Trois lettres magiques DLP au cours de la dernière année sont devenues très populaires dans le domaine des technologies de l'information et de la sécurité informatique. Vous pouvez les décrypter de différentes manières.
Wikipedia présente jusqu'à quatre options de décryptage, dont deux - Digital Light Processing et Disneyland Paris - que nous rejetons pour des raisons de logique élémentaire, et les deux autres - Data Loss Prevention et Data Leak Prevention - regardons de plus près. En fait, les deux abréviations décrivent la même chose: protéger les informations contre la suppression de l'entreprise par un attaquant interne ou un initié. Pourquoi cela pourrait-il être nécessaire?
La sécurité concerne tout le monde
Cas 1. Vendeur offensé.
Ivan Alexandrovitch, le directeur d'une grande société de distribution, à juste titre (ou injustement?) Rejette le chef du département, Petra. Offensé, Peter, pour se venger de la décision de la direction, a décidé de gâcher l'entreprise pour son ex-employeur et de partager sa clientèle avec ses concurrents. En un clic, il envoie la base de données à son directeur commercial familier Sergey via un service de messagerie public, et après cinq minutes, juste au cas où, la transfère sur sa clé USB avec des documents sur le prix d'achat des marchandises. En conséquence, dix minutes de son sabotage gâchent considérablement les dernières années de dur labeur dans toute l'entreprise.
Cas 2. Insider.
Ivan Aleksandrovich, que nous connaissons déjà, après que toutes les conséquences de l'acte de Peter ont été vécues avec succès, continue de remarquer que les affaires de la société ne cherchent pas à s'améliorer. Dans 90% des appels d'offres et des concours auxquels son entreprise participe, les concurrents gagnent, qui semblent connaître les conditions dans lesquelles les employés d'Ivan sont déclarés. Les consultants appelés par lui effectuent un audit utilisant les technologies DLP et découvrent que le secrétaire préféré du chef Snezhan chaque fois qu'il obtient le dossier d'appel d'offres soit l'envoie au directeur commercial déjà connu Sergey, soit le copie sur sa clé USB. De plus, sur son ordinateur de travail, dans un dossier zippé, elle a trouvé une copie complète des documents sur les transactions bancaires de l'entreprise au cours de la dernière année. La secrétaire est licenciée, les consultants sont récompensés, le système DLP est en cours d'introduction dans l'entreprise.
Tout crime est plus facile à prévenir qu'à en tirer les conséquences. Le mot clé "prévention" est Prévention et caractérise l'objectif principal des systèmes DLP - Data Leak / Loss Prevention (protection contre les fuites / pertes de données).
Sur la base de l'énoncé du problème, nous devons détecter les actions interdites de Peter ou Snezhana et ne pas permettre qu'elles soient terminées. Comment fonctionne un système DLP?
Big Brother vous regarde
La protection des informations est un ensemble de mesures complexes. Nous déterminons comment Snezhana et Peter vont supprimer la base de données et prenons le contrôle de ces zones de leurs activités ou canaux de fuite en utilisant divers éléments du complexe. La base est petite? Dans ce cas, le moyen le plus simple est de l'envoyer par e-mail - nous commençons à filtrer tous les appels vers les systèmes de messagerie. La taille de la base de données rend-elle l'expédition difficile? Nous porterons une attention accrue aux périphériques amovibles sur les ordinateurs qui fonctionnent (il arrive que des clés USB soient nécessaires pour travailler, vous n'interdirez pas tout ...). Un document secret peut-il être envoyé pour impression? Nous filtrerons tous les appels aux imprimantes.
Comment les complexes déterminent-ils si une action utilisateur particulière est autorisée ou non? En règle générale, exactement de la même manière qu'une personne - en fonction du contenu du fichier-document-message.
L'opérateur complexe (et, idéalement, un groupe d'auditeurs professionnels) constitue un ensemble de règles sur la base desquelles les informations sortantes seront analysées. Ils peuvent être soit des ensembles de mots et de phrases ("secret", "numéro de passeport", etc.), soit des modèles de données. Par exemple, dans tout système DLP, il existe des règles qui reconnaissent correctement la présence de numéros de carte de crédit dans le fichier envoyé ou le message ICQ.
