DLP-система является реальной и полнофункциональной, если она решает все классические задачи концепции DLP
На сегодняшний день проблема предотвращения утечек данных с корпоративных компьютеров в финансовой сфере не теряет своей злободневности. Что же касается классического технического варианта для предотвращения утечки данных, то таковым, бесспорно, является применение систем класса DLP. Эти системы контролируют все наиболее вероятные каналы утечки – электронную почту, интернет, съемные носители, печать, мгновенный обмен сообщениями и т.д., позволяют идентифицировать информацию наиболее современными способами, что обеспечивает наименьшее количество ложных срабатываний.
Актуальная проблема
Современная система класса DLP представляет собой техническое решение, которое в совокупности с организационными методами, например, регламентами, политиками, отчетностью, обучением сотрудников, обеспечивает комплексную защиту банковской организации от утечки конфиденциальной информации.
«Задача предотвращения утечек информации в финансовой сфере была и остается актуальной», – подтверждает Директор департамента информационной безопасности банка «Открытие» Владимир Журавлев. Не случайно у большинства крупных компаний, в том числе и у кредитных организаций, решения класса DLP уже давно внедрены и показали свою эффективность.
«Традиционно банковская сфера является пионером в плане внедрения технологий информационной безопасности, и в портфеле внедрений любого DLP-вендора присутствуют банковские организации, – отмечает Директор по решениям компании DeviceLock DLP Сергей Вахонин. – Тем не менее даже в условиях, когда в РФ нет обязательного требования уведомлять регуляторов и общественность о случившихся фактах утечки, такие события случаются и становятся известны публике и специалистам, а количество предлагаемых на черном рынке услуг по «пробивке» банковских данных позволяет говорить о том, что проблема все еще актуальна. Многие финансовые организации пренебрегают проблемой утечек данных либо используют для решения пассивные DLP-системы, позволяющие им только фиксировать случившиеся факты утечек».
Пассивные и реальные DLP-системы
Необходимо четко провести разграничительную черту между пассивными DLP-средствами и реальными DLP-системами, которые предлагают надежную проактивную защиту и эффективное предотвращение утечек данных.
Пассивно-созерцательные DLP-средства позволяют разграничивать доступ к каналам потенциальной утечки конфиденциальной информации, а также осуществлять поиск в архиве накопленной информации, говорит Владимир Журавлев (банк «Открытие»). Прогрессивные DLP-системы дают возможность контролировать в реальном времени передаваемые данные и автоматически/полуавтоматически принимать решение об их блокировке на основании настроенных правил и критериев.
Суть разницы двух DLP-архитектур и подходов заключается в наличии функциональной возможности предотвратить утечку данных ограниченного доступа техническими средствами, подчеркивает Сергей Вахонин (DeviceLock DLP).
«Ключевая функция, отличающая систему мониторинга от системы предотвращения, – способность не допустить утечку для всего спектра каналов потенциальной утечки информации именно техническими способами, через механизмы запрета попыток перемещения конфиденциальных данных. Пассивное наблюдение никак не может повлиять на случайного нарушителя, ведь он, по его собственному мнению, не делает ничего плохого, и лишь опосредованно может воздействовать угрозой неотвратимости наказания на злонамеренного инсайдера, вынуждая его планировать хищение данных другими способами, например, через неконтролируемые каналы передачи данных», – отмечает эксперт компании DeviceLock DLP.
По его словам, DLP-система может называться реальной и полнофункциональной, если она решает все классические задачи концепции DLP: разрешение или блокировка передачи (копирования, печати) информации как на основе контекстных параметров, так и по результатам анализа содержимого данных в реальном времени, до момента их перемещения за пределы корпоративной информационной системы; всеобъемлющее журналирование попыток и фактов передачи данных; анализ и контроль хранимых данных.
Проблемы выбора DLP-системы
На отечественном рынке средств информационной безопасности представлено немало DLP-систем. Существует определенный перечень общих критериев, которые предъявляются к ним.
