В рубрику "DLP" | К списку рубрик | К списку авторов | К списку публикаций
Сергей Вахонин, директор по решениям ЗАО “Смарт Лайн Инк”
Максим Жарников, заместитель директора Регионального центра компетенций PERIMEТRIX
Андрей Коган, директор Регионального центра компетенций PERIMEТRIX
Виолетта Красова, руководитель направления DLPЦентра информационной безопасности компании“ИнфосистемыДжет”
Лев Матвеев, председатель совета директоров ООО “СёрчИнформ”
Алексей Плешков, независимый эксперт по информационной безопасности
Андрей Ревяшко, ИT-директор, Wildberries
Константин Саматов, начальник отдела по защите информации ТФОМС Свердловской области, членАссоциациируководителейслужбинформационнойбезопасности, преподаватель информационнойбезопасностиУРТКим. А.С. Попова
Александр Суханов, эксперт по информационной безопасности ООО “МФИ Софт”
Владимир Ульянов, руководитель аналитического центра Zecurion
Сергей Вахонин
– Эффективность DLP-системы определяется прежде всего возможностями решения ключевой задачи – предотвращения утечек данных. Соответственно, внимание следует обратить на полноту и качество контроля над всеми каналами, интерфейсами и периферийными устройствами компьютера, а также на способность фильтровать содержимое передаваемых данных. Особенно это касается контроля сетевых коммуникаций, качество и полнота которого во многом определяются способностью DLP-решений перехватывать, "прозрачно" дешифровывать и фильтровать контент сетевых коммуникаций, защищенных стандартным SSL- или проприетарным шифрованием. Полнота контроля подразумевает наличие технической возможности предотвращения утечки и регистрации событий, связанных с доступом пользователей к каналам передачи данных, в любых возможных сценариях. К примеру, если речь идет о контроле SMTP, то инспекция содержимого сообщений и вложений должна работать при использовании любых почтовых клиентов.
Особо подчеркну, что первична задача именно технической возможности предотвращения утечки, а не психологической, построенной на концепции неотвратимости наказания за уже совершенное хищение или непреднамеренную утечку данных. Наличие массы аналитических инструментов, красивые графы и интеграция с разными сторонними системами не сделает DLP-систему идеальной и тем более действительно эффективной, если в ней не реализованы базовые инструменты – способность с равным успехом функционировать внутри корпоративной сети и вне ее (сценарий мобильных сотрудников), возможность не допустить утечки данных ограниченного доступа при возможности использовать канал передачи для неконфиденциальных данных (контентная фильтрация в момент передачи данных) и т.д.
Главное для клиентов – чтобы все аккуратно сформулированные ими по принципу "ничего не забыть" основные функциональные требования к DLP-решению были полностью поддержаны в выбранном продукте, доступном на рынке в уже реализованном виде, а не в перспективе или с оговорками.
Андрей Коган
– Самое первое, что должен сделать заказчик, – это максимально четко сформулировать бизнес-цель, которую он хочет достичь, применяя DLP-систему. А затем уже путем пилотного тестирования на реальных данных в реальной инфраструктуре проверить, насколько эффективно выбранное средство помогает в достижении поставленной цели. Очевидное соображение, правда? Однако когда дело касается DLP, заказчик, рассчитывая на решение по "предотвращению утечки данных", получает инструмент для совсем других задач – сбора данных о поведении пользователей, установления взаимосвязей, анализа использования рабочего времени и пр. Это все очень полезные вещи, но если бизнес-цель состоит в "предотвращении утечки", именно такую функциональность и надо проверять.
Виолетта Красова
– При выборе системы DLP прежде всего необходимо определить круг задач, которые планируется решать с ее помощью. Функционал современных DLP-систем невероятно широк и подразумевает под собой как решение классических задач (выявление утечек конфиденциальной информации), так и выявление нецелевого рабочего времени, контроль мобильных устройств и расследование инцидентов с выявлением всей цепочки лиц, к ним привязанных. Безусловно, многие, зная об этом, придерживаются политики "нам необходимо все и побольше", но, смею вас заверить, что это далеко не лучший выбор.
Зачем контролировать, например, те каналы, в использовании которых нет необходимости при решении рабочих задач; либо если работники выполняют свои планы и к их дисциплине нет нареканий, то дополнительный инструмент слежения может послужить лишь раздражающим фактором и т.д.
Прежде всего следует определить круг задач, решение которых является действительно актуальным. Необходимо также провести инвентаризацию документации – это позволит избежать лишней фокусировки внимания на тех объектах, оборот которых можно попросту исключить, либо исключить тех или иных работников из цепочки прохождения документов.
При выборе системы с максимальным функционалом необходимо помнить, что избыточность не всегда хороша и оправданна. Безусловно, заказчик получает максимальную комплектацию, контролирует все возможные каналы передачи информации, но также он получает дополнительную нагрузку на систему, высокую стоимость и увеличение количества ложноположительных срабатываний системы.
Лучшим способом убедиться в эффективности DLP, а также проверить ее соответствие поставленным задачам является проведение пилотного тестирования продукта. Систему необходимо "проверять" в условиях и среде заказчика, т.к. зачастую выявляется масса архитектурныx и организационных нюансов.
Лев Матвеев
– Чтобы не разочароваться, заказчику нужно проверять заявленный функционал. Как ни печально, но ряд разработчиков грешит маркетинговыми уловками в общении с потенциальным клиентом.
