Tres letras mágicas DLP durante el año pasado se han vuelto muy populares en el campo de la tecnología de la información y la seguridad de TI. Puedes descifrarlos de diferentes maneras.
Wikipedia presenta hasta cuatro opciones de descifrado, dos de las cuales - Digital Light Processing y Disneyland Paris - desmantelamos por razones de lógica elemental, y las otras dos - Prevención de pérdida de datos y Prevención de fuga de datos - eche un vistazo más de cerca. De hecho, ambas abreviaturas describen lo mismo: proteger la información de que un atacante interno o una persona interna la saque de la empresa. ¿Por qué podría ser esto necesario?
La seguridad concierne a todos
Caso 1. Vendedor ofendido.
Ivan Alexandrovich, el director de una gran compañía de distribución, con razón (¿o injustamente?) Despide al jefe del departamento, Petra. Ofendido Peter, en venganza por la decisión de la gerencia, decidió estropear el negocio para su ex empleador y compartir su base de clientes con sus competidores. Con un solo clic, envía la base de datos a su familiar director comercial Sergey a través de un servicio público de correo electrónico, y después de cinco minutos, por si acaso, la transfiere a su unidad flash junto con documentos sobre el precio de compra de los bienes. Como resultado, diez minutos de su sabotaje estropearon significativamente los últimos años de arduo trabajo en toda la empresa.
Caso 2. Insider.
Ivan Aleksandrovich, ya familiar para nosotros, después de que todas las consecuencias del acto de Peter se experimentaron con éxito, aún continúa notando que los asuntos de la compañía no se esfuerzan por mejorar. En el 90 por ciento de las licitaciones y concursos en los que participa su empresa, ganan los competidores, que parecen conocer las condiciones en que se declaran los empleados de Ivan. Los consultores convocados por él realizan una auditoría utilizando tecnologías DLP y descubren que el secretario favorito del chef Snezhan cada vez que recibe la documentación de la oferta, o la envía al ya conocido director comercial Sergey, o la copia en su unidad flash. Además, en su computadora de trabajo, en una carpeta comprimida, encontró una copia completa de los documentos sobre las transacciones bancarias de la compañía durante el año pasado. El secretario es despedido, los consultores son recompensados, el sistema DLP se está introduciendo en la empresa.
Cualquier crimen es más fácil de prevenir que de rastrillar sus consecuencias. La palabra clave "prevención" es Prevención y caracteriza el objetivo principal de los sistemas DLP: Prevención de pérdida / pérdida de datos (protección de pérdida / pérdida de datos).
Según el enunciado del problema, debemos detectar las acciones prohibidas de Peter o Snezhana y no permitir que se completen. ¿Cómo hace esto un sistema DLP?
Gran Hermano te está mirando
La protección de la información es un complejo de medidas. Determinamos cómo Snezhana y Peter eliminarán la base de datos y tomaremos el control de estas áreas de sus actividades o canales de fuga utilizando diversos elementos del complejo. La base es pequeña? En este caso, la forma más fácil es enviarlo por correo electrónico: comenzamos a filtrar todas las llamadas a los sistemas de correo. ¿El tamaño de la base de datos dificulta el envío? Aumentaremos la atención a los dispositivos extraíbles en las computadoras que funcionan (sucede que se necesitan unidades flash para el trabajo, no lo prohibirá todo ...). ¿Se puede enviar un documento secreto para imprimir? Filtraremos todas las llamadas a impresoras.
¿Cómo determinan los complejos si se permite o no una acción particular del usuario? Como regla, exactamente de la misma manera que una persona, en función del contenido del archivo de documento de mensaje.
El operador complejo (y, en el caso ideal, un grupo de auditores profesionales) compila un conjunto de reglas sobre la base de las cuales se analizará la información saliente. Pueden ser conjuntos de palabras y frases ("secreto", "número de pasaporte", etc.) o plantillas de datos. Por ejemplo, en cualquier sistema DLP, hay reglas que reconocen correctamente la presencia de números de tarjetas de crédito en el archivo enviado o en el mensaje ICQ.
Además de buscar palabras clave, algunos sistemas le permiten verificar si el texto enviado no es parte de otro documento. Enviar un párrafo del contrato causará exactamente la misma cadena de eventos, como si Snezhana intentara enviar el contrato a Sergei en su conjunto.
