Круглый стол: «Критерии выбора: что включает в себя эффективная DLP-система»
Когда перед человеком стоит выбор той или иной технологии, каким бы подкованным он в данном вопросе ни был, он обращается к отзывам и рекомендациям коллег, работающих с похожими задачами. Чтобы облегчить вопрос выбора, редакция опросила производителей, интеграторов и заказчиков DLP-систем: на что они рекомендуют обратить внимание, какие нюансы остаются вне поля их зрения и, конечно, о планах по развитию продуктов и ожиданиях конечных потребителей.
Своим мнением на поставленные вопросы поделились эксперты различных организаций, в том числе Роман Ванерке, технический директор АО "ДиалогНаука".
Выбор DLP-системы, ее возможности и эффективность предотвращения утечек – на что вы как разработчик (интегратор) рекомендуете обратить внимание? Что считаете самым важным?
– Мы как интеграторы рекомендуем сперва обратить внимание на границы проекта – другими словами, выполнить классификацию информации ограниченного доступа, проранжировать ее по степени важности, определить, в каких бизнес-процессах и как эта информация обрабатывается и хранится, и т.д. Без предварительной работы бессмысленно подходить к выбору системы защиты.
Если же исходить из того, что подобная работа уже проведена и вы понимаете, что и как нужно защищать, то и выбирать становится гораздо проще. Так, например, в этом случае вы знаете, по каким каналам, кому и в каком виде передается информация ограниченного доступа. Отсюда уже вытекают и требования к DLP-системе: какие каналы должны контролироваться (Web, почта, съемные устройства, IM, печать, сетевые диски и т.д.), какие способы идентификации конфиденциальных документов (ключевые слова, словари, цифровые отпечатки, машинное обучение и т.п.) необходимы.
Говоря о предотвращении, хочется отметить, что редко кто решается перейти с режима мониторинга на режим блокировки, т.к. всегда есть риск ошибок второго рода (когда мы легитимную операцию приняли за инцидент). Но если подойти к внедрению DLP-системы комплексно, выполнить обследование и понимать, что система требует ежедневной работы с ней, то можно переходить в проактивный режим. С другой стороны, в последнее время наблюдается обратная тенденция – отказ от режима блокировки. Это обусловлено тем, что затраты на поддержание системы в проактивном режиме существенно выше возможных потерь и куда эффективнее будет повысить качество мониторинга.
Ключевая задача DLP-системы – предотвращение утечки техническими методами. Какие способы обхода DLP-систем могут использовать инсайдеры и как им противостоять?
В первую очередь стоит отметить, что традиционные DLP-системы – это прежде всего системы защиты от непреднамеренных утечек. По разным оценкам, общая доля непреднамеренных утечек составляет от 40 до 70%. Злоумышленник может использовать шифрование, различные скрытые каналы передачи данных (тот же DNS), свой телефон (фотографирование, видео, диктофон) или свою память. Очевидно, что защититься от последнего вряд ли возможно.
В последнее время производители добавляют функционал, позволяющий выявлять факты утечек по косвенным признакам – с помощью предустановленных индикаторов компрометации (например, передача файлов, зашифрованных неизвестным типом шифрования) или функционала UEBA. Решения класса UEBA могут существенно помочь в выявлении внутренних злоумышленников.
Многие российские DLP-вендоры делают акцент на инструментарии анализа событий и инцидентов при слабых возможностях недопущения утечки данных. В чем эффективность таких DLP-систем и какую реальную пользу они могут принести заказчикам?
Российские вендоры идут в правильном направлении. Изначально, позиционировав себя как средство архивации, они проигрывали, т.к. не обладали всеми возможностями зарубежных DLP-систем. Но в последнее время за счет использования решений Open Source, их возможностей по визуализации и обработке больших объемов данных, такие системы позволяют своим клиентам получить не только архив и инциденты, но и средство визуализации, анализа взаимосвязей и оценку величины риска по своим сотрудникам.
В итоге "наши" вендоры по сути комбинируют технологии DLP- и UEBA-систем.
В последнее время повышается значимость принципов невмешательства в личную переписку и личную жизнь, появляются новые законы (такие как GDPR). Учитывают ли разработчики DLP-систем, что в потоке данных могут попадаться личные данные, а их сбор и хранение в архивах может быть незаконным и привести к юридическим последствиям?
Определенно система DLP обладает всеми возможностями по перехвату данных, в которых могут быть и личные данные сотрудников. С одной стороны, зачем использовать корпоративные ресурсы для своих целей (и многие работодатели пользуются этим, утверждая, что все, что обрабатывается в их сети, не может быть личным и, соответственно, не попадает под действие закона). С другой стороны, даже если система обрабатывает личные данные, то это автоматизированная обработка, которая не запрещена. DLP-система обладает необходимым инструментарием по управлению доступом к накопленным данным, оповещению как офицеров ИБ, так и владельцев информации, а также и самих пользователей. Кроме этого, система должна выполнять обфускацию критичных данных.
Почему большинство российских DLP-систем практически не используются на Западе? Существует ли принципиальная разница между DLP-системами российских и зарубежных вендоров? Что влияет на продажи больше всего – функциональные возможности, геополитические аспекты, легальность использования?
Основная разница заключается в том, что российские вендоры изначально отставали от своих западных коллег по технологиям выявления утечек конфиденциальной информации (цифровые отпечатки, машинное обучение, интеграция со сторонними решениями) и компенсировали ее за счет применения DLP-системы как системы тотальной архивации. Архивация также упрощала внедрение системы, т.к. не требовала со стороны подразделения ИБ затрат на обследования, классификацию и т.п. Очевидно, что архивация несет в себе как преимущества, так и недостатки. К недостаткам можно отнести высокие требования к системе хранения данных, ограничения, накладываемые СУБД на объемы данных, и возможные юридические последствия из-за хранения всех данных.
Какие новые функциональные возможности вы добавили в свое DLP-решение в прошлом году?
Не могу говорить обо всех решениях, но западные решения идут в облака (поддержка Office 365), ведется внедрение контролей облачных сервисов и интеграция с решениями класса CASB.
Чего ждать от разработчиков DLP-систем в обозримом будущем, куда движется отрасль?
Я выделяю два основных направления развития DLP-систем: все большая интеграция с различными облачными решениями и появление технологий выявления аномалий (UEBA). Очевидно, что не всегда есть возможность описать конфиденциальные данные заранее, и в этих случаях на помощь придут технологии UEBA. Например, использование агента на рабочей станции как сенсора, который обеспечит сбор необходимых данных для построения профиля поведения и выявление аномалий, когда сотрудник неожиданно стал копировать много различных документов, пытаться получить доступ к сетевым папкам, куда ранее доступ не запрашивал, и т.д.
PDF-версия вопросов и ответов круглого стола: «Критерии выбора: что включает в себя эффективная DLP-система».