Обязательно читайте техническую документацию, она более объективна, чем презентации. Но самая верная методика – тестирование системы. Составьте подробное ТЗ и проверьте его после заполнения вендором. Тестируйте даже ту функциональность продукта, которую пока не планируете использовать. Серьезно нагружайте систему, проверяйте ее "на прочность": создавайте сложные политики, тестируйте ее на критичных пользователях и пр. Это первый этап, в ходе которого можно понять, подходит ли система в целом.
Второй этап – тестирование технической поддержки и отдела внедрения производителя. DLP-система – это решение класса Enterprise, поэтому даже близкая к идеальной программа не обойдется без вопросов к техподдержке и внедрению. В начале работы необходимо сразу обозначить круг интересующих вопросов, прикладных задач, конкретных применений системы – действия техподдержки или внедрения покажут, насколько профессиональный коллектив работает у вендора, как они справляются с прикладными задачами. Ответы должны быть оперативными, ведь деятельность системы связана с инцидентами безопасности.
Третий этап – оценка эффективности DLP. За 3–4 недели "пилота" можно получить первые результаты работы системы: обнаружить нарушения, сформировать круг неблагонадежных сотрудников, выявить попытки инсайда и хищений и другие проблемы. Еще на этапе тестирования возможны: ужесточение политик ИБ, пересмотр порядка доступа к конфиденциальным данным, увольнения и санкции по отношению к нарушителям.
Александр Суханов
– При выборе DLP-системы стоит обратить внимание на поддержку всех необходимых каналов коммуникации, возможности аналитики и расследования инцидентов, а также скорость работы системы при больших объемах данных. Качественный аналитический модуль и стабильно высокая скорость работы позволят не допустить утечки информации.
Но важно понимать, что DLP-система – это не "волшебная таблетка", а инструмент, с которым нужно работать при решении конкретных задач. Готовность к внедрению DLP предполагает наличие модели угроз, описание коммерчески значимой информации, понимание на всех уровнях менеджмента конкретных задач, которые ставятся перед DLP-системой. Убедиться, насколько система соответствует задачам по обеспечению информационной безопасности в компании, помогает пилотный проект.
Владимир Ульянов
– Что касается эффективности, здесь поможет только практический опыт. Эффективная DLP-система должна быть удобной, ведь офицеру придется плотно работать с ней. Поэтому нельзя выбирать DLP только по бумажным сравнениям. Чтобы понять, насколько DLP хороша, подходит ли конкретной компании, всегда нужно заказывать пилотный проект. У большинства вендоров это бесплатная услуга, в рамках которой заказчик сможет оценить возможности предлагаемого решения на практике.
Среди критериев выбора DLP важны технологии детектирования и классификации информации – ведь это одна из основных задач комплекса. Надежная DLP также должна быть способна работать не только в режиме мониторинга, но и активно предотвращать утечки. А для расследования инцидентов важна база событий и объектов и удобный отчетно-аналитический модуль.
Сергей Вахонин
– Любой инструмент в DLP-решениях приносит пользу, если в конечном итоге он направлен на противодействие утечкам данных. Значимость же инструментария анализа событий определяется широтой охвата инспектируемых системой каналов передачи данных (здесь следует иметь в виду полный спектр потенциальных каналов утечки информации – сохранение информации на съемных накопителях, печать документов, использование сетевых сервисов и протоколов). Если в решении сделан акцент на арсенал возможностей Post-DLP, вендор предлагает прежде всего огромный набор красивых и быстрых отчетов, графов, карточек и т.п., но при этом состав отчетов формируется только на основании данных пассивного перехвата некоторых почтовых сетевых протоколов да пары мессенджеров – значимость такого инструментария в плане борьбы с утечками данных сводится к нулю. Полноценное DLP-решение должно быть сбалансированным и обладать достаточной и необходимой для заказчика широтой инспектируемых каналов передачи данных, иначе оно превращается в фикцию, как тыква в известной сказке. Аналитический инструментарий не может быть преобладающим, когда в продукте существует очевидная недостаточность других канонических DLP-инструментов – функции избирательного контроля доступа к каналам передачи данных, анализа содержимого передаваемых данных в реальном времени в целях предотвращения утечки, сканирования рабочих станций и сетевых хранилищ.
Андрей Коган
– Для того чтобы инструменты анализа событий и инцидентов были значимы, эти события и инциденты обязательно должны происходить, иначе какой смысл в этих инструментах? Поэтому цель DLP – не предотвращение утечек, а борьба с ними. Борьба постоянная, увлекательная и бесконечная. Польза DLP не в том, чтобы защитить конфиденциальную информацию от утечки (это делается другими средствами), а в том, чтобы на основе статистики и инцидентов накопить материал для принятия необходимых "кадровых решений". В рамках такой задачи упомянутые инструменты безусловно необходимы офицеру безопасности как подспорье в проведении служебных расследований – они позволяют обнаруживать отклонения в стандартном поведении пользователя и нацеливать фокус сбора событий на потенциального нарушителя.
Виолетта Красова
– На данный момент развитию инструментов анализа и технологиям расследования инцидентов уделено особое внимание. За долгие годы практического применения удалось выявить закономерности в поведенческой характеристике людей, готовящихся совершить "злодеяние", а именно – выявить косвенные признаки мошенничества, а также прийти к пониманию того, что конечное лицо – это всего лишь верхушка айсберга. Как правило, злонамеренные утечки планируются заранее и совершаются группой лиц, а значит, существует возможность предотвратить утечку еще в момент подготовки либо накрыть все звенья "преступной цепи", если утечка произошла.