En caso de que se envíe el documento escaneado, se puede hacer que el complejo DLP reconozca el texto en las imágenes y verifique su contenido para detectar la presencia de palabras clave o el cumplimiento de los documentos protegidos ingresados en la base de datos.
Cortina de Hierro
Además de controlar el envío de archivos y documentos, los sistemas DLP también tienen varias áreas de control. El problema de las oficinas modernas, que roban tiempo y concentración de empleados, son las redes sociales y los servicios de mensajería instantánea (ICQ, QIP, Skype y otros análogos). Estos servicios también pueden convertirse en un canal para la filtración de información importante, que sin embargo se puede combatir con éxito. Imagínese la ira impotente de una persona interna que vio en lugar del texto enviado "mañana las acciones de mi compañía se disparan en el precio" solo unas pocas estrellas ... Además, el texto del mensaje irá al administrador de seguridad, y la fuente de la fuga fallida se conocerá aquí y ahora, y Ni una semana después del incidente.
Casi todo se puede cubrir con filtros. Cartas, mensajes, tráfico FTP y HTTP, impresoras y unidades flash. Incluso las "cachés" archivadas creadas por los atacantes, por si acaso en los servidores de archivos, se pueden calcular utilizando DLP. El número de canales de fuga bloqueados y la calidad de la filtración están determinados, por regla general, solo por el presupuesto de la empresa y se centran en los resultados.
DLP no es una panacea
Después de leer este artículo, puede tener la impresión de que los sistemas DLP le brindan una garantía del 100% de protección contra amenazas internas. Esto no es verdad. Si confía un sistema de misiles de pelotón a un pelotón que no sabe cómo manejarlo o simplemente lo conduce a las calles de la ciudad, entonces su efectividad será cero. La situación es exactamente la misma con los complejos DLP. Al usarlos, así como al manejar misiles, las condiciones de trabajo y la capacidad de usar la funcionalidad existente son importantes.
Es probable que la declaración "Hemos implementado DLP en la empresa" solo cause interés deportivo entre aquellos que desean evadir la protección. Su implementación oculta, que ayuda a aumentar la eficiencia de la recopilación de información, puede resultar mucho más efectiva. Si toca la configuración del filtro, sin personal competente, el servicio de seguridad se lanzará de cabeza a la corriente de respuestas falsas o sin importancia, o vivirá en una dulce ignorancia y la ilusión de la ausencia de incidentes. La conclusión es simple: al elegir un arma costosa y efectiva para proteger su negocio, no ahorre en esas personas que mantendrán este barril en sus manos.
Riqueza de elección
No hay muchos jugadores en el segmento de sistemas DLP en el mercado. Además, cada uno de los productos vendidos se caracteriza por sus ventajas y desventajas. Por ejemplo, el monitor de red ruso Infowatch funciona perfectamente con el texto de mensajes transmitidos o documentos reenviados, sabe cómo desviar palabras clave por casos, busca texto en documentos escaneados, pero no está destinado a proteger las estaciones de trabajo, sino solo el tráfico de red.
Symantec DLP cierra la mayoría de los "agujeros" en la seguridad de la infraestructura: correo, tráfico de red, inspecciona las acciones realizadas en las estaciones de trabajo y busca documentos secretos en el almacenamiento conectado a la red. Pero al mismo tiempo, su trabajo con formas de palabras clave y el nivel de reconocimiento de documentos de texto van a la zaga de la funcionalidad del producto Infowatch, y no controla las capturas de pantalla en absoluto. Además, cuando desconecta la computadora portátil de la red corporativa, deja de realizar análisis en archivos indexados y filtra los datos solo en función de las palabras clave.
Otro sistema de muestra: McAfee Host DLP utiliza un mecanismo alternativo para buscar datos confidenciales. Con el software, se colocan marcas especiales en los archivos y carpetas en el nivel del sistema de archivos. En el caso de que la información se copie de un archivo a otro, se marcarán los archivos de origen y de destino. Por lo tanto, se resuelve el problema de proteger las computadoras portátiles. La desventaja del enfoque utilizado es el bajo coeficiente de automatización del proceso de compilación de una lista de datos protegidos. El operador debe realizar todas las operaciones para asignar un documento en particular al número de "secreto".