En plus de rechercher des mots clés, certains systèmes vous permettent de vérifier si le texte envoyé ne fait pas partie d'un autre document. L'envoi d'un paragraphe du contrat entraînera exactement la même chaîne d'événements, comme si Snezhana tentait d'envoyer le contrat à Sergei dans son ensemble.
Dans le cas où le document numérisé est envoyé, le complexe DLP peut être fait pour reconnaître le texte dans les images et vérifier leur contenu pour la présence de mots-clés ou la conformité avec les documents protégés entrés dans la base de données.
Rideau de fer
En plus de contrôler l'envoi de fichiers et de documents, les systèmes DLP disposent également d'un certain nombre de zones de contrôle. Le problème des bureaux modernes, le vol de temps et la concentration des employés, sont les réseaux sociaux et les services de messagerie instantanée (ICQ, QIP, Skype et autres analogues). Ces services peuvent également devenir un canal pour la fuite d'informations importantes, qui peuvent néanmoins être combattues avec succès. Imaginez simplement la rancune impuissante d'un initié qui a vu au lieu du texte envoyé "demain les actions de mon entreprise monter en prix" seulement quelques étoiles ... De plus, le texte du message ira à l'administrateur de la sécurité, et la source de la fuite échouée sera connue ici et maintenant, et pas une semaine après l'incident.
Presque tout peut être recouvert de filtres. Lettres, messages, trafic FTP et HTTP, imprimantes et lecteurs flash. Même les «caches» archivées créées par des cybercriminels au cas où sur des serveurs de fichiers peuvent être calculées à l'aide de DLP. Le nombre de canaux de fuite bloqués et la qualité de la filtration sont déterminés, en règle générale, uniquement par le budget de l'entreprise et se concentrent sur les résultats.
DLP n'est pas une panacée
Après avoir lu cet article, vous pourriez avoir l'impression que les systèmes DLP vous offrent une garantie à 100% de protection contre les menaces internes. Ce n'est pas vrai. Si vous confiez un système de missiles de peloton à un peloton qui ne sait pas comment le manipuler ou simplement le conduire dans les rues de la ville, son efficacité sera nulle. La situation est exactement la même avec les complexes DLP. Lors de leur utilisation, ainsi que lors de la manipulation de missiles, les conditions de travail et la possibilité d'utiliser les fonctionnalités existantes sont importantes.
La déclaration "Nous avons mis en œuvre le DLP dans l'entreprise" est susceptible de ne susciter qu'un intérêt sportif chez ceux qui souhaitent contourner la protection. Sa mise en œuvre cachée, qui contribue à accroître l'efficacité de la collecte d'informations, peut s'avérer beaucoup plus efficace. Si vous touchez les paramètres du filtre, alors sans personnel compétent, le service de sécurité plongera tête baissée dans le flux de réponses fausses ou sans importance, ou vivra dans une douce ignorance et l'illusion de l'absence d'incidents. La conclusion est simple: lorsque vous choisissez une arme coûteuse et efficace pour protéger votre entreprise, ne économisez pas sur les personnes qui garderont ce canon entre leurs mains.
Richesse de choix
Il n'y a pas beaucoup d'acteurs dans le segment des systèmes DLP sur le marché. De plus, chacun des produits vendus se caractérise par ses avantages et ses inconvénients. Par exemple, le moniteur de réseau russe Infowatch fonctionne parfaitement avec le texte des messages transmis ou des documents transférés, sait comment infléchir les mots clés par cas, recherche le texte dans les documents numérisés, mais n'est pas destiné à protéger les postes de travail, mais uniquement le trafic réseau.
Symantec DLP ferme la plupart des "trous" de la sécurité de l'infrastructure - courrier, trafic réseau, inspecte les actions effectuées sur les postes de travail et recherche les documents secrets sur le stockage connecté au réseau. Mais en même temps, son travail avec les formes de mots clés et le niveau de reconnaissance des documents texte est à la traîne des fonctionnalités du produit Infowatch, et il ne contrôle pas du tout les captures d'écran. En outre, lorsque vous déconnectez l'ordinateur portable du réseau d'entreprise, il cesse d'effectuer une analyse sur les fichiers indexés et filtre les données uniquement en fonction de mots clés.