Учитывая также постоянный рост спектра охватываемых каналов и устройств, офицеры безопасности сталкиваются с огромным потоком событий и инцидентов информационной безопасности, которые необходимо рассматривать и расследовать. Постоянно растет массив хранимых данных, в такой ситуации совершенно необходимы автоматизированные и алгоритмизированные инструменты, позволяющие снизить нагрузку на офицера безопасности без потери эффективности.
Александр Суханов
– Отчеты и аналитические срезы в DLP-системе позволяют безопаснику быстро составить картину происходящего в компании, выявить нелояльных сотрудников, обнаружить все пути передачи конфиденциальной информации. В большинстве случаев от скорости и удобства аналитического модуля DLP и зависит, будет ли система ежедневным рабочим инструментом или превратится в пыльный сервер под столом.
Владимир Ульянов
– Инструменты для анализа событий и инцидентов абсолютно необходимы. В противном случае работа с DLP похожа на ходьбу наощупь. Без понимания того, какая информация циркулирует в корпоративной среде, без возможности выяснить причину нарушения политики безопасности и выстроить цепочку событий, которые к этому привели, существенно затрудняется эксплуатация DLP, а ее эффективность неизбежно падает, допуская все больше ошибок распознавания и ложных срабатываний. Кроме того, с помощью инструментов для анализа событий можно выявить потенциальные угрозы, например сговор сотрудников, на раннем этапе их развития.
Алексей Плешков
– Выступая в качестве технического эксперта в данном круглом столе, в меньшей степени буду рассматривать организационно-политические вопросы (замещение импорта, поддержка отечественного производителя, проведение тендерных процедур, запрос ценовых предложений у партнеров и пр.) и остановлюсь подробнее на технологических аспектах. Сформированная заказчиком сетка технических критериев для выбора DLP должна, с моей точки зрения, помимо прочего содержать следующие критерии:
Андрей Ревяшко
– Когда занимаешься выбором DLP-системы, приходит понимание того, что масштабы сети, равно как и рабочих мест, неуклонно растут. Этот факт требует от DLP обязательной возможности масштабирования. Ведь оснастив компанию рабочим, на сегодняшний день, решением, через пару лет с легкостью можно потерять как саму возможность контролировать угрозы утечки информации (так как система просто не будет справляться с увеличившимся потоком информации), так и деньги, вложенные в систему.
Еще одним решающим фактором в нашем случае является система хранения информации. Применение в том или ином решении медленных хранилищ затмит любые обещания продавцов и разработчиков относительно высокой производительности своих систем.
Константин Саматов
– В настоящее время рынок DLP-систем сложился так, что практически все производители предоставляют одинаковый, на первый взгляд, функционал по сбору и анализу информации. Основные моменты, на которые следует обращать внимание при выборе DLP-системы, это:
Алексей Плешков
– Внедрение DLP в организации – это комплексный технический проект, в самом начале которого необходимо четко представлять себе заказчика для данного проекта (лицо в организации или подразделение, в чьих интересах проводятся данные работы), цель (к сожалению, результат проекта не всегда совпадает с его первоначальной целью), поэтапный план, ресурсы, бюджет, сроки, привлеченных исполнителей и соисполнителей на различных этапах, понимать вероятные риски для проекта и способы их минимизации, а также иметь представление об иных аспектах проектной деятельности, характерных для вашей конкретной организации. Если к вам придут и скажут: "Мы вам поставим DLP из коробки за неделю, и она будет работать как часы, а от вас технически ничего не потребуется (ничего от слова совсем)!" – будьте уверены, что от вас многое утаивают, как говорится, "в маркетинговых целях". Что именно недоговаривают, вы узнаете только после завершения процесса внедрения DLP в рамках эксплуатации. Самый удачный опыт оптимизации процесса внедрения DLP, на мой взгляд, (помимо эффективного проектного управления в организации) – это активное использование референсов в сторонних компаниях по выбранному вами решению. Чужие "грабли" и/или положительные отзывы могут сэкономить не только время, но и деньги вашей компании, потраченные на изобретение и покупку у интеграторов "DLP-велосипедов".
Андрей Ревяшко
– Наличие у DLP возможности модульного внедрения позволит начать с малого и эффективного функционала, по средствам которого бюджет не возрастет слишком быстро и внедрение не сильно ударит по карману. К примеру, можно отказаться от контроля ряда каналов коммуникаций либо контроля VoIP-трафика.
Считаю, что оптимальным будет разделение бюджета на приобретение и внедрение DLP на несколько подразделений. В частности, можно скооперироваться с HR-отделом, которому будет полезно понимать фактическое время работы сотрудников, просмотры ненужного видео и т.п.
Константин Саматов
– Я бы выделил два момента, позволяющих ответить на данный вопрос:
Сергей Вахонин
–Чтобы отделить мух от котлет, частное от служебного, личное от корпоративного, в DLP-решении должна быть предусмотрена техническая возможность обрабатывать только те персональные коммуникации, в которых выявлены конфиденциальные корпоративные данные. Возможность собирать, обрабатывать и хранить только эту часть коммуникаций работника, исключив таким образом проблему сбора и хранения личных коммуникаций организацией. Это реализуется, если в полной мере использовать возможности контентной фильтрации, задать политики для детектирования только тех данных, которые непосредственно являются конфиденциальной корпоративной информацией, например, содержат определенные службой ИБ признаки, теги, ключевые слова и выражения. При корректном задании правил контентной фильтрации в реальном времени (разумеется, при наличии такой функции в DLP-решении) служба ИБ может контролировать содержимое исходящих сообщений в чатах, почте и передаваемых файлах, особенно когда контент фильтруется в момент передачи непосредственно на хосте.