Además de los proveedores de soluciones enumerados, uno puede mencionar Smart Line Inc. doméstica Device Lock and Searchinform, Western Websense y TrendMicro, cada uno de los cuales tiene sus propias ventajas y desventajas. La elección de la solución siempre está determinada por las necesidades de la empresa, las tareas que se asignan a la división de seguridad y las capacidades financieras de la organización. Hay una solución para cada formato de tarea y escala de fugas. El único consejo: confíe en los profesionales en el tema de su elección y configuración.
Wikipedia presenta hasta cuatro opciones de descifrado, dos de las cuales - Digital Light Processing y Disneyland Paris - desmantelamos por razones de lógica elemental, y las otras dos - Prevención de pérdida de datos y Prevención de fuga de datos - eche un vistazo más de cerca. De hecho, ambas abreviaturas describen lo mismo: proteger la información de que un atacante interno o una persona interna la saque de la empresa. ¿Por qué podría ser esto necesario?
La seguridad concierne a todos
Caso 1. Vendedor ofendido.
Ivan Alexandrovich, el director de una gran compañía de distribución, con razón (¿o injustamente?) Despide al jefe del departamento, Petra. Ofendido Peter, en venganza por la decisión de la gerencia, decidió estropear el negocio para su ex empleador y compartir su base de clientes con sus competidores. Con un solo clic, envía la base de datos a su familiar director comercial Sergey a través de un servicio público de correo electrónico, y después de cinco minutos, por si acaso, la transfiere a su unidad flash junto con documentos sobre el precio de compra de los bienes. Como resultado, diez minutos de su sabotaje estropearon significativamente los últimos años de arduo trabajo en toda la empresa.
Caso 2. Insider.
Ivan Aleksandrovich, ya familiar para nosotros, después de que todas las consecuencias del acto de Peter se experimentaron con éxito, aún continúa notando que los asuntos de la compañía no se esfuerzan por mejorar. En el 90 por ciento de las licitaciones y concursos en los que participa su empresa, ganan los competidores, que parecen conocer las condiciones en que se declaran los empleados de Ivan. Los consultores convocados por él realizan una auditoría utilizando tecnologías DLP y descubren que el secretario favorito del chef Snezhan cada vez que recibe la documentación de la oferta, o la envía al ya conocido director comercial Sergey, o la copia en su unidad flash. Además, en su computadora de trabajo, en una carpeta comprimida, encontró una copia completa de los documentos sobre las transacciones bancarias de la compañía durante el año pasado. El secretario es despedido, los consultores son recompensados, el sistema DLP se está introduciendo en la empresa.
Cualquier crimen es más fácil de prevenir que de rastrillar sus consecuencias. La palabra clave "prevención" es Prevención y caracteriza el objetivo principal de los sistemas DLP: Prevención de pérdida / pérdida de datos (protección de pérdida / pérdida de datos).
Según el enunciado del problema, debemos detectar las acciones prohibidas de Peter o Snezhana y no permitir que se completen. ¿Cómo hace esto un sistema DLP?
Gran Hermano te está mirando
La protección de la información es un complejo de medidas. Determinamos cómo Snezhana y Peter eliminarán la base de datos y tomaremos el control de estas áreas de sus actividades o canales de fuga utilizando diversos elementos del complejo. La base es pequeña? En este caso, la forma más fácil es enviarlo por correo electrónico: comenzamos a filtrar todas las llamadas a los sistemas de correo. ¿El tamaño de la base de datos dificulta el envío? Aumentaremos la atención a los dispositivos extraíbles en las computadoras que funcionan (sucede que se necesitan unidades flash para el trabajo, no lo prohibirá todo ...). ¿Se puede enviar un documento secreto para imprimir? Filtraremos todas las llamadas a impresoras.
¿Cómo determinan los complejos si se permite o no una acción particular del usuario? Como regla, exactamente de la misma manera que una persona, en función del contenido del archivo de documento de mensaje.
El operador complejo (y, en el caso ideal, un grupo de auditores profesionales) compila un conjunto de reglas sobre la base de las cuales se analizará la información saliente. Pueden ser conjuntos de palabras y frases ("secreto", "número de pasaporte", etc.) o plantillas de datos. Por ejemplo, en cualquier sistema DLP, hay reglas que reconocen correctamente la presencia de números de tarjetas de crédito en el archivo enviado o en el mensaje ICQ.