Autre exemple de système - McAfee Host DLP utilise un mécanisme alternatif pour rechercher des données sensibles. À l'aide de logiciels, des marques spéciales sont placées sur les fichiers et dossiers au niveau du système de fichiers. Si des informations sont copiées d'un fichier à un autre, les fichiers source et de destination seront marqués. Ainsi, le problème de la protection des ordinateurs portables est résolu. L'inconvénient de l'approche utilisée est le faible coefficient d'automatisation du processus de compilation d'une liste de données protégées. Toutes les opérations d'attribution d'un document particulier au numéro de "secret" doivent être effectuées par l'opérateur.
En plus des fournisseurs de solutions répertoriés, on peut mentionner le verrouillage et la recherche d'appareils Smart Line Inc. nationaux, Western Websense et TrendMicro, chacun ayant ses propres avantages et inconvénients. Le choix d'une solution est toujours déterminé par les besoins de l'entreprise, les tâches assignées à la division sécurité et les capacités financières de l'organisation. Il existe une solution pour chaque format de problème et échelle de fuite. Le seul conseil: faites confiance aux professionnels en matière de choix et de personnalisation.
Wikipedia présente jusqu'à quatre options de décryptage, dont deux - Digital Light Processing et Disneyland Paris - que nous rejetons pour des raisons de logique élémentaire, et les deux autres - Data Loss Prevention et Data Leak Prevention - regardons de plus près. En fait, les deux abréviations décrivent la même chose: protéger les informations contre la suppression de l'entreprise par un attaquant interne ou un initié. Pourquoi cela pourrait-il être nécessaire?
La sécurité concerne tout le monde
Cas 1. Vendeur offensé.
Ivan Alexandrovitch, le directeur d'une grande société de distribution, à juste titre (ou injustement?) Rejette le chef du département, Petra. Offensé, Peter, pour se venger de la décision de la direction, a décidé de gâcher l'entreprise pour son ex-employeur et de partager sa clientèle avec ses concurrents. En un clic, il envoie la base de données à son directeur commercial familier Sergey via un service de messagerie public, et après cinq minutes, juste au cas où, la transfère sur sa clé USB avec des documents sur le prix d'achat des marchandises. En conséquence, dix minutes de son sabotage gâchent considérablement les dernières années de dur labeur dans toute l'entreprise.
Cas 2. Insider.
Ivan Aleksandrovich, que nous connaissons déjà, après que toutes les conséquences de l'acte de Peter ont été vécues avec succès, continue de remarquer que les affaires de la société ne cherchent pas à s'améliorer. Dans 90% des appels d'offres et des concours auxquels son entreprise participe, les concurrents gagnent, qui semblent connaître les conditions dans lesquelles les employés d'Ivan sont déclarés. Les consultants appelés par lui effectuent un audit utilisant les technologies DLP et découvrent que le secrétaire préféré du chef Snezhan chaque fois qu'il obtient le dossier d'appel d'offres soit l'envoie au directeur commercial déjà connu Sergey, soit le copie sur sa clé USB. De plus, sur son ordinateur de travail, dans un dossier zippé, elle a trouvé une copie complète des documents sur les transactions bancaires de l'entreprise au cours de la dernière année. La secrétaire est licenciée, les consultants sont récompensés, le système DLP est en cours d'introduction dans l'entreprise.
Tout crime est plus facile à prévenir qu'à en tirer les conséquences. Le mot clé "prévention" est Prévention et caractérise l'objectif principal des systèmes DLP - Data Leak / Loss Prevention (protection contre les fuites / pertes de données).
Sur la base de l'énoncé du problème, nous devons détecter les actions interdites de Peter ou Snezhana et ne pas permettre qu'elles soient terminées. Comment fonctionne un système DLP?
Big Brother vous regarde
La protection des informations est un ensemble de mesures complexes. Nous déterminons comment Snezhana et Peter vont supprimer la base de données et prenons le contrôle de ces zones de leurs activités ou canaux de fuite en utilisant divers éléments du complexe. La base est petite? Dans ce cas, le moyen le plus simple est de l'envoyer par e-mail - nous commençons à filtrer tous les appels vers les systèmes de messagerie. La taille de la base de données rend-elle l'expédition difficile? Nous porterons une attention accrue aux périphériques amovibles sur les ordinateurs qui fonctionnent (il arrive que des clés USB soient nécessaires pour travailler, vous n'interdirez pas tout ...). Un document secret peut-il être envoyé pour impression? Nous filtrerons tous les appels aux imprimantes.