Максим Жарников
– Никак. Личные коммуникации на рабочем месте, через которые может уходить чувствительная для предприятия информация, – один из обязательных каналов мониторинга средствами DLP. Единственный способ как-то смягчить проблему – выработка соответствующей правовой базы, регламентирующей использование полученной информации офицерами ИБ.
В нашем же подходе этой проблемы нет, т.к. все действия с ценной информацией, являющейся собственностью компании-заказчика, обособлены. Ознакомление с такой информацией, ее копирование, изменение и т.д. происходит в четком соответствии с политиками, введенными в рамках режима КТ. А все происходящее вне защищаемого периметра, пусть даже на том же рабочем месте, нам неинтересно, поэтому наше решение не затрагивает права человека.
Виолетта Красова
– В этом вопросе важно определить, где проходит грань между личной перепиской работника и его рабочими о бя зан ностя м и. Согласно ст. 21 Трудового кодекса РФ работник обязан добросовестно исполнять свои трудовые обязанности, возложенные на него трудовым договором, соблюдать правила внутреннего трудового распорядка, соблюдать трудовую дисциплину, выполнять установленные нормы труда, бережно относиться к имуществу работодателя и т.д. В соответствии с ТК РФ работник в течение рабочего времени должен выполнять свою трудовую функцию и использовать предоставленные работодателем информационные ресурсы исключительно для выполнения трудовых обязанностей. Личное использование оборудования, равно как и ведение личной переписки, трактуется как нарушение трудовой дисциплины.
Здесь многое зависит от того, насколько детально и юридически грамотно работодателем прописаны требования к трудовому распорядку – инструкции, положения и пр. и установлен ли режим использования информационных ресурсов и технических средств. В любом случае лучший способ защиты личной переписки для работника – это не использование для ее осуществления рабочих инструментов.
Лев Матвеев
– Кажется, что здесь есть конфликт между функциональностью DLP и законом, защищающим наших граждан. Ведь система не делит ту же переписку на личную и рабочую, она видит и анализирует все, что происходит на рабочем ПК. Но в том-то и суть, что на рабочем ПК – оборудовании работодателя. ТК РФ четко прописывает, что оно может использоваться только для исполнения трудовых функций и обязанностей, к которым не относится личная переписка, просмотр фото друзей в соцсетях или онлайн-игры. По сути это как раз и является нарушением законодательства.
Потому проблема не в системе, которая защищает конфиденциальную информацию и бизнес, а в неверном понимании сотрудниками своих прав и обязанностей. То есть недопущение вмешательства в личную переписку и жизнь – в руках самих людей.
Кроме того, мы рекомендуем всем клиентам в обязательном порядке подписывать с сотрудниками дополнительные соглашения. В них должны быть прописаны условия использования системы и согласие сотрудника на контроль со стороны работодателя.
Александр Суханов
– Если до внедрения DLP-системы в компании были внедрены положения о коммерческой тайне и политика ИБ, то использование DLP никак не скажется на личной жизни сотрудников. Обычно проект внедрения сопровождается базовым аудитом и подготовкой необходимых документов. Если коротко – сотрудники должны быть уведомлены, что в компании используется система мониторинга трафика, и ознакомлены с положением, что ресурсы компании должны использоваться исключительно в рабочих целях.
Владимир Ульянов
– Подобные вопросы уже решены, а порядок выработан за многие годы использования DLP-систем в России. В общих чертах, необходимо придерживаться следующего порядка:
Самое важное, что внедрение и использование DLP не должно производиться в тайне от сотрудников. Контроль корпоративных каналов коммуникаций легален, и компании имеют все основания его вести.
Сергей Вахонин
– Во-первых, это касается не всех отечественных DLP-решений. Есть компании, чьи продукты были изначально ориентированы на весь мировой рынок в целом и свою популярность приобрели вначале как раз за рубежом. Однако подавляющее большинство других российских DLP- и "около DLP"-систем, напротив, изначально были ориентированы на освоение домашнего рынка, при этом как маркетинговый подход, так и выбранные вендорами подходы к формированию набора функциональных возможностей направлены на быстрые продажи, зачастую с использованием административного ресурса. В итоге за рубежом наши разработчики сталкиваются с тем, что рынок уже активно освоен ведущими вендорами (и попадание в "магический квадрант" компании Gartner тут не показатель), а идеология Post-DLP при слабых возможностях в решении задачи предотвращения утечки мало востребована. Зарубежные заказчики зачастую предпочитают простые, надежные и гарантирующие защиту от утечки решения, а не аналитические инструменты для копания в архивах, да еще и требующие при этом значительных затрат на внедрение и поддержку.