Además de buscar palabras clave, algunos sistemas le permiten verificar si el texto enviado no es parte de otro documento. Enviar un párrafo del contrato causará exactamente la misma cadena de eventos, como si Snezhana intentara enviar el contrato a Sergei en su conjunto.
En caso de que se envíe el documento escaneado, se puede hacer que el complejo DLP reconozca el texto en las imágenes y verifique su contenido para detectar la presencia de palabras clave o el cumplimiento de los documentos protegidos ingresados en la base de datos.
Cortina de Hierro
Además de controlar el envío de archivos y documentos, los sistemas DLP también tienen varias áreas de control. El problema de las oficinas modernas, que roban tiempo y concentración de empleados, son las redes sociales y los servicios de mensajería instantánea (ICQ, QIP, Skype y otros análogos). Estos servicios también pueden convertirse en un canal para la filtración de información importante, que sin embargo se puede combatir con éxito. Imagínese la ira impotente de una persona interna que vio en lugar del texto enviado "mañana las acciones de mi compañía se disparan en el precio" solo unas pocas estrellas ... Además, el texto del mensaje irá al administrador de seguridad, y la fuente de la fuga fallida se conocerá aquí y ahora, y Ni una semana después del incidente.
Casi todo se puede cubrir con filtros. Cartas, mensajes, tráfico FTP y HTTP, impresoras y unidades flash. Incluso las "cachés" archivadas creadas por los atacantes, por si acaso en los servidores de archivos, se pueden calcular utilizando DLP. El número de canales de fuga bloqueados y la calidad de la filtración están determinados, por regla general, solo por el presupuesto de la empresa y se centran en los resultados.
DLP no es una panacea
Después de leer este artículo, puede tener la impresión de que los sistemas DLP le brindan una garantía del 100% de protección contra amenazas internas. Esto no es verdad. Si confía un sistema de misiles de pelotón a un pelotón que no sabe cómo manejarlo o simplemente lo conduce a las calles de la ciudad, entonces su efectividad será cero. La situación es exactamente la misma con los complejos DLP. Al usarlos, así como al manejar misiles, las condiciones de trabajo y la capacidad de usar la funcionalidad existente son importantes.
Es probable que la declaración "Hemos implementado DLP en la empresa" solo cause interés deportivo entre aquellos que desean evadir la protección. Su implementación oculta, que ayuda a aumentar la eficiencia de la recopilación de información, puede resultar mucho más efectiva. Si toca la configuración del filtro, sin personal competente, el servicio de seguridad se lanzará de cabeza a la corriente de respuestas falsas o sin importancia, o vivirá en una dulce ignorancia y la ilusión de la ausencia de incidentes. La conclusión es simple: al elegir un arma costosa y efectiva para proteger su negocio, no ahorre en esas personas que mantendrán este barril en sus manos.
Riqueza de elección
No hay muchos jugadores en el segmento de sistemas DLP en el mercado. Además, cada uno de los productos vendidos se caracteriza por sus ventajas y desventajas. Por ejemplo, el monitor de red ruso Infowatch funciona perfectamente con el texto de mensajes transmitidos o documentos reenviados, sabe cómo desviar palabras clave por casos, busca texto en documentos escaneados, pero no está destinado a proteger las estaciones de trabajo, sino solo el tráfico de red.
Symantec DLP cierra la mayoría de los "agujeros" en la seguridad de la infraestructura: correo, tráfico de red, inspecciona las acciones realizadas en las estaciones de trabajo y busca documentos secretos en el almacenamiento conectado a la red. Pero al mismo tiempo, su trabajo con formas de palabras clave y el nivel de reconocimiento de documentos de texto van a la zaga de la funcionalidad del producto Infowatch, y no controla las capturas de pantalla en absoluto. Además, cuando desconecta la computadora portátil de la red corporativa, deja de realizar análisis en archivos indexados y filtra los datos solo en función de las palabras clave.
Otro sistema de muestra: McAfee Host DLP utiliza un mecanismo alternativo para buscar datos confidenciales. Con el software, se colocan marcas especiales en los archivos y carpetas en el nivel del sistema de archivos. En el caso de que la información se copie de un archivo a otro, se marcarán los archivos de origen y de destino. Por lo tanto, se resuelve el problema de proteger las computadoras portátiles. La desventaja del enfoque utilizado es el bajo coeficiente de automatización del proceso de compilación de una lista de datos protegidos. El operador debe realizar todas las operaciones para asignar un documento en particular al número de "secreto".