Comment les complexes déterminent-ils si une action utilisateur particulière est autorisée ou non? En règle générale, exactement de la même manière qu'une personne - en fonction du contenu du fichier-document-message.
L'opérateur complexe (et, idéalement, un groupe d'auditeurs professionnels) constitue un ensemble de règles sur la base desquelles les informations sortantes seront analysées. Ils peuvent être soit des ensembles de mots et de phrases ("secret", "numéro de passeport", etc.), soit des modèles de données. Par exemple, dans tout système DLP, il existe des règles qui reconnaissent correctement la présence de numéros de carte de crédit dans le fichier envoyé ou le message ICQ.
En plus de rechercher des mots clés, certains systèmes vous permettent de vérifier si le texte envoyé ne fait pas partie d'un autre document. L'envoi d'un paragraphe du contrat entraînera exactement la même chaîne d'événements, comme si Snezhana tentait d'envoyer le contrat à Sergei dans son ensemble.
Dans le cas où le document numérisé est envoyé, le complexe DLP peut être fait pour reconnaître le texte dans les images et vérifier leur contenu pour la présence de mots-clés ou la conformité avec les documents protégés entrés dans la base de données.
Rideau de fer
En plus de contrôler l'envoi de fichiers et de documents, les systèmes DLP disposent également d'un certain nombre de zones de contrôle. Le problème des bureaux modernes, le vol de temps et la concentration des employés, sont les réseaux sociaux et les services de messagerie instantanée (ICQ, QIP, Skype et autres analogues). Ces services peuvent également devenir un canal pour la fuite d'informations importantes, qui peuvent néanmoins être combattues avec succès. Imaginez simplement la rancune impuissante d'un initié qui a vu au lieu du texte envoyé "demain les actions de mon entreprise monter en prix" seulement quelques étoiles ... De plus, le texte du message ira à l'administrateur de la sécurité, et la source de la fuite échouée sera connue ici et maintenant, et pas une semaine après l'incident.
Presque tout peut être recouvert de filtres. Lettres, messages, trafic FTP et HTTP, imprimantes et lecteurs flash. Même les «caches» archivées créées par des cybercriminels au cas où sur des serveurs de fichiers peuvent être calculées à l'aide de DLP. Le nombre de canaux de fuite bloqués et la qualité de la filtration sont déterminés, en règle générale, uniquement par le budget de l'entreprise et se concentrent sur les résultats.
DLP n'est pas une panacée
Après avoir lu cet article, vous pourriez avoir l'impression que les systèmes DLP vous offrent une garantie à 100% de protection contre les menaces internes. Ce n'est pas vrai. Si vous confiez un système de missiles de peloton à un peloton qui ne sait pas comment le manipuler ou simplement le conduire dans les rues de la ville, son efficacité sera nulle. La situation est exactement la même avec les complexes DLP. Lors de leur utilisation, ainsi que lors de la manipulation de missiles, les conditions de travail et la possibilité d'utiliser les fonctionnalités existantes sont importantes.
La déclaration "Nous avons mis en œuvre le DLP dans l'entreprise" est susceptible de ne susciter qu'un intérêt sportif chez ceux qui souhaitent contourner la protection. Sa mise en œuvre cachée, qui contribue à accroître l'efficacité de la collecte d'informations, peut s'avérer beaucoup plus efficace. Si vous touchez les paramètres du filtre, alors sans personnel compétent, le service de sécurité plongera tête baissée dans le flux de réponses fausses ou sans importance, ou vivra dans une douce ignorance et l'illusion de l'absence d'incidents. La conclusion est simple: lorsque vous choisissez une arme coûteuse et efficace pour protéger votre entreprise, ne économisez pas sur les personnes qui garderont ce canon entre leurs mains.
Richesse de choix
Il n'y a pas beaucoup d'acteurs dans le segment des systèmes DLP sur le marché. De plus, chacun des produits vendus se caractérise par ses avantages et ses inconvénients. Par exemple, le moniteur de réseau russe Infowatch fonctionne parfaitement avec le texte des messages transmis ou des documents transférés, sait comment infléchir les mots clés par cas, recherche le texte dans les documents numérisés, mais n'est pas destiné à protéger les postes de travail, mais uniquement le trafic réseau.
