современных системах заложены отлаженные алгоритмы самообучения: выявления признаков категорий, возможности самостоятельно формировать и изменять правила реагирования. Для настройки в информационных системах подобных программных комплексов защиты данных уже не требуется привлекать лингвистов.
К недостаткам лингвистического анализа причисляют привязку к конкретному языку, когда нельзя использовать DLP-систему с «английским» ядром для анализа русскоязычных потоков информации и наоборот. Другой недостаток связан со сложностью четкой категоризации с использованием вероятностного подхода, что удерживает точность срабатывания в пределах 95%, тогда как для компании критичной может оказаться утечка любого объема конфиденциальной информации.
Статистические методы анализа , напротив, демонстрируют точность, близкую к 100-процентной. Недостаток статистического ядра связан с алгоритмом самого анализа.
На первом этапе документ (текст) делится на фрагменты приемлемой величины (не посимвольно, но достаточно, чтобы обеспечить точность срабатывания). С фрагментов снимается хеш (в DLP-системах встречается как термин Digital Fingerprint - «цифровой отпечаток»). Затем хеш сравнивается с хешем эталонного фрагмента, взятого из документа. При совпадении система помечает документ как конфиденциальный и действует в соответствии с политиками безопасности.
Недостаток статистического метода в том, что алгоритм не способен самостоятельно обучаться, формировать категории и типизировать. Как следствие - зависимость от компетенций специалиста и вероятность задания хеша такого размера, при котором анализ будет давать избыточное количество ложных срабатываний. Устранить недостаток несложно, если придерживаться рекомендаций разработчика по настройке системы.
С формированием хешей связан и другой недостаток. В развитых IT-системах, которые генерируют большие объемы данных, база отпечатков может достигать такого размера, что проверка трафика на совпадения с эталоном серьезно замедлит работу всей информационной системы.
Преимущество решений заключается в том, что результативность статистического анализа не зависит от языка и наличия в документе нетекстовой информации. Хеш одинаково хорошо снимается и с английской фразы, и с изображения, и с видеофрагмента.
Лингвистические и статистические методы не подходят для обнаружения данных определенного формата для любого документа, например, номера счетов или паспорта. Для выявления в массиве информации подобных типовых структур в ядро DLP-системы внедряют технологии анализа формальных структур.
В качественном DLP-решении используются все средства анализа, которые работают последовательно, дополняя друг друга.
Определить, какие технологии присутствуют в ядре, можно .
Не меньшее значение, чем функциональность ядра, имеют уровни контроля, на которых работает DLP-система. Их два:
Разработчики современных DLP-продуктов отказались от обособленной реализации защиты уровней, поскольку от утечки нужно защищать и конечные устройства, и сеть.
Сетевой уровень контроля при этом должен обеспечивать максимально возможный охват сетевых протоколов и сервисов. Речь идет не только о «традиционных» каналах ( , FTP, ), но и о более новых системах сетевого обмена (Instant Messengers, ). К сожалению, на сетевом уровне невозможно контролировать шифрованный трафик, но данная проблема в DLP-системах решена на уровне хоста.
Контроль на хостовом уровне позволяет решать больше задач по мониторингу и анализу. Фактически ИБ-служба получает инструмент полного контроля за действиями пользователя на рабочей станции. DLP с хостовой архитектурой позволяет отслеживать, что , какие документы , что набирается на клавиатуре, записывать аудиоматериалы, делать . На уровне конечной рабочей станции перехватывается шифрованный трафик (), а для проверки открыты данные, которые обрабатываются в текущий момент и которые длительное время хранятся на ПК пользователя.
Помимо решения обычных задач, DLP-системы с контролем на хостовом уровне обеспечивают дополнительные меры по обеспечению информационной безопасности: контроль установки и изменения ПО, блокировка портов ввода-вывода и т.п.
