В рубрику "Защита информации и каналов связи" | К списку рубрик | К списку авторов | К списку публикаций
Даже продукты для мониторинга активности пользователей (запись экранов, клавиатурного ввода и т.п.) маркетологи пытаются представить как DLP-средства.
Давайте рассмотрим примеры, когда продукты, причисляемые к классу DLP, не выполняют базовые функции для предотвращения утечек данных.
Первое – это контроль каналов передачи данных и то, что маркетологи пытаются выдать за контроль. В DLP-решениях декларируется контроль электронной почты, печати, Web-почты, мессенджеров, социальных сетей и сменных носителей (USB-флешек и т.п.).
В большинстве представленных на российском рынке DLP-продуктов заявленный "контроль" следует понимать как возможность перехвата и архивирования сообщений и файлов без возможности принятия решения о блокировании или разрешении непосредственно в момент совершения пользователем действия с данными. То есть если в пересылаемых файлах обнаружилась критичная информация, вы об этом узнаете, когда данные уже будут переданы. Следует отметить, что некоторые продукты все же позволяют полноценно контролировать данные для электронной почты, оставляя все остальные пути утечки на откуп последующему расследованию. Приведу пример: файл, содержащий номера кредитных карт, пытаются переслать внешнему адресату по электронной почте, DLP-система обнаруживает номера карт в файле и блокирует письмо; тогда пользователь отправляет этот же файл через Skype, о чем данная DLP-система сообщит уже после того, как файл покинет периметр.
Отдельно следует отметить, что даже архивирование (теневое копирование) данных во многих DLP-продуктах является неполным. Скажем, перехват файлов в мессенджерах типа Telegram работает, а сообщений в этих же мессенджерах – нет.
Некоторые DLP-решения пропускают мимо заархивированные файлы. И даже если заявлен контроль внутри архивов, он не всегда действенен в случае большого количества файлов в архиве.
Часто DLP-продукты не способны сохранять почту в DLP-архив, если используются "нестандартные" почтовые клиенты, такие как Mozilla Thunderbird. Это означает, что данные решения не контролируют почтовые протоколы (SMTP, MAPI, IMAP и т.д.), а заточены на конкретные приложения (например, MS Outlook).
Существует много решений, в которых заявлен контроль Web-ресурсов (Web-почта, облачные хранилища и т.д.) только для поддерживаемых браузеров (например, Internet Explorer и т.д.). Любой HTTP-агент, не указанный в списке поддерживаемых, сможет осуществлять неконтролируемые действия с Web-сервисами. Хочется отметить, что часто бывает достаточно изменить локальную папку синхронизации файлов у приложения облачного хранилища (например, Dropbox), чтобы средство предотвращения утечек перестало это хранилище контролировать.
Что касается контроля печати документов, то тут все то же самое – контроль печати на деле оказывается сохранением копии печатаемого документа в архив для последующего анализа, без возможности блокирования на лету.
Второй пример – это подмена понятий, когда наблюдение за действиями пользователей (UAM) выдается за средство предотвращения утечек информации. UAM-решения записывают всю активность пользователей на компьютере (снимки экранов, клавиатурный ввод и т.д.) и позволяют анализировать продуктивность работы или собрать доказательства про тому или иному инциденту. Но опять же весь этот анализ не способен остановить утечку данных, а служит лишь доказательной базой по уже свершившемуся факту утечки.
Третье и последнее – это способность DLP-продукта противодействовать попыткам помешать его работе. Проще говоря, может ли пользователь отключить DLP-агент на своем компьютере, особенно учитывая тот факт, что наличие прав локального администратора у пользователя – это частая ситуация в реальной практике. В некоторых DLP-продуктах заявляется возможность противодействовать таким пользователям.
Часто защита обходится путем отключения служб DLP-агента штатными средствами администрирования Windows и удалением его драйверов. Более "продвинутые" DLP легко отключаются при помощи доступных бесплатных утилит.
Читая описания DLP-продуктов, не забывайте, что работа маркетологов – написать много красивых слов ради привлечения внимания, а не расписывать в деталях технические особенности продукта. Доверяя – проверяй. Требуйте возможность провести собственное независимое тестирование без участия разработчика или интегратора, анализируйте не только сильные стороны решения, но и его недостатки. Не исключено, что именно пропущенный "благодаря" вере в красивую брошюру недостаток в итоге станет причиной утечки данных.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2017