Набор требований к DLP-системам зависит прежде всего от того, какую задачу при внедрении такого специализированного продукта намерена решить организация, говорит Сергей Вахонин (DeviceLock DLP): «Если задача ограничена в силу каких-то причин уровнем отслеживания фактов передачи данных вместо превентивной борьбы с утечками, то на первый план выходят требования к широте охвата протоколируемых каналов передачи данных и к аналитическим возможностям системы. Причиной такой постановки задачи могут быть, например, недостаточность ресурсов службы ИБ или положение, при котором пассивный контроль определен руководством компании как достаточный вследствие уже введенных ограничений на использование сетевых коммуникаций в целом на уровне сетевого периметра. Руководство может опасаться риска вмешательства в выстроенные бизнес-процессы с сетевым обменом информацией или организация склонна не оценивать риски утечки данных как критичные для бизнеса. К сожалению, до сих пор встречаются учреждения, где службы ИБ уверены, что возможности избежать утечки данных, не поломав при этом бизнес-процессы, не существует».
Если же перед организацией ставится задача непосредственного предотвращения утечек данных ограниченного доступа, то на первый план выходят требования по наличию функций контентной фильтрации в режиме реального времени и возможность избирательной блокировки устройств и сетевых сервисов, доступ к которым сотрудникам для выполнения должностных обязанностей не нужен, объясняет Сергей Вахонин.
При этом в банковском секторе действует стандарт РС БР ИББС-2.9-2016, где особо отмечается, что в зависимости от правил доступа для различных категорий потенциальных внутренних нарушителей должны определяться режим блокирования возможности использования потенциальных каналов утечки информации или режим их непрерывного мониторинга и контроля, подчеркивает эксперт DeviceLock DLP.
Требования к DLP-системам эволюционируют вместе с технологиями и актуальными угрозами: появляются новые каналы общения, взаимодействия и предоставления услуг, а вместе с этим дорабатываются/модифицируются и требования, считает Владимир Журавлев (банк «Открытие»). По его словам, первым требованием к системе DLP является покрытие всех возможных каналов передачи информации, вторым – качество работы основных функций, возможность настройки их под потребности конкретной организации.
«Возможность анализировать данные, передаваемые по максимальному количеству каналов, является основным требованием, так как отсутствие контроля даже по одному каналу может привести к утечке конфиденциальной информации», – прокомментировал Владимир Журавлев (банк «Открытие»).
Сергей Вахонин (DeviceLock DLP) также считает, что охват широкого спектра каналов передачи данных, безусловно, является одним из критических показателей полноты и качества DLP-решения: «Чем больше устройств, сетевых протоколов и сервисов способна перехватывать система, тем меньше лазеек для злонамеренного инсайдера, тем меньше рисков случайной утечки данных. Другой вопрос, что вкладывать в смысл слова «контроль». На российском рынке, к сожалению, этот термин потерял свой истинный смысл и часто используется как намеренная подмена термина «инспекция», когда весь «контроль» сводится всего лишь к функции мониторинга. В случае с DLP-решениями можно говорить о полноценном контроле какого-либо канала передачи данных, если для него реализованы перехват, детектирование содержимого передаваемых данных, анализ контента в режиме реального времени с принятием решения о запрете или разрешении передачи данных, а также регистрация попыток использования и фактов передачи данных и т.д.».
«Тяжелые» или «легкие» системы
Классифицировать DLP-системы можно по достаточно большому числу различных признаков. Иногда DLP-системы делят на «тяжелые» и «легкие». Основаниями для такой классификации выступают различные факторы, например, количество реализуемых функций, затраты на внедрение системы, расходы на владение ею, время, необходимое для внедрения DLP-системы, необходимость покупки дополнительных программных продуктов сторонних производителей и т.д.
Для реализации требований регуляторов и собственных запросов необходимо использовать инструменты с большим количеством функций, поэтому в финансовой сфере использование «тяжелых» систем является необходимостью, уверен Владимир Журавлев (банк «Открытие»).
По мнению Сергея Вахонина (DeviceLock DLP), деление DLP-решений на «легкие» и «тяжелые» не имеет однозначного определения: «Если исходить из предпосылки, что «легкие» системы представляют собой средства серверного мониторинга сетевого трафика с минимальным функциональным оснащением DLP-агента или системы класса UAM, позиционируемые их разработчиками как DLP, то, судя уже по количеству продаваемых в даркнете баз данных с персональными данными клиентов банков и страховых компаний, а также услуг по «пробивке» граждан и организаций, вес таких «легких» систем недопустимо высок. Можно прямо говорить о фактическом отсутствии контроля и решения задачи предотвращения утечек данных как текущего статус-кво в финансовом секторе».