Минусы хостовой реализации в том, что системы с обширным набором функций сложнее администрировать, они более требовательны к ресурсам самой рабочей станции. Управляющий сервер регулярно обращается к модулю-«агенту» на конечном устройстве, чтобы проверить доступность и актуальность настроек. Кроме того, часть ресурсов пользовательской рабочей станции будет неизбежно «съедаться» модулем DLP. Поэтому еще на этапе подбора решения для предотвращения утечки важно обратить внимание на аппаратные требования.
Принцип разделения технологий в DLP-системах остался в прошлом. Современные программные решения для предотвращения утечек задействуют методы, которые компенсируют недостатки друг друга. Благодаря комплексному подходу конфиденциальные данные внутри периметра информационной безопасности становится более устойчивыми к угрозам.
28.01.2014 Сергей Кораблев
Выбор любого продукта корпоративного уровня является для технических специалистов и сотрудников, принимающих решения, задачей нетривиальной. Выбор системы предотвращения утечек данных Data Leak Protection (DLP) – еще сложнее. Отсутствие единой понятийной системы, регулярных независимых сравнительных исследований и сложность самих продуктов вынуждают потребителей заказывать у производителей пилотные проекты и самостоятельно проводить многочисленные тестирования, определяя круг собственных потребностей и соотнося их с возможностями проверяемых систем
Подобный поход, безусловно, правильный. Взвешенное, а в некоторых случаях даже выстраданное решение упрощает дальнейшее внедрение и позволяет избежать разочарования при эксплуатации конкретного продукта. Однако процесс принятия решений в данном случае может затягиваться если не на годы, то на многие месяцы. Кроме того, постоянное расширение рынка, появление новых решений и производителей еще более усложняют задачу не только выбора продукта для внедрения, но и создание предварительного шорт-листа подходящих DLP-систем. В таких условиях актуальные обзоры DLP-систем имеют несомненную практическую ценность для технических специалистов. Стоит ли включать конкретное решение в список для тестирования или оно будет слишком сложным для внедрения в небольшой организации? Может ли решение быть масштабировано на компанию из 10 тыс. сотрудников? Сможет ли DLP-система контролировать важные для бизнеса CAD-файлы? Открытое сравнение не заменит тщательного тестирования, но поможет ответить на базовые вопросы, возникающие на начальном этапе работ по выбору DLP.
Участники
В качестве участников были выбраны наиболее популярные (по версии аналитического центра Anti-Malware.ru на середину 2013 года) на российском рынке информационной безопасности DLP-системы компаний InfoWatch, McAfee, Symantec, Websense, Zecurion и «Инфосистем Джет».
Для анализа использовались коммерчески доступные на момент подготовки обзора версии DLP-систем, а также документация и открытые обзоры продуктов.
Критерии сравнения DLP-систем выбирались, исходя из потребностей компаний различного размера и разных отраслей. Под основной задачей DLP-систем подразумевается предотвращение утечек конфиденциальной информации по различным каналам.
Примеры продуктов этих компаний представлены на рисунках 1–6.
.jpg) |
| Рисунок 3. Продукт компании Symantec |
.jpg) |
| Рисунок 4. Продукт компании InfoWatch |
.jpg) |
| Рисунок 5. Продукт компании Websense |
.jpg) |
| Рисунок 6. Продукт компании McAfee |
Режимы работы
Два основных режима работы DLP-систем – активный и пассивный. Активный – обычно основной режим работы, при котором происходит блокировка действий, нарушающих политики безопасности, например отправка конфиденциальной информации на внешний почтовый ящик. Пассивный режим чаще всего используется на этапе настройки системы для проверки и корректировки настроек, когда высока доля ложных срабатываний. В этом случае нарушения политик фиксируются, но ограничения на перемещение информации не налагаются (таблица 1).
.jpg) |
В данном аспекте все рассматриваемые системы оказались равнозначны. Каждая из DLP умеет работать как в активном, так и в пассивном режимах, что дает заказчику определенную свободу. Не все компании готовы начать эксплуатацию DLP сразу в режиме блокировки – это чревато нарушением бизнес-процессов, недовольством со стороны сотрудников контролируемых отделов и претензиями (в том числе обоснованными) со стороны руководства.