Además de los proveedores de soluciones enumerados, uno puede mencionar Smart Line Inc. doméstica Device Lock and Searchinform, Western Websense y TrendMicro, cada uno de los cuales tiene sus propias ventajas y desventajas. La elección de la solución siempre está determinada por las necesidades de la empresa, las tareas que se asignan a la división de seguridad y las capacidades financieras de la organización. Hay una solución para cada formato de tarea y escala de fugas. El único consejo: confíe en los profesionales en el tema de su elección y configuración.
Original message
Три волшебные буквы DLP за последний год стали очень популярными в сфере информационных технологий и ИТ-безопасности. Расшифровать их можно по-разному.
"Википедия" представляет нам целых четыре варианта расшифровки, два из которых - Digital Light Processing и Disneyland Paris - мы отметаем из соображений элементарной логики, а к двум другим - Data Loss Prevention и Data Leak Prevention - присмотримся поподробнее. По сути обе аббревиатуры описывают одно и то же - защиту информации от выноса из компании внутренним злоумышленником или инсайдером. Для чего это может быть необходимо?
Безопасность касается каждого
Кейс 1. Обиженный продажник.
Иван Александрович, директор крупной дистрибьюторской компании, справедливо (или несправедливо?) увольняет руководителя отдела Петра. Обиженный Пётр в отместку за решение руководства решил подпортить бизнес своему экс-работодателю и поделиться клиентской базой с конкурентами. Одним кликом он отправляет базу своему знакомому коммерческому директору Сергею через общедоступный сервис электронной почты, а через пять минут на всякий случай перебрасывает её к себе на флэшку вместе с документами о закупочной стоимости товаров. В результате десять минут его вредительства существенно портят предыдущие несколько лет напряжённой работы всей компании.
Кейс 2. Инсайдер.
Уже знакомый нам Иван Александрович после того, как все последствия поступка Петра были успешно пережиты, всё равно продолжает замечать, что дела компании не стремятся к улучшению. В 90 процентах тендеров и конкурсов, в которых участвует его фирма, побеждают конкуренты, которые как будто знают условия, с которыми заявляются сотрудники Ивана. Вызванные им консультанты проводят аудит с использованием технологий DLP и обнаруживают, что любимая секретарша шефа Снежана каждый раз при попадании к ней тендерной документации либо отправляет её уже знакомому коммерческому директору Сергею, либо копирует к себе на флэш-диск. Плюс ко всему у неё на рабочем компьютере в заархивированной папке обнаружилась полная копия документов о банковских проводках компании за прошедший год. Секретарша уволена, консультанты вознаграждены, в компании внедряется DLP-система.
Любое преступление проще предотвратить, чем разгребать его последствия. Ключевое слово "предотвращение" - Prevention и характеризует основную задачу систем DLP - Data Leak/Loss Prevention (защита данных от утечки/потери).
Исходя из постановки задачи, нам необходимо обнаружить запрещённые действия Петра или Снежаны и не дать их совершить. Как это делает DLP-система?
Большой брат следит за тобой
Защита информации - это комплекс мер. Мы определяем, как Снежана и Пётр будут выносить базу данных, и берём под контроль эти сферы их деятельности или каналы утечки с помощью различных элементов комплекса. База невелика? В этом случае проще всего отправить её по электронной почте - начинаем фильтровать все обращения к почтовым системам. Размер базы данных затрудняет пересылку? Усилим внимание к съёмным устройствам на рабочих компьютерах (бывает же, что флэшки нужны для работы, все не запретишь...). Секретный документ можно отправить на печать? Будем фильтровать все обращения к принтерам.
Как комплексы определяют, разрешено или нет то или иное действие пользователя? Как правило, точно так же, как и человек - на основании содержания файла-документа-сообщения.
Оператор комплекса (а в идеальном случае - группа профессиональных аудиторов) составляет набор правил, на основании которых будет анализироваться исходящая информация. Ими могут быть как наборы слов и фраз ("секретно", "номер паспорта" и т.д.), так и шаблоны данных. Например, в любой DLP-системе существуют правила, которые безошибочно распознают наличие номеров кредитных карт в отправляемом файле или сообщении ICQ.