Максим Жарников
– У российского и зарубежного потребителя существенно различаются правовые и общественные реалии, традиции деловых взаимоотношений между работодателем и сотрудниками. Решение проблемы "соблюдения средствами DLP прав человека" за рубежом уже давно регламентировано. А в России, ввиду несовершенства правоприменения в сфере ИТ, еще идут дискуссии по этому поводу. Поэтому маркетинговые доводы и популярные "кейсы", работающие на отечественном рынке DLP, не очень приемлемы за рубежом. На наш взгляд, их DLP-решения более "механистичны", там мало романтики расследования. Поэтому имеется и обратный эффект – "калькированные" преимущества зарубежных решений для нашего заказчика тоже бывают неубедительны. К тому же есть чисто технические моменты, связанные с непростой лингвистикой родного языка или модой на используемое корпоративными пользователями ПО.
Виолетта Красова
– На самом деле практика DLP-систем за рубежом также имеет свое развитие, хотя, безусловно, не такое лавинообразное. Причин несколько: прежде всего – это законодательство и профсоюзы, которые рьяно защищают права работников. Для них системы DLP – это прежде всего инструмент “слежения” за работниками, что является недопустимым. Общение с иностранными компаниями в нашей стране убеждает меня в том, что их крайне негативное отношения к подобного рода системам достаточно тяжело изменить. Только начиная речь о DLP, сразу слышишь о том, что это неэтично и противоречит политике компании, политике доверия к своим работникам.
Лев Матвеев
– У меня противоположное мнение. Мы сами сейчас выходим на зарубежный рынок (Европы, стран Ближнего Востока и Латинской Америки), и встречают нас там достаточно тепло.
Возможно, сложность в том, что активный выход за границу начался совсем недавно, пока российским вендорам вполне хватало рынка РФ и стран СНГ.
Однако доказательство того, что отечественные DLP-системы не уступают зарубежным конкурентам, – рейтинг исследовательской компании Gartner. Их "магический квадрант" практически на четверть состоит из российских решений.
Александр Суханов
– В сфере информационной безопасности DLP-системы – одна из наиболее известных и понятных СМИ-технологий. В то же время есть не менее важные и коммерчески успешные ИТ-продукты, это можно видеть по любому рейтингу ИТ-компаний.
Задачи использования DLP-систем зависят от региона и требуют локализации продуктов под местный рынок. В практике западных стран DLP-решения используются в первую очередь для соответствия законодательству, с другой стороны – сами технологии строже регламентируются на уровне государства. В России DLP-решения в большей степени решают бизнес-задачи, поэтому обладают более широкими возможностями по части хранения и аналитики данных.
Владимир Ульянов
– Не соглашусь. Российские игроки становятся все более заметными игроками на международной арене. К примеру, в последнюю версию "магического квадранта" Gartner по DLP было включено уже три российских вендора (из 12 участников). Аналитики Gartner причисляют российских игроков к нишевым игрокам в силу того, что основная масса продаж совершается на рынке России и стран СНГ. Недостаточное количество крупных зарубежных проектов – один из главных ограничивающих факторов.
Сергей Вахонин
– Да, безусловно. Зарубежные вендоры в разработке делают акцент на предотвращении утечки данных, в то время как многие российские – на анализе поведения пользователей, расследовании инцидентов и т.п. Наша же практика внедрений за рубежом показывает, что краеугольным камнем для заказчиков является именно предотвращение утечек, построенное по принципу минимальных привилегий – вводится запрет использования ряда сервисов и устройств пользователям, которым эти сервисы и устройства по работе не нужны. Если же нужны – значит, доступ предоставляется, но включается активный мониторинг использования устройств и сервисов.
Специфическая особенность российского рынка – в сектор DLP-решений "пропихиваются" даже те продукты, которые функцию технического предотвращения утечки и близко не реализуют, опираясь, например, на ведение почтовых архивов или запись экранов рабочих станций. Активное развитие именно потребительских свойств, вспомогательных функций, а не функций обеспечения безопасности в задаче предотвращения утечек является основной спецификой большинства российских решений. С такой спецификой и привычкой использовать админресурс при агрессивном маркетинге за рубежом очень трудно продвигать свои решения.
Виолетта Красова
– Различия между российскими и зарубежными DLP-системами, конечно, есть. Прежде всего зарубежные системы в большинстве своем исторически фокусировали свое внимание на инцидентах, вплоть до того, что в архиве хранятся только события, на которые отреагировала система. Преимуществом данного подхода является фокусировка вендоров на предотвращении утечек в режиме реального времени. Но, используя данный подход, мы бесследно теряем возможность расследовать инцидент и возможность найти всех лиц, причастных к нему. Российские же DLP, напротив, "выросли" из почтовых архивов, к которым постепенно присоединялись инструменты поиска. Мы получаем полную картину событий и имеем возможность расследовать инцидент, даже если история его зарождения началась годами ранее. В данном подходе мы сталкиваемся и с минусами: хранение больших объемов данных и невозможность предотвращать инцидент. Но на данный момент вендоры российских DLP успешно справляются и с этими проблемами, облегчая аналитические функции, перенося их на агенты, а также предоставляя возможность сегментирования баз данных и отчуждения секций и т.д. И, конечно, нельзя не сказать о лингвистических и морфологических возможностях российских систем, говоря о применении DLP именно на российском рынке. Русский язык – один из самых сложных языков в мире: огромное количество словоформ, жаргонизмов, профессиональное арго и многое другое. Все это необходимо учитывать, анализируя коммуникационные потоки русскоговорящих людей. И преимущество российских систем в этом аспекте очевидно.
Лев Матвеев
– На Западе DLP – это в первую очередь Data Leak Prevention – система предотвращения утечек информации. Внедряемые DLP предназначены, чтобы без лишних усилий защититься от сливов данных и выполнить требования законодательства. Российские DLP – решают более широкий круг проблем.