Технологии
Технологии детектирования позволяют классифицировать информацию, которая передается по электронным каналам и выявлять конфиденциальные сведения. На сегодня существует несколько базовых технологий и их разновидностей, сходных по сути, но различных по реализации. Каждая из технологий имеет как преимущества, так и недостатки. Кроме того, разные типы технологий подходят для анализа информации различных классов. Поэтому производители DLP-решений стараются интегрировать в свои продукты максимальное количество технологий (см. таблицу 2).
В целом, продукты предоставляют большое количество технологий, позволяющих при должной настройке обеспечить высокий процент распознавания конфиденциальной информации. DLP McAfee, Symantec и Websense довольно слабо адаптированы для российского рынка и не могут предложить пользователям поддержку «языковых» технологий – морфологии, анализа транслита и замаскированного текста.
Контролируемые каналы
Каждый канал передачи данных – это потенциальный канал утечек. Даже один открытый канал может свести на нет все усилия службы информационной безопасности, контролирующей информационные потоки. Именно поэтому так важно блокировать неиспользуемые сотрудниками для работы каналы, а оставшиеся контролировать с помощью систем предотвращения утечек.
Несмотря на то, что лучшие современные DLP-системы способны контролировать большое количество сетевых каналов (см. таблицу 3), ненужные каналы целесообразно блокировать. К примеру, если сотрудник работает на компьютере только с внутренней базой данных, имеет смысл вообще отключить ему доступ в Интернет.
Аналогичные выводы справедливы и для локальных каналов утечки. Правда, в этом случае бывает сложнее заблокировать отдельные каналы, поскольку порты часто используются и для подключения периферии, устройств ввода-вывода и т. д.
Особую роль для предотвращения утечек через локальные порты, мобильные накопители и устройства играет шифрование. Средства шифрования достаточно просты в эксплуатации, их использование может быть прозрачным для пользователя. Но в то же время шифрование позволяет исключить целый класс утечек, связанных с несанкционированным доступом к информации и утерей мобильных накопителей.
Ситуация с контролем локальных агентов в целом хуже, чем с сетевыми каналами (см. таблицу 4). Успешно контролируются всеми продуктами только USB-устройства и локальные принтеры. Также, несмотря на отмеченную выше важность шифрования, такая возможность присутствует только в отдельных продуктах, а функция принудительного шифрования на основе контентного анализа присутствует только в Zecurion DLP.
Для предотвращения утечек важно не только распознавание конфиденциальных данных в процессе передачи, но и ограничение распространения информации в корпоративной среде. Для этого в состав DLP-систем производители включают инструменты, способные выявлять и классифицировать информацию, хранящуюся на серверах и рабочих станциях в сети (см. таблицу 5). Данные, которые нарушают политики информационной безопасности, должны быть удалены или перемещены в безопасное хранилище.
Для выявления конфиденциальной информации на узлах корпоративной сети используются те же самые технологии, что и для контроля утечек по электронным каналам. Главное отличие – архитектурное. Если для предотвращения утечки анализируется сетевой трафик или файловые операции, то для обнаружения несанкционированных копий конфиденциальных данных исследуется хранимая информация – содержимое рабочих станций и серверов сети.
Из рассматриваемых DLP-систем только InfoWatch и «Дозор-Джет» игнорируют использование средств выявления мест хранения информации. Это не является критичной функцией для предотвращения утечки по электронным каналам, но существенно ограничивает возможности DLP-систем в отношении проактивного предотвращения утечек. К примеру, когда конфиденциальный документ находится в пределах корпоративной сети, это не является утечкой информации. Однако если место хранения этого документа не регламентировано, если о местонахождении этого документа не знают владельцы информации и офицеры безопасности, это может привести к утечке. Возможен несанкционированный доступ к информации или к документу не будут применены соответствующие правила безопасности.