Кроме проверки на наличие ключевых слов, некоторые системы позволяют проверять, не является ли отправляемый текст частью другого документа. Отправка одного параграфа договора вызовет точно такую же цепочку событий, как если бы Снежана попыталась отправить договор Сергею целиком.
На тот случай, если будет производиться отправка отсканированного документа, DLP-комплекс можно заставить распознавать текст в изображениях и проверять их содержание на предмет наличия ключевых слов или соответствия внесённым в базу защищаемым документам.
Железный занавес
Кроме контроля за отправкой файлов и документов у DLP-систем присутствует ещё ряд сфер для контроля. Беда современных офисов, крадущая время и концентрацию внимания сотрудников, - это социальные сети и службы мгновенных сообщений (ICQ, QIP, Skype и прочие аналоги). Эти службы также могут превратиться в канал утечки важных сведений, с чем тем не менее можно успешно бороться. Только представьте себе бессильную злобу инсайдера, увидевшего вместо отправленного текста "завтра акции моей компании должны резко взлететь в цене" лишь ряд звёздочек... Плюс ко всему текст сообщения попадёт к администратору безопасности, и источник неудавшейся утечки сведений станет известен здесь и сейчас, а не спустя недели после инцидента.
Перекрыть фильтрами можно практически всё. Письма, сообщения, FTP и HTTP-трафик, принтеры и флэшки. Даже создаваемые злоумышленниками заархивированные "схроны" на всякий случай на файловых серверах могут быть вычислены с помощью DLP. Число перекрываемых каналов утечки и качество фильтрации определяются, как правило, только бюджетом компании и нацеленностью на результат.
DLP не панацея
После прочтения этой статьи может сложиться впечатление, что DLP-системы дают стопроцентную гарантию защиты от внутренних угроз. Это не так. Если доверить ракетную систему залпового огня не умеющему обращаться с ней взводу или просто загнать её на городские улицы, то её эффективность будет равна нулю. Точно так же дело обстоит и с DLP-комплексами. При их использовании, как и при обращении с ракетами, важны условия работы и умение применять имеющийся функционал.
Декларация "Мы внедрили DLP на предприятии", скорее всего, вызовет только спортивный интерес у желающих обойти защиту. Гораздо более эффективным может оказаться её скрытое внедрение, помогающее увеличить результативность сбора информации. Если же коснуться настройки фильтров, то без грамотного персонала служба безопасности либо с головой погрузится в поток ложных или маловажных срабатываний, либо будет жить в сладком неведении и иллюзии отсутствия инцидентов. Вывод прост: выбирая дорогое и эффективное оружие для защиты бизнеса, не экономьте на тех людях, которые будут держать этот ствол в руках.
Богатство выбора
На рынке присутствует не так много игроков в сегменте DLP-систем. При этом каждый из продаваемых продуктов характеризуется своими плюсами и минусами. Например, российский Infowatch Network Monitor великолепно работает с текстом передаваемых сообщений или пересылаемых документов, умеет склонять по падежам ключевые слова, ищет текст в отсканированных документах, но не предназначен для защиты рабочих станций, а только сетевого трафика.
Symantec DLP закрывает большинство "дырок" в безопасности инфраструктуры - почтовый, сетевой трафик, инспектирует действия, производимые на рабочих станциях, и ищет секретные документы по сетевым хранилищам. Но при этом его работа со словоформами ключевых слов и уровень распознавания текстовых документов отстают от функционала продукта Infowatch, а снимки экрана он не контролирует вообще. Кроме того, при отключении ноутбука от корпоративной сети он перестает производить анализ по индексированным файлам, а фильтрует данные только на основании ключевых слов.
Ещё один образец системы - McAfee Host DLP использует альтернативный механизм поиска секретных данных. С помощью программного обеспечения на файлах и папках ставятся специальные метки на уровне файловой системы. В том случае, если производится копирование информации из одного файла в другой, то помеченным окажется как исходный, так и конечный файл. Таким образом решается проблема защиты переносных компьютеров. Недостаток применяемого подхода - низкий коэффициент автоматизации процесса составления перечня защищаемых данных. Все операции по причислению конкретного документа к числу "секретных" должен выполнять оператор.