Если объяснять на простых примерах: главный бухгалтер – азартный игрок на Forex; сотрудник, распространяющий наркотики в компании; менеджер по снабжению, проводящий закупки через собственные компании по завышенным ценам – эти случаи подпадают под определение "слив информации"? Скорее нет. По логике зарубежных конкурентов это не утечка и эти проблемы должны решаться другими системами. Мы понимаем, что клиенту необходим не только анализ "сливов", но, в принципе, работа с персоналом, предотвращение мошенничества и т.п.
Кроме того, российские системы "заточены" не только на предотвращение, но и на расследование инцидентов. Не всегда тот, кто совершает действие, является единственным выгодоприобретателем. И раскрутить всю цепочку – это также задача DLP.
Наша система фиксирует полную картину – до, после и во время нарушения. Проводит более качественный лингвистический анализ. Возможно, в нашем продукте не хватает красивых схем и анимации, но он дает конкретный результат. А это главное, что нужно бизнесу. Часто сталкиваемся с ситуацией, когда месячный пилот нашей DLP позволяет выявить и закрыть угрозы, которые система, имеющаяся у заказчика, игнорировала в течение нескольких лет.
Александр Суханов
– При разработке как DLP-систем, так и другого ПО российские вендоры в большинстве своем придерживаются мировых Best Practices. Поэтому принципиальных отличий в подходах нет. Но "близость" заказчиков и географическая, и по мировоззрению позволяет быстрее и качественнее формировать требования, получать конструктивную обратную связь и совершенствовать продукт под задачи рынка.
Владимир Ульянов
– Зарубежные DLP – прекрасно "заточенный" инструмент комплаинса. На российском рынке типовые зарубежные продукты не отвечают всем требованиям локальных заказчиков и не всегда готовы подстроиться. В то же время российские вендоры изначально лучше понимают специфику и потребности клиентов, а процесс разработки достаточно гибкий, вплоть до внесения необходимого функционала по желанию конкретных потребителей.
Сергей Вахонин
– Традиционно российский рынок находится немного "позади" мирового рынка, и в первую очередь рынка западного. За рубежом сценарий минимальных привилегий и ограничение пользователей, отсечение невостребованных для выполнения трудовых обязанностей устройств, каналов и сервисов, анализ содержимого в реальном времени – дело обычное и само собой разумеющееся. У нас же "благодаря" годам агрессивного маркетинга российских вендоров многие потребители предпочитают пассивный мониторинг, удовлетворяясь наблюдением за утечками и их расследованием. По мере роста как вендор неизбежно стремится выйти на рынки других стран, так и уровень требований потребителей также качественно растет. Отсюда и внезапное появление функциональных возможностей, которые еще вчера предавались анафеме с "логичными" объяснениями.
Максим Жарников
– На наш взгляд, DLP вынуждена постоянно лавировать между защитным функционалом "видеокамеры" и "забора". Полноценно зафиксировать поведение потенциального нарушителя можно, лишь применяя DLP в "подглядывающем" режиме видеокамеры. А явные блокировки нелегитимных действий в режиме "забора" приведут к "обнаружению себя" и последующему изменению модели поведения нарушителя и к поиску им путей обхода. В своей идеологии DLP делает ставку на сбор данных в ущерб блокировкам, предпочитая "знать, кто украл". Наш подход более бескомпромиссный: в отношении защищаемой информации должно быть запрещено все, кроме того, что в явном виде разрешено. Мы выбираем "знать, что никто ничего не украл".
Лев Матвеев
– Отвечать за других вендоров не могу. Мы же придерживались и придерживаемся стратегии, что бизнесу нужно гибридное решение. Чтобы была возможность блокировки либо только аудита. Баланс найти непросто. Нужно, чтобы система не вредила бизнесу. К примеру, небольшая задержка при пересылке письма (пока система проверяет его контент) допустима, но в мессенджерах она станет критичной. Ведь это сведет к нулю эффективность системы, и после нескольких жалоб ее просто отключат. То есть при блокировке крайне важна ее правильная реализация.
Наиболее успешная реализация блокировки – когда она выглядит как "дисциплинарная мера". Например, пользователь не может зайти на непрофильные сайты, запустить некоторое ПО, использовать личное устройство. Все остальное наблюдение ведется в режиме теневой копии с последующим качественным анализом. Тут важно, чтобы потенциальный инсайдер поверил в безопасность некоторых каналов, при этом система будет контролировать все.
Александр Суханов
– Блокировки бывают разными. Применение блокировок там, где есть конкретные критерии – тип канала или признак документа, обусловлен бизнес-задачами и успешно и давно реализуется. В то же время, например, алгоритмы на основе лингвистики на практике дают слишком большой поток ложноположительных срабатываний. Их целесообразнее использовать не для блокировок, а для мониторинга и ретроспективного анализа. Активная защита – эффективный метод предотвращения утечек, но применять ее надо без вреда для бизнеса.
Владимир Ульянов
– Каждый открытый канал коммуникации – это потенциальная угроза, которая сводит на нет усилия по построению комплексных системы защиты информации. Оставлять такие каналы нецелесообразно. Если канал не может контролироваться DLP, но может быть перекрыт другим способом, например средствами операционной системы, это тоже вариант сокращения рисков. Особенно если канал не нужен для бизнес-коммуникаций.