Удобство управления
Такие характеристики как удобство использования и управления могут быть не менее важными, чем технические возможности решений. Ведь действительно сложный продукт будет трудно внедрить, проект отнимет больше времени, сил и, соответственно, финансов. Уже внедренная DLP-система требует к себе внимания со стороны технических специалистов. Без должного обслуживания, регулярного аудита и корректировки настроек качество распознавания конфиденциальной информации будет со временем сильно падать.
Интерфейс управления на родном для сотрудника службы безопасности языке – первый шаг для упрощения работы с DLP-системой. Он позволит не только облегчить понимание, за что отвечает та или иная настройка, но и значительно ускорит процесс конфигурирования большого количества параметров, которые необходимо настроить для корректной работы системы. Английский язык может быть полезен даже для русскоговорящих администраторов для однозначной трактовки специфических технических понятий (см. таблицу 6).
Большинство решений предусматривают вполне удобное управление из единой (для всех компонентов) консоли c веб-интерфейсом (см. таблицу 7). Исключение составляют российские InfoWatch (отсутствует единая консоль) и Zecurion (нет веб-интерфейса). При этом оба производителя уже анонсировали появление веб-консоли в своих будущих продуктах. Отсутствие же единой консоли у InfoWatch обусловлено различной технологической основой продуктов. Разработка собственного агентского решения была на несколько лет прекращена, а нынешний EndPoint Security является преемником продукта EgoSecure (ранее известного как cynapspro) стороннего разработчика, приобретенного компанией в 2012 году.
Еще один момент, который можно отнести к недостаткам решения InfoWatch, состоит в том, что для настройки и управления флагманским DLP-продуктом InfoWatch TrafficMonitor необходимо знание специального скриптового языка LUA, что усложняет эксплуатацию системы. Тем не менее, для большинства технических специалистов перспектива повышения собственного профессионального уровня и изучение дополнительного, пусть и не слишком ходового языка должна быть воспринята позитивно.
Разделение ролей администратора системы необходимо для минимизации рисков предотвращения появления суперпользователя с неограниченными правами и других махинаций с использованием DLP.
Журналирование и отчеты
Архив DLP – это база данных, в которой аккумулируются и хранятся события и объекты (файлы, письма, http-запросы и т. д.), фиксируемые датчиками системы в процессе ее работы. Собранная в базе информация может применяться для различных целей, в том числе для анализа действий пользователей, для сохранения копий критически важных документов, в качестве основы для расследования инцидентов ИБ. Кроме того, база всех событий чрезвычайно полезна на этапе внедрения DLP-системы, поскольку помогает проанализировать поведение компонентов DLP-системы (к примеру, выяснить, почему блокируются те или иные операции) и осуществить корректировку настроек безопасности (см. таблицу 8).
.jpg) |
В данном случае мы видим принципиальное архитектурное различие между российскими и западными DLP. Последние вообще не ведут архив. В этом случае сама DLP становится более простой для обслуживания (отсутствует необходимость вести, хранить, резервировать и изучать огромный массив данных), но никак не для эксплуатации. Ведь архив событий помогает настраивать систему. Архив помогает понять, почему произошла блокировка передачи информации, проверить, сработало ли правило корректно, внести в настройки системы необходимые исправления. Также следует заметить, что DLP-системы нуждаются не только в первичной настройке при внедрении, но и в регулярном «тюнинге» в процессе эксплуатации. Система, которая не поддерживается должным образом, не доводится техническими специалистами, будет много терять в качестве распознавания информации. В результате возрастет и количество инцидентов, и количество ложных срабатываний.
Отчетность – немаловажная часть любой деятельности. Информационная безопасность – не исключение. Отчеты в DLP-системах выполняют сразу несколько функций. Во-первых, краткие и понятные отчеты позволяют руководителям служб ИБ оперативно контролировать состояние защищенности информации, не вдаваясь в детали. Во-вторых, подробные отчеты помогают офицерам безопасности корректировать политики безопасности и настройки систем. В-третьих, наглядные отчеты всегда можно показать топ-менеджерам компании для демонстрации результатов работы DLP-системы и самих специалистов по ИБ (см. таблицу 9).
