В рубрику "DLP" | К списку рубрик | К списку авторов | К списку публикаций
В условиях принципиального снижения контролирующей роли сетевого периметра корпоративная инфраструктура как таковая перестала быть главной целью кибератак. Профиль угроз сместился в сторону Data-центричности, когда внешние атаки направлены на завладение корпоративными данными, в отличие от популярных в прошлом сете-центричных угроз, когда основные атаки были направлены на внесение помех в работу периметра, компрометацию устройств его защиты, проникновение внутрь сети и совершение там различных деструктивных акций типа "вырубить электричество всем серверам и заодно всем лифтам в здании", чтобы потом хвастаться этим в хакерских чатах и сообществах.
Механизмы современных атак на данные реализуются на уровне выше сетевого – на уровне либо уязвимостей прикладного программного обеспечения, либо слабой дисциплины и низкой грамотности пользователей. Попросту говоря, нет смысла атаковать корпоративный файерволл, если он не мешает "взломать" компьютер в корпоративной сети на уровне приложений, например фишингом в почте.
С другой, потребительской стороны, день ото дня неизмеримо возрастают доступность пользователя и значимость его дисциплины при использовании корпоративных данных. Это связано с процессом кон-сьюмеризации корпоративных ИТ-технологий – внедрением в корпоративный сектор технологий и сервисов широкого потребления для решения бизнес-задач, в частности переговоров с клиентами, субподрядчиками, партнерами и т.п., а также с тем фактом, что пользователи работают на End-point-устройствах, включающих в себя корпоративные рабочие станции и ноутбуки, тонкие клиенты, домашние компьютеры и, наконец, BYOD-устрой-ства. Все эти устройства позволяют полноценно создавать, обрабатывать, хранить и передавать корпоративные данные.
Пользователь становится центром в информационных процессах и корневым узлом распространения данных, используя "ширпотребовские" устройства и сетевые сервисы. При этом, поскольку многие сетевые сервисы и приложения используют проприетарные средства шифрования и защиты от вмешательства извне, периметры корпоративной сети становятся прозрачными для внешних бизнес-коммуникаций, отпадает возможность их контролировать на периметре сети брандмауэрами, UTM-и прочими устройствами сетевой защиты.
Как следствие, наиболее эффективным способом предотвращения утечки информации является контроль потоков данных именно на используемых сотрудниками оконечных устройствах в любых сценариях их применения, как внутри, так и за пределами корпоративной сети. Такой всеобъемлющий контроль принципиально недостижим для сетевых устройств ИБ, включая, кстати, и шлюзовые DLP-устройства, потому что они не могут контролировать ни утечки через локальные порты ПК, ни через сервисы с проприетарным шифрованием; да и вообще никакие каналы не могут контролироваться, если компьютер (например, ноутбук) работает без подключения к корпоративной сети.
Активно продвигаемый некоторыми DLP-вендорами "метод противодействия" утечкам, концепция которого заключается в правиле "выявить утечку и наказать виновного", не является действительно продуктивным в плане предотвращения утечки – никакое наказание нерадивого сотрудника не отменит факт попадания данных ограниченного доступа в чужие руки и не остановит злоумышленника, если стимул будет достаточно велик. К сожалению, расследование уже случившихся утечек никак не минимизирует риски с технической точки зрения – разве что за счет психологического воздействия на персонал.
В случае с DLP-решениями суть полноценного контроля – инспекция, детектирование, анализ на соответствие с политикой; конечный результат – принятие решения. Какого решения? Решением может быть запрет или разрешение использования определенных каналов перемещения информации для определенных групп пользователей в реальном времени, в том числе в зависимости от содержимого файлов и данных, чатов, писем, а также регистрация попыток использования и фактов передачи данных и т.д. У службы ИБ должен быть инструментарий для задания параметров принятия такого решения и инструментарий для выполнения решения. Тогда и только тогда можно говорить о том, что установлен полноценный контроль каналов передачи данных.
Ключевым показателем для полнофункциональной DLP-системы должно быть качество решения ключевой для DLP задачи – предотвратить утечку данных. Это означает, что решение должно в первую очередь обеспечивать нейтрализацию наиболее опасных векторов угроз утечки информации – тех, которые исходят от обычных инсайдеров или связаны с их поведением. Негативное влияние угроз должно быть снижено в дополнение к нейтрализации ключевых угроз посредством мониторинга и контроля всех основных каналов утечки информации во всех сценариях, связанных с этим вектором угроз.
Среди представленных на мировом рынке одним из лучших и единственным российским решением класса End-point DLP, обладающим полным функционалом в соответствии с рассмотренными угрозами, является DeviceLock DLP. Благодаря использованию DeviceLock DLP предотвращаются хищения информации внутренними нарушителями через съемные накопители, диски и другие подключаемые внешние устройства, а также через канал печати, электронную почту, мессенджеры, файлообмен-ные сервисы и т.д. Кроме того, поддержка DeviceLock DLP событийного протоколирования и теневого копирования обеспечивает юридическую документируемость и доказательность фактов попыток доступа и копирования конкретных данных. С помощью комплекса DeviceLock DLP реализуются разнообразные сценарии противодействия утечкам данных ограниченного доступа через сетевые коммуникации и локальные каналы – от тотального запрета использования отдельных каналов и устройств до пассивного режима наблюдения, когда ведется только мониторинг передаваемых данных с последующим выявлением инцидентов. Между этими крайностями лежат любые сочетания блокировки и протоколирования, включающие выборочное разрешение или блокировку передачи файлов по контролируемым службой ИБ каналам для отдельных пользователей и групп в сочетании с контентной фильтрацией в реальном времени – анализом содержимого передаваемых документов и данных, в том числе определенного типа, размера и содержания. В арсенале возможностей комплекса также теневое копирование только представляющих интерес для службы ИБ файлов и данных, тревожные оповещения по значимым событиям, автоматическое сканирование рабочих станций и сетевых хранилищ и многое другое.
Новая версия DeviceLock DLP 8.2, опубликованная в мае 2017 г., предлагает новые функциональные возможности для борьбы с утечками данных: контентную фильтрацию с анализом адресов и идентификаторов отправителей и получателей в почтовой переписке и мессенджерах; автоматический инкрементальный полнотекстовый поиск по архиву теневых копий по заданному расписанию; раздельный сбор журналов и теневых копий от пользователей на назначенные пользователям серверы; интерактивный граф связей, позволяющий просмотреть и визуализировать связи между пользователями внутри организации и с внешними пользователями; многое другое.
* На правах рекламы
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2017