Гибридные DLP-системы

Сергей Вахонин, директор по решениям ЗАО “Смарт Лайн Инк”
Сергей Сурков, инженер-аналитик ООО “Микроолап Текнолоджис"

Типизация DLP-систем

Прежде чем перейти к объяснению преимуществ и области применения гибридных DLP-систем, стоит обозначить типы существующих DLP-решений, определиться с их ключевыми компонентами, принципами действия, возможностями и назначением.

По архитектурному исполнению основных компонентов выделяются два типа: Network DLP, где анализ всего сетевого трафика выполняется на уровне шлюза доступа в Интернет, и Endpoint DLP, где большинство функций, а в некоторых наиболее продвинутых случаях и все функции контроля выполняются исполнительными агентами на рабочих станциях.

В соответствии с методами работы систем можно выделить два условных класса: активные системы, предназначенные для предотвращения утечек данных, и пассивные системы, которые позволяют зафиксировать инцидент, выявить его и оповестить заинтересованных лиц, но не предотвращают сами утечки.

Активные системы устанавливаются "в разрыв" между действиями пользователей и событием утечки информации, что позволяет выявлять и блокировать передачу конфиденциальной информации, а значит, и предотвращать ее утечку. Такой сценарий применения DLP предполагает наличие четко формализованной политики ИБ в компании, чем, к сожалению, похвастать могут не многие. Безусловно, такой вариант не самый простой в реализации, если использовать не только контекстные контроли для ограничения доступа к каналам передачи данных, не востребованным по работе, но и контентную фильтрацию, поскольку требует тщательного продумывания, создания формализованной политики ИБ в целом. Пассивные системы не влияют на сетевую инфраструктуру и не создают явных помех в бизнес-процессах сотрудников, но сводят роль службы безопасности к созерцательному наблюдению за утечками, а предотвращение утечек достигается разве что методами практической психологии, или попросту запугивания. При использовании пассивных DLP-решений необходимо накапливать доказательную базу и работать с большими объемами данных.

Стоит отметить, что режим пассивной работы для "активных" DLP-решений также подразумевается – никто из разработчиков не предлагает "только блокировки", всегда есть вариант мониторинга событий без блокировки доступа. Более того, эффективная подсистема журналирования, теневого копирования и тревожного оповещения принципиально необходима для любого DLP-решения как инструмент обеспечения аудита событий информационной безопасности и расследования инцидентов, связанных с утечками данных. Другой вопрос, что не все системы обладают на текущий момент технической возможностью предотвратить утечку данных, отчего и следует выделять активные и пассивные системы…

Endpoint DLP

Для обнаружения и предотвращения утечек информации в системах типа Endpoint DLP предполагается контроль всех каналов передачи этой информации, включая контентную фильтрацию, непосредственно на контролируемой рабочей станции. Некоторые каналы можно контролировать лишь на стороне клиента, т.е. только с использованием Endpoint-агентов: это прежде всего съемные накопители, принтеры, прочие устройства, мессенджеры и другие сетевые сервисы с использованием End-to-End шифрования (Telegram, WhatsApp, Viber, Dropbox, др.). Заметим, что даже в теории задачу контроля таких сервисов весьма сложно и реализовать, и поддерживать.

Именно Endpoint DLP отлично справляется с работой в активном режиме, когда необходимо блокировать передачу конфиденциальной информации. Однако при этих очевидных преимуществах повсеместная установка End-point-агентов влечет за собой и следующие проблемы:

• Endpoint DLP служит преимущественно для работы под ОС Windows;
• от идеи установки Endpoint-агентов на личных мобильных устройствах пользователи обычно не в восторге, а предоставление им рабочих мобильных устройств возможно не всегда;
• чем больше функциональных возможностей агента задействовано, тем выше нагрузка на рабочие станции. Одно оптическое распознавание изображений (OCR) в сочетании с морфологическим анализом текста на рабочей станции уже может дать под 100% загрузки;
• для контроля над некоторыми каналами передачи данных на стороне Endpoint DLP необходимо обращаться в оперативную память приложений, внедрять локальный MiTM-Proxy или использовать другие технологии, потенциально конфликтующие с работой этих приложений либо ОС в целом.

Итак, силами Endpoint DLP можно контролировать, причем с возможностью предотвращения утечки информации, большинство каналов передачи данных на контролируемых агентами устройствах, что невозможно с использованием любых других компонентов DLP-системы. Однако конструктивные недостатки в некоторых случаях вынуждают ограничить использование Endpoint DLP зонами особого контроля либо контролем только над теми каналами передачи данных, которые невозможно ни закрыть, ни контролировать другими средствами (End-to-End-шифрование, физические порты).

Network DLP

Согласно статистике, немалая часть утечек приходится на электронную почту и Web-ресурсы, куда входят Web-почта, в том числе Web-интерфейсы корпоративной электронной почты, социальные сети, форумы и блоги, файлообменные сети и облачные хранилища, мессенджеры. Задача контроля электронной почты и сетевых сервисов часто возлагается на сетевой компонент DLP-систем, который присутствует в большинстве DLP-решений, а в большинстве российских является ключевым.

Из достоинств Network DLP стоит перечислить возможность контроля трафика для любых ОС и устройств, в том числе с мобильных устройств; контроль над новыми устройствами в сети, на которых Endpoint-агент еще не установлен; отсутствие нагрузки на рабочие станции и мобильные устройства пользователей.