Symantec DLP ferme la plupart des "trous" de la sécurité de l'infrastructure - courrier, trafic réseau, inspecte les actions effectuées sur les postes de travail et recherche les documents secrets sur le stockage connecté au réseau. Mais en même temps, son travail avec les formes de mots clés et le niveau de reconnaissance des documents texte est à la traîne des fonctionnalités du produit Infowatch, et il ne contrôle pas du tout les captures d'écran. En outre, lorsque vous déconnectez l'ordinateur portable du réseau d'entreprise, il cesse d'effectuer une analyse sur les fichiers indexés et filtre les données uniquement en fonction de mots clés.
Autre exemple de système - McAfee Host DLP utilise un mécanisme alternatif pour rechercher des données sensibles. À l'aide de logiciels, des marques spéciales sont placées sur les fichiers et dossiers au niveau du système de fichiers. Si des informations sont copiées d'un fichier à un autre, les fichiers source et de destination seront marqués. Ainsi, le problème de la protection des ordinateurs portables est résolu. L'inconvénient de l'approche utilisée est le faible coefficient d'automatisation du processus de compilation d'une liste de données protégées. Toutes les opérations d'attribution d'un document particulier au numéro de "secret" doivent être effectuées par l'opérateur.
En plus des fournisseurs de solutions répertoriés, on peut mentionner le verrouillage et la recherche d'appareils Smart Line Inc. nationaux, Western Websense et TrendMicro, chacun ayant ses propres avantages et inconvénients. Le choix d'une solution est toujours déterminé par les besoins de l'entreprise, les tâches assignées à la division sécurité et les capacités financières de l'organisation. Il existe une solution pour chaque format de problème et échelle de fuite. Le seul conseil: faites confiance aux professionnels en matière de choix et de personnalisation.
Original message
Три волшебные буквы DLP за последний год стали очень популярными в сфере информационных технологий и ИТ-безопасности. Расшифровать их можно по-разному.
"Википедия" представляет нам целых четыре варианта расшифровки, два из которых - Digital Light Processing и Disneyland Paris - мы отметаем из соображений элементарной логики, а к двум другим - Data Loss Prevention и Data Leak Prevention - присмотримся поподробнее. По сути обе аббревиатуры описывают одно и то же - защиту информации от выноса из компании внутренним злоумышленником или инсайдером. Для чего это может быть необходимо?
Безопасность касается каждого
Кейс 1. Обиженный продажник.
Иван Александрович, директор крупной дистрибьюторской компании, справедливо (или несправедливо?) увольняет руководителя отдела Петра. Обиженный Пётр в отместку за решение руководства решил подпортить бизнес своему экс-работодателю и поделиться клиентской базой с конкурентами. Одним кликом он отправляет базу своему знакомому коммерческому директору Сергею через общедоступный сервис электронной почты, а через пять минут на всякий случай перебрасывает её к себе на флэшку вместе с документами о закупочной стоимости товаров. В результате десять минут его вредительства существенно портят предыдущие несколько лет напряжённой работы всей компании.
Кейс 2. Инсайдер.
Уже знакомый нам Иван Александрович после того, как все последствия поступка Петра были успешно пережиты, всё равно продолжает замечать, что дела компании не стремятся к улучшению. В 90 процентах тендеров и конкурсов, в которых участвует его фирма, побеждают конкуренты, которые как будто знают условия, с которыми заявляются сотрудники Ивана. Вызванные им консультанты проводят аудит с использованием технологий DLP и обнаруживают, что любимая секретарша шефа Снежана каждый раз при попадании к ней тендерной документации либо отправляет её уже знакомому коммерческому директору Сергею, либо копирует к себе на флэш-диск. Плюс ко всему у неё на рабочем компьютере в заархивированной папке обнаружилась полная копия документов о банковских проводках компании за прошедший год. Секретарша уволена, консультанты вознаграждены, в компании внедряется DLP-система.
Любое преступление проще предотвратить, чем разгребать его последствия. Ключевое слово "предотвращение" - Prevention и характеризует основную задачу систем DLP - Data Leak/Loss Prevention (защита данных от утечки/потери).
Исходя из постановки задачи, нам необходимо обнаружить запрещённые действия Петра или Снежаны и не дать их совершить. Как это делает DLP-система?