Ключевые факторы аналитики
DLP-система перехватывает трафик, идущий по какому-либо каналу, после чего необходимо его анализировать. Безусловно, не весь трафик представляет из себя конфиденциальную информацию. Ее нужно каким-то образом выделить из общего потока данных. В этом месте подключаются к работе аналитические модули DLP-систем.
Основными факторами, которые могут влиять на качество реализации аналитического модуля DLP-системы, является возможность обрабатывать большие объемы информации за разумное время, корректный поиск данных и наличие требуемых функций, отмечает Владимир Журавлев (банк «Открытие»).
«Ключевой фактор качества аналитики – это количество и качество источников данных для анализа, – считает Сергей Вахонин (DeviceLock DLP). – Вне зависимости от используемых технологий, количества отчетов и графиков, аналитические возможности любой DLP-системы напрямую зависят от объема и полноты событий безопасности, полученных системой при перехвате обращений к устройствам, принтерам, буферу обмена и портам ввода-вывода, сетевым протоколам и сервисам, то есть каналам перемещения информации. Попросту говоря, ценность анализа, построенного только на снимках экрана и нажатиях клавиатуры или на базе данных перехвата зеркалированного на прокси-сервере HTTP и SMTP трафика стремится к нулю в решении задачи предотвращения утечки данных. Наибольшее количество исходных данных по использованию устройств и локальных портов можно получить только на endpoint-агенте. Извлечение данных из сетевых сервисов, поддерживающих проприетарное шифрование, тоже возможно только на уровне рабочей станции, путем встраивания процессов перехвата в соответствующие приложения. С другой стороны, перехват входящей почты и трафика с мобильных устройств достижим только на уровне сетевого DLP-сервера. Следовательно, обеспечить максимальное количество источников данных для аналитического модуля можно благодаря гибридной реализации DLP-системы, включающей в себя полнофункциональный агент для контроля рабочих станций и сервер мониторинга сетевого трафика».
Не стоит ожидать чуда по телефону
Наверняка в ходе эксплуатации DLP-систем могут возникать различные проблемы. По мнению Сергея Вахонина (DeviceLock DLP), проблемы эксплуатации DLP-систем можно, условно говоря, разделить на технические и организационные. Технические проблемы – недостаточность ресурсов для полноценного использования возможностей продукта, появляющиеся вследствие независимого развития разных программных средств несовместимости, потребность в новом функционале или выявление недостатков в имеющемся – решаются в рамках технической поддержки, и здесь определяется один из показателей качества системы, а именно способность разработчика быстро решить проблему. «К сожалению, многие пользователи недооценивают важность сотрудничества с вендорами и интеграторами в ходе решения проблем и не готовы предоставлять своевременно и в требуемом объеме техническую информацию, такую как дампы системы, журналы событий и т.п. Многие ожидают чуда и решения проблем взмахом волшебной палочки, желательно по телефону», – подчеркивает эксперт компании DeviceLock DLP.
«В организационном срезе проблем эксплуатации лидирующую позицию, по нашему опыту, занимает недопонимание или недостаточная согласованность между ИТ- и ИБ-подразделениями, что приводит к сильным задержкам в процессе внедрения и усложняет последующую повседневную эксплуатацию и в особенности решение возникающих проблем, – отмечает Сергей Вахонин.
Трудности могут возникнуть при неправильном проектировании внедрения системы, поэтому необходимо предусмотреть возможность централизованного управления и обновления, излагает свою точку зрения на проблемы эксплуатации Владимир Журавлев (банк «Открытие»). «В том числе необходимо учитывать возможности сетевого оборудования и каналов связи, с помощью которых планируется передача собираемых DLP-системой данных, также необходимо правильно рассчитать производительность систем хранения, поиска и аналитики, – говорит эксперт. – Если ошибки уже были допущены, то необходимо выявить узкие места системы и разработать план мероприятий по их устранению».