Почти все конкурирующие решения, рассмотренные в обзоре, предлагают и графические, удобные топ-менеджерам и руководителям служб ИБ, и табличные, более подходящие техническим специалистам, отчеты. Графические отчеты отсутствуют только в DLP InfoWatch, за что им и была снижена оценка.
Сертификация
Вопрос о необходимости сертификации для средств обеспечения информационной безопасности и DLP в частности является открытым, и в рамках профессиональных сообществ эксперты часто спорят на эту тему. Обобщая мнения сторон, следует признать, что сама по себе сертификация не дает серьезных конкурентных преимуществ. В то же время, существует некоторое количество заказчиков, прежде всего, госорганизаций, для которых наличие того или иного сертификата является обязательным.
Кроме того, существующий порядок сертификации плохо соотносится с циклом разработки программных продуктов. В результате потребители оказываются перед выбором: купить уже устаревшую, но сертифицированную версию продукта или актуальную, но не прошедшую сертификацию. Стандартный выход в этой ситуации – приобретение сертифицированного продукта «на полку» и использование нового продукта в реальной среде (см. таблицу 10).
Результаты сравнения
Обобщим впечатления от рассмотренных DLP-решений. В целом, все участники произвели благоприятное впечатление и могут использоваться для предотвращения утечек информации. Различия продуктов позволяют конкретизировать область их применения.
DLP-система InfoWatch может быть рекомендована организациям, для которых принципиально важно наличие сертификата ФСТЭК. Впрочем, последняя сертифицированная версия InfoWatch Traffic Monitor проходила испытания еще в конце 2010 года, а срок действия сертификата истекает в конце 2013 года. Агентские решения на базе InfoWatch EndPoint Security (известного также как EgoSecure) больше подходят предприятиям малого бизнеса и могут использоваться отдельно от Traffic Monitor. Совместное использование Traffic Monitor и EndPoint Security может вызвать проблемы с масштабированием в условиях крупных компаний.
Продукты западных производителей (McAfee, Symantec, Websense), по данным независимых аналитических агентств, значительно менее популярны, нежели российские. Причина - в низком уровне локализации. Причем дело даже не в сложности интерфейса или отсутствии документации на русском языке. Особенности технологий распознавания конфиденциальной информации, преднастроенные шаблоны и правила «заточены» под использование DLP в западных странах и нацелены на выполнение западных же нормативных требований. В результате в России качество распознавания информации оказывается заметно хуже, а выполнение требований иностранных стандартов зачастую неактуально. При этом сами по себе продукты вовсе не плохие, но специфика применения DLP-систем на российском рынке вряд ли позволит им в обозримом будущем стать более популярными, чем отечественные разработки.
Zecurion DLP отличается хорошей масштабируемостью (единственная российская DLP-система с подтвержденным внедрением на более чем 10 тыс. рабочих мест) и высокой технологической зрелостью. Однако удивляет отсутствие веб-консоли, что помогло бы упростить управление корпоративным решением, нацеленным на различные сегменты рынка. Среди сильных сторон Zecurion DLP – высокое качество распознавания конфиденциальной информации и полная линейка продуктов для предотвращения утечек, включая защиту на шлюзе, рабочих станциях и серверах, выявление мест хранения информации и инструменты для шифрования данных.
DLP-система «Дозор-Джет», один из пионеров отечественного рынка DLP, широко распространена среди российских компаний и продолжает наращивать клиентскую базу за счет обширных связей системного интегратора «Инфосистемы Джет», по совместительству и разработчика DLP. Хотя технологически DLP несколько отстает от более мощных собратьев, ее использование может быть оправдано во многих компаниях. Кроме того, в отличие от иностранных решений, «Дозор Джет» позволяет вести архив всех событий и файлов.