Большой брат следит за тобой
Защита информации - это комплекс мер. Мы определяем, как Снежана и Пётр будут выносить базу данных, и берём под контроль эти сферы их деятельности или каналы утечки с помощью различных элементов комплекса. База невелика? В этом случае проще всего отправить её по электронной почте - начинаем фильтровать все обращения к почтовым системам. Размер базы данных затрудняет пересылку? Усилим внимание к съёмным устройствам на рабочих компьютерах (бывает же, что флэшки нужны для работы, все не запретишь...). Секретный документ можно отправить на печать? Будем фильтровать все обращения к принтерам.
Как комплексы определяют, разрешено или нет то или иное действие пользователя? Как правило, точно так же, как и человек - на основании содержания файла-документа-сообщения.
Оператор комплекса (а в идеальном случае - группа профессиональных аудиторов) составляет набор правил, на основании которых будет анализироваться исходящая информация. Ими могут быть как наборы слов и фраз ("секретно", "номер паспорта" и т.д.), так и шаблоны данных. Например, в любой DLP-системе существуют правила, которые безошибочно распознают наличие номеров кредитных карт в отправляемом файле или сообщении ICQ.
Кроме проверки на наличие ключевых слов, некоторые системы позволяют проверять, не является ли отправляемый текст частью другого документа. Отправка одного параграфа договора вызовет точно такую же цепочку событий, как если бы Снежана попыталась отправить договор Сергею целиком.
На тот случай, если будет производиться отправка отсканированного документа, DLP-комплекс можно заставить распознавать текст в изображениях и проверять их содержание на предмет наличия ключевых слов или соответствия внесённым в базу защищаемым документам.
Железный занавес
Кроме контроля за отправкой файлов и документов у DLP-систем присутствует ещё ряд сфер для контроля. Беда современных офисов, крадущая время и концентрацию внимания сотрудников, - это социальные сети и службы мгновенных сообщений (ICQ, QIP, Skype и прочие аналоги). Эти службы также могут превратиться в канал утечки важных сведений, с чем тем не менее можно успешно бороться. Только представьте себе бессильную злобу инсайдера, увидевшего вместо отправленного текста "завтра акции моей компании должны резко взлететь в цене" лишь ряд звёздочек... Плюс ко всему текст сообщения попадёт к администратору безопасности, и источник неудавшейся утечки сведений станет известен здесь и сейчас, а не спустя недели после инцидента.
Перекрыть фильтрами можно практически всё. Письма, сообщения, FTP и HTTP-трафик, принтеры и флэшки. Даже создаваемые злоумышленниками заархивированные "схроны" на всякий случай на файловых серверах могут быть вычислены с помощью DLP. Число перекрываемых каналов утечки и качество фильтрации определяются, как правило, только бюджетом компании и нацеленностью на результат.
DLP не панацея
После прочтения этой статьи может сложиться впечатление, что DLP-системы дают стопроцентную гарантию защиты от внутренних угроз. Это не так. Если доверить ракетную систему залпового огня не умеющему обращаться с ней взводу или просто загнать её на городские улицы, то её эффективность будет равна нулю. Точно так же дело обстоит и с DLP-комплексами. При их использовании, как и при обращении с ракетами, важны условия работы и умение применять имеющийся функционал.
Декларация "Мы внедрили DLP на предприятии", скорее всего, вызовет только спортивный интерес у желающих обойти защиту. Гораздо более эффективным может оказаться её скрытое внедрение, помогающее увеличить результативность сбора информации. Если же коснуться настройки фильтров, то без грамотного персонала служба безопасности либо с головой погрузится в поток ложных или маловажных срабатываний, либо будет жить в сладком неведении и иллюзии отсутствия инцидентов. Вывод прост: выбирая дорогое и эффективное оружие для защиты бизнеса, не экономьте на тех людях, которые будут держать этот ствол в руках.
Богатство выбора
На рынке присутствует не так много игроков в сегменте DLP-систем. При этом каждый из продаваемых продуктов характеризуется своими плюсами и минусами. Например, российский Infowatch Network Monitor великолепно работает с текстом передаваемых сообщений или пересылаемых документов, умеет склонять по падежам ключевые слова, ищет текст в отсканированных документах, но не предназначен для защиты рабочих станций, а только сетевого трафика.
