Какой должна быть DLP?

Что требуют клиенты

Для наших клиентов DLP-система является одним из инструментов управления рисками информационной безопасности. С одной стороны, этот подход ставит задачей DLP-систем снижение бизнес-рисков, связанных с утечками данных ограниченного доступа. С другой стороны, организациям необходимо минимизировать расходы на приобретение и эксплуатацию таких систем (Total Cost of Ownership – TCO). Оба требования важны, и их сбалансированная реализация обеспечивает управляемость рисками ИБ.

Настоящая статья посвящена тем основным бизнес-критериям и требованиям при выборе DLP-системы, которые определяют ее функциональные возможности предотвращать утечки данных. Критерии и требования, влияющие на совокупную стоимость владения (TCO) системами DLP, будут рассмотрены во второй статье цикла.

Использование управления рисками как парадигмы выбора технического решения предполагает формирование нескольких ключевых критериев бизнес-уровня, используемых затем для выработки основных функциональных требований к DLP-системам.

У организаций-клиентов "Смарт Лайн" ключевые бизнес-критерии выбора DLP базируются на следующих положениях:

• В целях минимизации возможных утечек данных DLP-решение должно в первую очередь обеспечивать нейтрализацию наиболее опасных векторов угрозы утечки информации.

• Негативное влияние угроз должно быть снижено в дополнение к нейтрализации ключевых угроз посредством мониторинга и контроля всех основных каналов утечки информации во всех сценариях, связанных с этим вектором угроз.

• Для каждого защищенного канала превентивный контроль должен быть как можно более полным, эффективным и надежным. Полнота контроля прямо зависит от того, все ли возможные варианты механизмов утечки данных для этого канала находятся под контролем или только некоторые из них. Эффективность DLP-решений определяется их производительностью. Наконец, надежность в контексте DLP означает защищенность от вмешательства пользователя в работу решения – т.е. защиту от преднамеренных или случайных действий пользователя, направленных на прекращение нормальной работы DLP-системы или изменение заданных службой ИБ политик контроля.

•l Поскольку полностью избежать инцидентов с утечками данных невозможно в принципе, выявленные инциденты должны быть проанализированы для выявления нарушителей, а обстоятельства и факторы возникновения должны быть учтены для разработки соответствующих мер противодействия в дальнейшем. Не менее важным является и анализ предотвращенных попыток противоправных действий с корпоративными данными. Возможность облегчения и автоматизации этих процессов является еще одним ключевым фактором для DLP-решения.

Каждый из перечисленных высокоуровневых критериев может быть связан с функциональными требованиями к DLP-решениям.

Наиболее значимые утечки связаны с инсайдерами

Наши клиенты видят наибольшую угрозу утечки данных в процессах обработки данных ограниченного доступа пользователями корпоративных ИС (включая сотрудников, подрядчиков, партнеров и др.) в ходе выполнения их рабочих задач.

Почему же корпоративные инсайдеры создают так много проблем? По той причине, что, с одной стороны, именно они создают, используют и хранят конфиденциальную информацию. Но с другой стороны, человеческая природа неизменна, и инсайдеры так и будут допускать случайные ошибки, будут любознательными, небрежными. Будут намеренные проступки. Будут продажи корпоративных секретов. Наконец, будут жертвы социальной инженерии (например, фишинга).

Во всех этих случаях действия инсайдера могут повлечь утечку данных: например он может скопировать конфиденциальную информацию на съемный накопитель, переслать по электронной почте другому получателю, залить на файлообменный облачный сервис с открытым доступом "для всех".

Рынок и отраслевая статистика полностью подтверждают мнение наших клиентов – большинство зарегистрированных случаев утечки данных действительно связаны с инсайдерами. Важно отметить, что не все инциденты были инициированы самими инсайдерами – но многие утечки стали возможными благодаря внешним факторам, в том числе социальной инженерии и взлому.