Кроме перечисленных поставщиков решений можно упомянуть отечественные Смарт Лайн Инк Device Lock и Searchinform, западные Websense и TrendMicro, каждый из которых обладает своими достоинствами и недостатками. Выбор решения всегда обуславливается потребностями компании, задачами, которые ставятся перед подразделением безопасности, и финансовыми возможностями организации. Для каждого формата задач и масштаба утечек найдётся своё решение. Единственный совет: доверьтесь профессионалам в вопросе его выбора и настройки.
"Википедия" представляет нам целых четыре варианта расшифровки, два из которых - Digital Light Processing и Disneyland Paris - мы отметаем из соображений элементарной логики, а к двум другим - Data Loss Prevention и Data Leak Prevention - присмотримся поподробнее. По сути обе аббревиатуры описывают одно и то же - защиту информации от выноса из компании внутренним злоумышленником или инсайдером. Для чего это может быть необходимо?
Безопасность касается каждого
Кейс 1. Обиженный продажник.
Иван Александрович, директор крупной дистрибьюторской компании, справедливо (или несправедливо?) увольняет руководителя отдела Петра. Обиженный Пётр в отместку за решение руководства решил подпортить бизнес своему экс-работодателю и поделиться клиентской базой с конкурентами. Одним кликом он отправляет базу своему знакомому коммерческому директору Сергею через общедоступный сервис электронной почты, а через пять минут на всякий случай перебрасывает её к себе на флэшку вместе с документами о закупочной стоимости товаров. В результате десять минут его вредительства существенно портят предыдущие несколько лет напряжённой работы всей компании.
Кейс 2. Инсайдер.
Уже знакомый нам Иван Александрович после того, как все последствия поступка Петра были успешно пережиты, всё равно продолжает замечать, что дела компании не стремятся к улучшению. В 90 процентах тендеров и конкурсов, в которых участвует его фирма, побеждают конкуренты, которые как будто знают условия, с которыми заявляются сотрудники Ивана. Вызванные им консультанты проводят аудит с использованием технологий DLP и обнаруживают, что любимая секретарша шефа Снежана каждый раз при попадании к ней тендерной документации либо отправляет её уже знакомому коммерческому директору Сергею, либо копирует к себе на флэш-диск. Плюс ко всему у неё на рабочем компьютере в заархивированной папке обнаружилась полная копия документов о банковских проводках компании за прошедший год. Секретарша уволена, консультанты вознаграждены, в компании внедряется DLP-система.
Любое преступление проще предотвратить, чем разгребать его последствия. Ключевое слово "предотвращение" - Prevention и характеризует основную задачу систем DLP - Data Leak/Loss Prevention (защита данных от утечки/потери).
Исходя из постановки задачи, нам необходимо обнаружить запрещённые действия Петра или Снежаны и не дать их совершить. Как это делает DLP-система?
Большой брат следит за тобой
Защита информации - это комплекс мер. Мы определяем, как Снежана и Пётр будут выносить базу данных, и берём под контроль эти сферы их деятельности или каналы утечки с помощью различных элементов комплекса. База невелика? В этом случае проще всего отправить её по электронной почте - начинаем фильтровать все обращения к почтовым системам. Размер базы данных затрудняет пересылку? Усилим внимание к съёмным устройствам на рабочих компьютерах (бывает же, что флэшки нужны для работы, все не запретишь...). Секретный документ можно отправить на печать? Будем фильтровать все обращения к принтерам.
Как комплексы определяют, разрешено или нет то или иное действие пользователя? Как правило, точно так же, как и человек - на основании содержания файла-документа-сообщения.
Оператор комплекса (а в идеальном случае - группа профессиональных аудиторов) составляет набор правил, на основании которых будет анализироваться исходящая информация. Ими могут быть как наборы слов и фраз ("секретно", "номер паспорта" и т.д.), так и шаблоны данных. Например, в любой DLP-системе существуют правила, которые безошибочно распознают наличие номеров кредитных карт в отправляемом файле или сообщении ICQ.
Кроме проверки на наличие ключевых слов, некоторые системы позволяют проверять, не является ли отправляемый текст частью другого документа. Отправка одного параграфа договора вызовет точно такую же цепочку событий, как если бы Снежана попыталась отправить договор Сергею целиком.
На тот случай, если будет производиться отправка отсканированного документа, DLP-комплекс можно заставить распознавать текст в изображениях и проверять их содержание на предмет наличия ключевых слов или соответствия внесённым в базу защищаемым документам.