Сергей Вахонин
– На то существует целый ряд причин, как технических, так и коммерческих. Самая распространенная и неприятная причина – когда вендору есть что скрывать, когда маркетинговое описание продукта выглядит "красиво и вкусно", а на практике выясняется, что работает продукт не так, как заявлено в брошюрах, какие-то функции или вообще не работают или с существенными ограничениями. Другая значимая причина – повышенная сложность развертывания решения, требующая серьезной подготовки специалистов и предварительных "телодвижений" в части аналитики даже для запуска опорного функционала. Отсутствие времени и знаний у собственных специалистов заказчика также порой приводит к провалу пилота DLP-системы. В коммерческом плане, к сожалению, стоит отметить тенденцию заказчиков требовать длительные бесплатные "пилоты", приносящие вендорам только пустые затраты времени и сил.
Андрей Коган
– Это правильный подход. Так называемое "независимое исследование" – неоправданная трата сил и времени и со стороны заказчика, и со стороны разработчиков. Такое "исследование" сродни самолечению, когда покупается мешок лекарств – авось что-нибудь да подействует. И только разработчик, хорошо знающий свой продукт, понимает его эффективность и границы применимости. Практика показывает, что заказчик очень широко трактует сферу применения DLP: защита ценной информации, выявление утечек и нелояльно настроенных сотрудников, минимизация непроизводительного использования рабочего времени и т.д. А это ведь очень разные цели. Столь сложные программные решения, как DLP или EDRM, даже на этапе пилотного тестирования должны настраиваться специалистами, хорошо представляющими все нюансы своего продукта.
Виолетта Красова
– На данный вопрос хочется услышать ответ самих вендоров, прежде всего. Со своей стороны хочу заметить, что интеграторы, в частности, имеют в арсенале все продукты, реализуемые на рынке, и сравнения тоже есть. Другой аспект заключается в том, что сравнение DLP-систем по ряду общих критериев, не привязанных к задачам, которые необходимо решать заказчику, не помогут ему в выборе оптимального решения.
Справедливости ради, стоит заметить, что многие вендоры ставят на пилотное тестирование системы в параллель с конкурентными решениями. Это куда более эффективный метод сравнения, так как система находится в среде заказчика, решает конкретные задачи и работает с реальным трафиком. Во время пилотных проектов у заказчиков они могут в полной мере исследовать систему, более того, могут пройти обучение эффективного использования.
Лев Матвеев
– DLP – довольно сложный инструмент и потому требует перед использованием качественного обучения. Несмотря на простоту установки нашей системы – заказчик может сделать это сам за пару часов без использования технической документации – мы настаиваем на участии в этом процессе наших специалистов. Для нас важно убедиться, что все сделано правильно и заказчик доволен результатом. Обучение, консультации и помощь во время внедрения DLP лишней не будет. Наша практика показывает, что в таком случае клиент получает более качественный и быстрый результат.
Хотя есть у нас и такие заказчики, которые несмотря ни на какие плюсы предпочитают внедрять систему без чьей-либо помощи. Такой подход мы тоже понимаем.
Александр Суханов
– В нашей компании перед внедрением DLP-системы всегда проводится пилотный проект для оценки соответствия системы потребностям заказчика. В течение месяца заказчик сам полноценно работает с системой – в большинстве случаев за первую неделю удается выявить реальные инциденты и нарушения.
Владимир Ульянов
– На мой взгляд, это неправильно. DLP-системы – сложный корпоративный продукт, и понятно, что для его настройки и эффективной эксплуатации может понадобиться помощь разработчиков или консультантов. Обучение сотрудников заказчика вполне возможно за пару дней. Но если использование DLP вообще невозможно без внешнего вмешательства и вам не дают "пощупать" продукт – тут что-то не так. И именно поэтому я настоятельно рекомендую всем заказчикам начинать проект по DLP с пилотного внедрения, где можно вживую самому познакомиться с возможностями системы и опробовать ее в деле.
Сергей Вахонин
– Любые события, связанные с утечкой информации, и особенно если они случаются у самих разработчиков специализированных решений, повышают градус интереса и демонстрируют, что бывает, если организация не принимает никаких мер для защиты информации. В этом смысле информационные войны, конечно, благо. Вот сами методы ведения инфовойн с поливанием конкурентов грязью вызывают удивление и сожаление. В любом случае все события такого рода движут отрасль вперед.
Андрей Коган
– Полемика между конкурентами не должна выходить за рамки цивилизованного профессионального спора. Если какие-то инциденты требуют участия правоохранительных органов, для этого есть соответствующее правовое поле. Переход на личности и война компроматов не делают чести участникам таких "разборок". Это материал для желтой прессы, но никак не стимул для развития отрасли, IMHO.
Виолетта Красова
– Подобные войны, на мой взгляд, не имеют никакого значения для отрасли. Хорошие DLP-системы как лекарственные препараты, их не надо рекламировать, благодарные пользователи и так расскажут о них. Не стоит забывать также о том, что DLP-система не панацея, а украденная информация не обязательно “обошла” DLP. Способов утечки масса, именно поэтому информационная безопасность должна быть комплексной, а DLP является одним из инструментов.
Лев Матвеев
– Утечка информации не может быть благом – это всегда чей-то умысел или халатность, это всегда вред репутации, бизнесу. Естественно, для DLP-вендора утечка наиболее критична, ведь если мы не можем защитить собственные данные, как нам может доверять клиент? С другой стороны, никто на 100% не застрахован от утечек, и все представители сферы это прекрасно понимают.