Бизнес также требует, чтобы все эти DLP-функции в равной степени защищали не только пользователей внутри корпоративного периметра (в офисе), но и работающих вне офиса – в путешествии, дома или в отпуске.

Ключевой посыл, который мы слышим от наших клиентов, – "самое важное, что должно уметь DLP- решение – это остановить инсайдерские утечки данных в любом сценарии".

Превентивный контроль: качество, эффективность и надежность

Качество превентивных DLP-контролей в канале потенциальной утечки зависит от их полноты – т.е., насколько много возможных вариаций, механизмов и сценариев утечки предотвращает DLP-система в данном канале передачи данных. Вот несколько примеров, поясняющих критичность полноты контроля:

• SMTP-почта: инспекция содержимого (контента) исходящих сообщений и вложений для любого почтового SMTP-клиента, а не только для MS Outlook, Thunderbird и IBM/Lotus Notes;
• Web-почта: инспекция контента исходящих сообщений и вложений при использовании любого Web-браузера, а не только Internet Explorer, Firefox и Chrome;
• Instant Messengers: инспекция контента не только отправляемых файлов, но и исходящих сообщений.

Для эффективного предотвращения утечек данных необходимо, чтобы как контекстные, так и контентно-зависимые механизмы могли быть гибко и вариативно использованы в DLP-политиках. Проще говоря, первоначально разрешенное использование различных каналов передачи данных (контекст передачи) должно быть ограничено до приемлемого минимума, не нарушающего бизнес-процессы. И уже затем для блокировки передачи данных, утечка которых недопустима, используется проверка содержимого – контентная фильтрация.

При этом также следует иметь в виду, что даже самая высококлассная DLP-система будет бесполезной, если не может защитить сама себя от умышленных действий инсайдера, направленных на вмешательство в работу DLP или ее остановку. Поэтому наши клиенты требуют, чтобы DLP-система обеспечивала надежную защиту от вмешательства пользователей, в том числе с правами локальных администраторов.

DLP для аудита и инцидент-менеджмента в ИБ

Для обеспечения аудита событий информационной безопасности и расследования инцидентов, связанных с утечками данных, DLP-решение должно обладать эффективной подсистемой журналирования, теневого копирования и тревожного оповещения.

При этом такая подсистема должна обладать следующими качествами:

• централизация и высокая доступность, обеспечиваемая поддержкой множества серверов и отказоустойчивой централизованной базой данных;
• автоматический сбор данных в централизованную БД, адаптивный к изменениям в сетевом окружении и текущей доступности инфраструктурных компонентов DLP-системы;
• создание полных копий объектов данных, нарушающих DLP-политики и вызвавших срабатывание функций предотвращения утечки;
• тревожные оповещения для корпоративных SIEM-систем и администраторов безопасности о значимых событиях в режиме реального времени;
• наличие инструментария для облегчения анализа собранных данных.

Здесь хотелось бы особо отметить, что наличие множества аналитических инструментов, выполненных в высококачественной графике и позволяющих рисовать разные "картины" и "досье", будет бесполезным, если им будет нечего анализировать или анализ будет строиться по ограниченному набору контролируемых каналов передачи данных.

Важно не особенное, а необходимое

Подводя заключение к вышеприведенным ключевым функциональным требованиям к DLP-решениям, определенным нашими клиентами, следует сказать, что ничего экзотического в основных требованиях нет, это типичные требования для DLP-индустрии от корпоративного рынка.

Главное для клиентов – чтобы все аккуратно сформулированные ими по принципу "ничего не забыть" основные функциональные требования к DLP-решению были полностью поддержаны в выбранном продукте, доступном на рынке в уже реализованном виде, а не в перспективе или с оговорками. Однако реальность далека от идеала – многие предлагаемые DLP-системы не удовлетворяют требованиям полностью. И здесь с удовлетворением хочу заметить, что наш продукт – DeviceLock DLP – удовлетворяет этим основным требованиям с высокой степенью полноты.

* На правах рекламы