Железный занавес
Кроме контроля за отправкой файлов и документов у DLP-систем присутствует ещё ряд сфер для контроля. Беда современных офисов, крадущая время и концентрацию внимания сотрудников, - это социальные сети и службы мгновенных сообщений (ICQ, QIP, Skype и прочие аналоги). Эти службы также могут превратиться в канал утечки важных сведений, с чем тем не менее можно успешно бороться. Только представьте себе бессильную злобу инсайдера, увидевшего вместо отправленного текста "завтра акции моей компании должны резко взлететь в цене" лишь ряд звёздочек... Плюс ко всему текст сообщения попадёт к администратору безопасности, и источник неудавшейся утечки сведений станет известен здесь и сейчас, а не спустя недели после инцидента.
Перекрыть фильтрами можно практически всё. Письма, сообщения, FTP и HTTP-трафик, принтеры и флэшки. Даже создаваемые злоумышленниками заархивированные "схроны" на всякий случай на файловых серверах могут быть вычислены с помощью DLP. Число перекрываемых каналов утечки и качество фильтрации определяются, как правило, только бюджетом компании и нацеленностью на результат.
DLP не панацея
После прочтения этой статьи может сложиться впечатление, что DLP-системы дают стопроцентную гарантию защиты от внутренних угроз. Это не так. Если доверить ракетную систему залпового огня не умеющему обращаться с ней взводу или просто загнать её на городские улицы, то её эффективность будет равна нулю. Точно так же дело обстоит и с DLP-комплексами. При их использовании, как и при обращении с ракетами, важны условия работы и умение применять имеющийся функционал.
Декларация "Мы внедрили DLP на предприятии", скорее всего, вызовет только спортивный интерес у желающих обойти защиту. Гораздо более эффективным может оказаться её скрытое внедрение, помогающее увеличить результативность сбора информации. Если же коснуться настройки фильтров, то без грамотного персонала служба безопасности либо с головой погрузится в поток ложных или маловажных срабатываний, либо будет жить в сладком неведении и иллюзии отсутствия инцидентов. Вывод прост: выбирая дорогое и эффективное оружие для защиты бизнеса, не экономьте на тех людях, которые будут держать этот ствол в руках.
Богатство выбора
На рынке присутствует не так много игроков в сегменте DLP-систем. При этом каждый из продаваемых продуктов характеризуется своими плюсами и минусами. Например, российский Infowatch Network Monitor великолепно работает с текстом передаваемых сообщений или пересылаемых документов, умеет склонять по падежам ключевые слова, ищет текст в отсканированных документах, но не предназначен для защиты рабочих станций, а только сетевого трафика.
Symantec DLP закрывает большинство "дырок" в безопасности инфраструктуры - почтовый, сетевой трафик, инспектирует действия, производимые на рабочих станциях, и ищет секретные документы по сетевым хранилищам. Но при этом его работа со словоформами ключевых слов и уровень распознавания текстовых документов отстают от функционала продукта Infowatch, а снимки экрана он не контролирует вообще. Кроме того, при отключении ноутбука от корпоративной сети он перестает производить анализ по индексированным файлам, а фильтрует данные только на основании ключевых слов.
Ещё один образец системы - McAfee Host DLP использует альтернативный механизм поиска секретных данных. С помощью программного обеспечения на файлах и папках ставятся специальные метки на уровне файловой системы. В том случае, если производится копирование информации из одного файла в другой, то помеченным окажется как исходный, так и конечный файл. Таким образом решается проблема защиты переносных компьютеров. Недостаток применяемого подхода - низкий коэффициент автоматизации процесса составления перечня защищаемых данных. Все операции по причислению конкретного документа к числу "секретных" должен выполнять оператор.
Кроме перечисленных поставщиков решений можно упомянуть отечественные Смарт Лайн Инк Device Lock и Searchinform, западные Websense и TrendMicro, каждый из которых обладает своими достоинствами и недостатками. Выбор решения всегда обуславливается потребностями компании, задачами, которые ставятся перед подразделением безопасности, и финансовыми возможностями организации. Для каждого формата задач и масштаба утечек найдётся своё решение. Единственный совет: доверьтесь профессионалам в вопросе его выбора и настройки.