Сегодня часто можно услышать о такой технологии, как DLP системы. Что собой представляет такая система? Как она может быть использована? Под DLP-системами понимают программное обеспечение, предназначенное для предотвращения потери данных путем обнаружения возможных нарушений при фильтрации и отправке. Данные сервисы также осуществляют мониторинг, обнаружение и блокирование конфиденциальной информации при ее использовании, движении и хранении. Утечка конфиденциальной информации, как правило, происходит по причине работы с техникой неопытных пользователей или злонамеренных действий.
Подобная информация в виде корпоративных или частных сведений, объектов интеллектуальной собственности, медицинской и финансовой информации, сведений о кредитных картах, нуждается в особых мерах защиты, предложить которые могут современные информационные технологии. Случаи утраты информации превращаются в утечку, когда источник, содержащий конфиденциальные сведения пропадает и оказывается у несанкционированной стороны. Утечка информации возможна и без потери.
Условно технологические средства, которые используются для борьбы с утечкой информации можно разделить на следующие категории:
— стандартные меры безопасности;
— интеллектуальные (продвинутые) меры;
— контроль доступа и шифрование;
— специализированные системы DLP.
Стандартные меры
К стандартным мерам безопасности относятся межсетевые экраны, системы обнаружения вторжений (IDS), антивирусное программное обеспечение. Они охраняют компьютер от аутсайдера и инсайдерских атак. Так. Например, подключение брандмауэра исключает доступ к внутренней сети посторонних лист. Система обнаружения вторжений может обнаружить попытки проникновения. Для предотвращения внутренних атак можно использовать антивирусные программы, обнаруживающие троянских коней, установленных на ПК. Также можно использовать специализированные сервисы, работающие в архитектуре клиент-сервер без какой-либо конфиденциальной или личной информации, хранящейся на компьютере.
Дополнительные меры безопасности
В дополнительных мерах безопасности используются узкоспециализированные сервисы и временные алгоритмы, которые предназначены для обнаружения ненормального доступа к данным, а точнее говоря к базам данных и информационно-поисковым системам. Также такие средства защиты позволяют обнаружить ненормальный обмен электронной почтой. Такие современные информационные технологии выявляют запросы и программы, которые поступают с вредоносными намерениями и осуществляют глубокие проверки компьютерных системы вроде распознавания звуков динамика или нажатий клавиш. Некоторые сервисы такого рода даже способны осуществлять мониторинг активности пользователей с целью обнаружения необычного доступа к данным.
Что собой представляют специально-разработанные DLP-системы?
Решения DLP, разработанные для защиты информации, служат для обнаружения и предотвращения попыток несанкционированного копирования и передачи конфиденциальной информации без разрешения или доступа со стороны пользователей, которые имеют право доступа к конфиденциальной информации. Для того чтобы классифицировать информацию определенного типа и отрегулировать доступ к ней, в этих системах используются такие механизмы, как точное соответствие данных, статистические методы, структурированная дактилоскопия, прием регулярных выражений и правил, опубликование кодовых фраз, ключевых слов, концептуальных определений. Рассмотрим основные типы и характеристики DLP-систем.
Network DLP
Данная система, как правило, представляет собой аппаратное решение или программное обеспечение, которое устанавливается в точках сети, исходящих вблизи периметра. Такая система анализирует сетевой трафик с целью обнаружения конфиденциальной информации, отправляемой с нарушениями политики информационной безопасности.
Endpoint DLP
Системы такого типа функционируют на рабочих станциях конечных пользователей или серверах в организациях. Конечная точка, как и в других сетевых системах, может быть обращена как к внутренним, так и к внешним связям и, следовательно, может использоваться для контроля потока информации между типами и группами пользователей. Они также способны осуществлять контроль за обменом мгновенными сообщениями и электронной почтой. Происходит это следующим образом, прежде, чем данные сообщения будут загружены на устройство, они проверяются сервисом. При содержании неблагоприятного запроса сообщения будут заблокированы. Таким образом они становятся неоправленными и не попадают под действие правил хранения информации на устройстве.