Однако есть и существенные недостатки:

• если сетевой компонент DLP-системы установлен "в разрыв" доступа в Интернет и предполагает активный режим работы с блокировкой передачи данных, то ошибки в политике безопасности, проблемы с оборудованием или ПО DLP-системы приводят к полной или частичной блокировке действий организации;
• сетевые DLP не позволяют решать проблемы Certificate Pinning и проприетарного End-to-End-шифрования, оставляя бесконтрольными самые популярные современные коммуникационные приложения и облачные хранилища;
• все больше Web-сервисов уходят в сторону SSL/TLS-шифрования, исключая возможность анализа событий.

В случае шифрования SSL/TLS возможны два решения:

1. интеграция с продуктами для вскрытия SSL/TLS-трафика. Самая популярная технология – подмена сертификатов, Man-in-the-Middle, но такое решение необходимо устанавливать "в разрыв", что сложно сделать в крупных компаниях из-за повышения риска нарушения бизнес-процессов;
2. контроль шифрованного трафика на уровне Endpoint-агента. Такое решение имеет два существенных минуса. Во-первых, для качественного анализа основных Web-сервисов необходимо иметь большой набор детекторов. Во-вторых, Web-сервисы регулярно меняют свои API и характерные метаданные, в результате чего необходимо регулярно обновлять агенты.

Всеобъемлющий DLP-контроль принципиально недостижим для Network DLP, включая, кстати, и шлюзовые DLP-устройства, потому что они не могут контролировать ни утечки через локальные порты ПК, ни через сервисы с проприетарным шифрованием, да и вообще никакие каналы не могут контролироваться, если компьютер (например, ноутбук) работает без подключения к корпоративной сети.

Гибридные DLP-системы

Идея интеграции качественных узкоспециализированных продуктов и создания на их базе универсального функционального решения, удовлетворяющего современным потребностям, не нова, ей больше 10 лет. В Интернете можно найти множество сравнительных обзоров отечественных и импортных DLP-систем, показывающих более-менее одинаковую функциональность. Это позволяет сделать вывод, что разница в DLP-системах сводится к смещению функциональности между ее компонентами, а также качеству решения ключевой для DLP задачи – обеспечения полноты DLP-контроля для всевозможных вариаций, механизмов и сценариев утечки по всем потенциальным каналам утечки данных.

В большинстве российских DLP-систем ключевым является компонент Network DLP, как правило работающий в пассивном режиме, и практически всегда присутствует Endpoint-агент для решения отдельных задач – контроля устройств и отдельных Web-сервисов. Однако наличие в системе агента – еще не признак гибридной DLP, это всего лишь разнесение разных функций контроля по разным компонентам.

Идея гибридной DLP-системы заключается в оптимальной интеграции двух или более продуктов классов Network DLP и Endpoint DLP таким образом, чтобы эффективно использовать сильные стороны обоих компонентов в различных сценариях. Задачей Network DLP является контроль разрешенных для использования сотрудниками сетевых каналов передачи данных при нахождении пользователя внутри корпоративного периметра, сбор доказательной базы, обнаружение ИБ-инцидентов – и все это без создания повышенной нагрузки на рабочие станции. При этом агенты Endpoint DLP устанавливаются на все рабочие станции, обеспечивая контроль съемных накопителей, канала печати, сетевых приложений с Certificate Pinning или End-to-End-шифрованием, других Web-каналов при необходимости их контроля с возможностью контентного анализа и предотвращения утечки. Желательно, чтобы имелся единый интерфейс если не настройки, то хотя бы просмотра результатов работы систем. При использовании раздельных решений разных классов появляется возможность создания тонкой политики безопасности, что ведет к снижению числа ложных срабатываний и повышению точности выявления инцидентов, а это уже автоматизация и снижение необходимого времени работы с DLP-системой.

Очевидно, что появление на рынке гибридных полнофункциональных DLP-систем, позволяющих добиваться равных уровня и эффективности контроля при любом сценарии применения (и при контроле на уровне рабочих станций, и при перехвате трафика на уровне сетевых серверов или шлюзов), – дело обозримого будущего. Первым таким примером создания гибридной DLP на российском рынке является интегрированное решение DeviceLock DLP + EtherSensor от компаний Смарт Лайн Инк и Микроолап.

Online/Offline-политики Endpoint-агентов DeviceLock DLP позволяют автоматически включать полную функциональность в случае выхода пользователя с ноутбуком или мобильным устройством за пределы корпоративной сети, отдавая при этом контроль сетевых сервисов для решения задачи мониторинга системе EtherSensor, когда пользователь подключен к корпоративной сети. Все данные, перехваченные EtherSensor, передаются на хранение в сервер DeviceLock DLP и могут анализироваться и обрабатываться посредством штатных инструментов анализа и полнотекстового поиска в DeviceLock DLP.

Использование лучших практик Network DLP и Endpoint DLP в интегрированном решении DeviceLock DLP + Ether-Sensor позволит значительно повысить количество и качество отслеживаемых событий при решении задачи предотвращения утечки в любых сценариях работы сотрудников.

СМАРТ ЛАЙН ИНК, АО
107140, Москва,
1-й Красносельский пер., 3,
пом. 1, ком. 17
Тел.: (495) 647-9937
Факс: (495) 647-9938
E-mail: ru.sales@devicelock.com
devicelock.com/ru
www.smartline.ru