Владимир Ульянов
– Мое мнение: конкуренция должна проходить в рыночных условиях и не выходить за рамки. Что касается утечек информации, абсолютно защищенных компаний и на 100% надежных продуктов не бывает, всегда есть факторы риска.
Сергей Вахонин
– Оценивая перспективы развития DLP, сразу отмечу: здесь не стоит говорить о "развитии" путем добавления новых контролируемых каналов передачи данных. Это не развитие, а обеспечение соответствия актуальным угрозам и рискам. Реальная перспектива – это появление гибридных полнофункциональных DLP-систем, когда уровень контроля будет равным в любом сценарии применения, что при контроле на уровне рабочих станций, что при перехвате трафика на уровне сетевых серверов или шлюзов. Будут развиваться и усложняться аналитические инструменты и методы контентной фильтрации. Еще одно перспективное направление – сращивание DLP с другими средствами инфобезопасности или их прозрачная интеграция.
Максим Жарников
– С той поры как оформилась потребность в защите электронных конфиденциальных данных, отрасль DLP проделала большой эволюционный путь. Изменились сами подходы к проблеме утечек, сместился фокус. На сегодняшний день некоторые из задач "раннего" DLP, например блокирование сообщений, вероятно содержащих ценные данные, отложены в сторону, а современные решения все более "затачиваются" под сбор доказательной базы для расследований. Вместе с тем задача защиты ценных данных от утечки по-прежнему актуальна, и ответом на этот запрос могут служить решения класса EDRM, дающие гарантированный, а не вероятностный результат защиты. А решения "классической" DLP все чаще расшифровывают эту аббревиатуру как "Диагностика Лояльности Пользователей" и мигрируют в сторону UEBA (User and Entity Behavior Analytics).
Лев Матвеев
– DLP постепенно захватывают соседние сферы – SIEM, СУРВ, MDM, системы управления правами доступа и пр. Видно, что вендоры нацелены создать систему, которая аккумулирует в себе возможности продуктов другого класса, будет выполнять больше задач и рутинной работы. Конечная цель – упростить работу специалистам по информационной безопасности. Приоритетное направление в ИБ – работать на упреждение.
Именно поэтому мы к концу 2017 г. собираемся реализовать методики профайлинга на базе нашей DLP. Это, по сути, уникальная функциональность, которой нет у других систем. Но польза ее очевидна: профайлинг позволяет действовать на упреждение, используя психологию для борьбы с внутренними рисками и угрозами ИБ.
Работа профайлера требует много времени, сил и специальных знаний. Мы хотим автоматизировать часть рутинных действий и сделать ее доступной для любого специалиста по безопасности.
Александр Суханов
– DLP так и будут развиваться в направлении автоматизации действий безопасников по контролю инсайдерской деятельности и увеличению контролируемых каналов возможной утечки информации. Это приводит нас к развитию динамического профилирования, появлению машинного обучения DLP-систем для оперативного выявления инцидентов безопасности с минимальным вмешательством человека.
Владимир Ульянов
– Перспективы я вижу в расширении функционала и охвата угроз. Спектр актуальных внутренних угроз шире, чем возможности классических DLP. К примеру, DLP-системы игнорируют угрозу, исходящую со стороны привилегированных пользователей – этим отдельно занимаются PAM-системы. Кроме того, меняется сам профиль современных угроз – злоумышленники часто используют несколько векторов в рамках сложных направленных атак.
Технологически DLP достигли высокого уровня зрелости. Лучшие образцы имеют более 10 различных технологий детектирования и классификации информации. Но современные угрозы требуют расширять возможности продуктов, чтобы закрыть все возможные способы утечки информации. Поэтому в ближайшем будущем в DLP будет интегрирован функционал PAM, SWG и других классов решений по безопасности.
Алексей Плешков
– Технически DLP как отдельно стоящий класс решений в настоящее время используется редко. Вызвано это в первую очередь тем, что в организации жизненный цикл инцидента, связанного с утечкой информации, не начинается и не заканчивается выявлением события с признаками инцидента в DLP. Поэтому DLP стала подсистемой (компонентой) в сложной цепочке мониторинга событий, идентификации участников/каналов и предотвращения вероятных утечек. При этом специалисты по защите информации в меньшей степени делают акценты на прямом запрете и активной блокировке утечки (в силу частого возникновения ошибок первого и второго рода в DLP), а все чаще фокусируются на контрольных функциях DLP и возможностях точечной идентификации участников событий в периметре защиты постфактум (в минимально возможные сроки), вне зависимости от причин и следствий такого рода событий. Понимание потенциальными нарушителями того, что все их действия отслеживаются службой ИБ и наличие актуальных примеров выявления инцидентов и привлечения работников к ответственности за попытки кражи и/или разглашения чувствительной информации оказывают больший эффект для бизнеса, чем политика выстраивания барьеров и закрытых дверей.
Константин Саматов
– На мой взгляд, с точки зрения применения DLP-решений следует обратить внимание на так называемую кроссплатформенность . Большинство существующих на рынке DLP-решений "заточены" на применение в среде операционных систем MS Windows. При этом современные тренды в ИТ-индустрии смещают акценты в пользу Unix (Linux) систем. Кроме того, расширяется внутренний периметр организации: в современных компаниях сейчас существует масса работников, использующих корпоративные мобильные устройства, а значит, требуется контроль за устройствами, работающими на мобильных операционных системах.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2017