Преимущество DLP системы заключается в том, что она может контролировать и управлять доступом к устройствам физического типа, а также получать доступ к информации до того, как она будет зашифрована. Некоторые системы, которые функционируют на основе конечных утечек, могут также обеспечить контроль приложений с целью блокировки попыток передачи конфиденциальной информации и обеспечения незамедлительной обратной связи с пользователем. Недостаток таких систем заключается в том, что они должны быть установлены на каждой рабочей станции в сети и не могут использоваться на мобильных устройствах вроде КПК или сотовых телефонов. Данное обстоятельство необходимо учитывать при выборе систем DLP для выполнения определенных задач.
Идентификация данных
Системы DLP содержат в себе несколько методов, направленных на выявление конфиденциальной и секретной информации. Данный процесс часто путают с процедурой расшифровки информации. Однако идентификация информации представляет собой процесс, при помощи которого организации используют технологию DLP для того, чтобы определить, что именно нужно искать. При этом данные классифицируются как структурированные или неструктурированные. Данные первого типа хранятся в фиксированных полях внутри файла, например, в виде электронных таблиц. Неструктурированные данные относятся к свободной форме текста. Если верить оценкам экспертов, то 80% всей обрабатываемой информации можно отнести к неструктурированным данным. Соответственно, только 20% от общего объема информации является структурированной. Для классификации информации используется контент-анализ, который ориентирован на структурированную информацию и контекстный анализ. Делается он по месту создания приложения или системы, в которой появилась информация. Таким образом, ответом на вопрос «что собой представляют DLP системы» может послужить определение алгоритма анализа информации.
Методы
Используемые в системах DLP методы описания конфиденциального содержимого на сегодняшний день очень многочисленны. Условно их можно поделить на две категории: точные и неточные. Точные – это методы, которые связаны с анализом контента и практически сводят к нулю все ложные положительные ответы на запросы. Остальные методы являются неточными. К ним относятся статистический анализ, байесовский анализ, мета-теги, расширенные регулярные выражения, ключевые слова, словари и т.д. Эффективность анализа данных напрямую будет зависеть от его точности. DLP система с высоким рейтингом имеет высокие показатели по данному параметру. Важное значение для избегания ложных срабатываний и других негативных последствий имеет точность идентификации DLP. Точность зависит от множества факторов, которые могут быть технологическими или ситуативными. Тестирование точности позволяет обеспечить надежность работы системы DLP.
Обнаружение утечек информации и их предотвращение
В некоторых случаях источник распределения данных делает доступной для третьей стороны конфиденциальную информацию. Часть этих данных скорее всего через некоторое время будет обнаружена в несанкционированном месте, например, на ноутбуке другого пользователя или в интернете. Системы DLP, стоимость которых предоставляется разработчиками по запросу, можно составлять от нескольких десятков до нескольких тысяч рублей. Системы DLP должны исследовать, как просочились данные от одного или от нескольких третьих лиц, осуществлялось ли это независимо, не была ли утечка информации обеспечена каким-то другими средствами.
Данные в состоянии покоя
Описание «данные в состоянии покоя» относится к старой архивной информации, которая хранится на любом из жестких дисков клиентского персонального компьютера, на удаленном файловом сервере, на диске сетевого хранилища. Это определение также относится к данным, которые хранятся в системе резервного копирования на компакт-дисках или флэшках. Такая информация предоставляет большой интерес для государственных учреждений или предприятий, поскольку большой объем данных содержится неиспользованным в устройствах памяти. В данном случае велика вероятность того, что доступ к информации будет получен неуполномоченными на то лицами за пределами сети.
Предлагаем ряд маркеров, которые помогут выжать максимум из любой системы DLP.
DLP -системы: что это такое
Напомним, что DLP-системы (Data Loss/Leak Prevention) позволяют контролировать все каналы сетевой коммуникации компании (почта, интернет, системы мгновенных сообщений, флешки, принтеры и т д.). Защита от утечки информации достигается за счет того, что на все компьютеры сотрудников ставятся агенты, которые собирают информацию и передают ее на сервер. Порой информация собирается через шлюз, с использованием SPAN-технологий. Информация анализируется, после чего системой или офицером безопасности принимаются решения по инциденту.
Итак, в вашей компании прошло внедрение DLP-системы. Какие шаги необходимо предпринять, чтобы система заработала эффективно?
1. Корректно настроить правила безопасности
Представим, что в системе, обслуживающей 100 компьютеров, создано правило «Фиксировать все переписки со словом «договор"». Такое правило спровоцирует огромное число инцидентов, в котором может затеряться настоящая утечка.
Кроме того, не каждая компания может позволить себе содержать целый штат сотрудников, отслеживающих инциденты.
Повысить коэффициент полезности правил поможет инструментарий по созданию эффективных правил и отслеживанию результатов их работы. В каждой DLP-системе есть функционал, который позволяет это сделать.
В целом методология предполагает анализ накопленной базы инцидентов и создание различных комбинаций правил, которые в идеале приводят к появлению 5-6 действительно неотложных инцидентов в день.
2. Актуализировать правила безопасности с определенной периодичностью
Резкое снижение или увеличение числа инцидентов — показатель того, что требуется корректировка правил. Причины могут быть в том, что правило потеряло актуальность (пользователи перестали обращаться к определенным файлам) либо сотрудники усвоили правило и больше не совершают действий, запрещенных системой (DLP — обучающая система). Однако практика показывает, что если одно правило усвоено, то в соседнем месте потенциальные риски утечки возросли.
Также следует обращать внимание на сезонность в работе предприятия. В течение года ключевые параметры, связанные со спецификой работы компании, могут меняться. Например, для оптового поставщика малой техники весной будут актуальны велосипеды, а осенью — снегокаты.
3. Продумать алгоритм реагирования на инциденты
Есть несколько подходов к реагированию на инциденты. При тестировании и обкатке DLP-систем чаще всего людей не оповещают об изменениях. За участниками инцидентов лишь наблюдают. При накоплении критической массы с ними общается представитель отдела безопасности или отдела кадров. В дальнейшем часто работу с пользователями отдают на откуп представителям отдела безопасности. Возникают мини-конфликты, в коллективе накапливается негатив. Он может выплеснуться в намеренном вредительстве сотрудников по отношению к компании. Важно соблюдать баланс между требованием дисциплины и поддержанием здоровой атмосферы в коллективе.
4. Проверить работу режима блокировки
Существует два режима реагирования на инцидент в системе — фиксация и блокировка. Если каждый факт пересылки письма или прикрепления вложенного файла на флэшку блокируется, это создает проблемы для пользователя. Часто сотрудники атакуют системного администратора просьбами разблокировать часть функций, руководство также может быть недовольно такими настройками. В итоге система DLP и компания получают негатив, система дискредитируется и демаскируется.
5. Проверить, введен ли режим коммерческой тайны
Дает возможность сделать определенную информацию конфиденциальной, а также обязует любое лицо, знающее об этом, нести полную юридическую ответственность за ее разглашение. В случае серьезной утечки информации при действующем на предприятии режиме коммерческой тайны с нарушителя можно взыскать сумму фактического и морального ущерба через суд в соответствии с 98-ФЗ «О коммерческой тайне».
Надеемся, что данные советы помогут снизить число непреднамеренных утечек в компаниях, ведь именно с ними призваны успешно бороться системы DLP. Однако не стоит забывать о комплексной системе информационной безопасности и о том, что намеренные утечки информации требуют отдельного пристального внимания. Существуют современные решения, которые позволяют дополнить функционал систем DLP и значительно снизить риск намеренных утечек. Например, один из разработчиков предлагает интересную технологию — при подозрительно частом обращении к конфиденциальным файлам автоматически включается веб-камера и начинает вести запись. Именно эта система позволила зафиксировать, как незадачливый похититель активно делал снимки экрана с помощью мобильной фотокамеры.
Олег Нечеухин , эксперт по защите информационных систем, «Контур.Безопасность»