Symantec DLP закрывает большинство "дырок" в безопасности инфраструктуры - почтовый, сетевой трафик, инспектирует действия, производимые на рабочих станциях, и ищет секретные документы по сетевым хранилищам. Но при этом его работа со словоформами ключевых слов и уровень распознавания текстовых документов отстают от функционала продукта Infowatch, а снимки экрана он не контролирует вообще. Кроме того, при отключении ноутбука от корпоративной сети он перестает производить анализ по индексированным файлам, а фильтрует данные только на основании ключевых слов.
Ещё один образец системы - McAfee Host DLP использует альтернативный механизм поиска секретных данных. С помощью программного обеспечения на файлах и папках ставятся специальные метки на уровне файловой системы. В том случае, если производится копирование информации из одного файла в другой, то помеченным окажется как исходный, так и конечный файл. Таким образом решается проблема защиты переносных компьютеров. Недостаток применяемого подхода - низкий коэффициент автоматизации процесса составления перечня защищаемых данных. Все операции по причислению конкретного документа к числу "секретных" должен выполнять оператор.
Кроме перечисленных поставщиков решений можно упомянуть отечественные Смарт Лайн Инк Device Lock и Searchinform, западные Websense и TrendMicro, каждый из которых обладает своими достоинствами и недостатками. Выбор решения всегда обуславливается потребностями компании, задачами, которые ставятся перед подразделением безопасности, и финансовыми возможностями организации. Для каждого формата задач и масштаба утечек найдётся своё решение. Единственный совет: доверьтесь профессионалам в вопросе его выбора и настройки.
"Википедия" представляет нам целых четыре варианта расшифровки, два из которых - Digital Light Processing и Disneyland Paris - мы отметаем из соображений элементарной логики, а к двум другим - Data Loss Prevention и Data Leak Prevention - присмотримся поподробнее. По сути обе аббревиатуры описывают одно и то же - защиту информации от выноса из компании внутренним злоумышленником или инсайдером. Для чего это может быть необходимо?
Безопасность касается каждого
Кейс 1. Обиженный продажник.
Иван Александрович, директор крупной дистрибьюторской компании, справедливо (или несправедливо?) увольняет руководителя отдела Петра. Обиженный Пётр в отместку за решение руководства решил подпортить бизнес своему экс-работодателю и поделиться клиентской базой с конкурентами. Одним кликом он отправляет базу своему знакомому коммерческому директору Сергею через общедоступный сервис электронной почты, а через пять минут на всякий случай перебрасывает её к себе на флэшку вместе с документами о закупочной стоимости товаров. В результате десять минут его вредительства существенно портят предыдущие несколько лет напряжённой работы всей компании.
Кейс 2. Инсайдер.
Уже знакомый нам Иван Александрович после того, как все последствия поступка Петра были успешно пережиты, всё равно продолжает замечать, что дела компании не стремятся к улучшению. В 90 процентах тендеров и конкурсов, в которых участвует его фирма, побеждают конкуренты, которые как будто знают условия, с которыми заявляются сотрудники Ивана. Вызванные им консультанты проводят аудит с использованием технологий DLP и обнаруживают, что любимая секретарша шефа Снежана каждый раз при попадании к ней тендерной документации либо отправляет её уже знакомому коммерческому директору Сергею, либо копирует к себе на флэш-диск. Плюс ко всему у неё на рабочем компьютере в заархивированной папке обнаружилась полная копия документов о банковских проводках компании за прошедший год. Секретарша уволена, консультанты вознаграждены, в компании внедряется DLP-система.
Любое преступление проще предотвратить, чем разгребать его последствия. Ключевое слово "предотвращение" - Prevention и характеризует основную задачу систем DLP - Data Leak/Loss Prevention (защита данных от утечки/потери).
Исходя из постановки задачи, нам необходимо обнаружить запрещённые действия Петра или Снежаны и не дать их совершить. Как это делает DLP-система?
Большой брат следит за тобой
Защита информации - это комплекс мер. Мы определяем, как Снежана и Пётр будут выносить базу данных, и берём под контроль эти сферы их деятельности или каналы утечки с помощью различных элементов комплекса. База невелика? В этом случае проще всего отправить её по электронной почте - начинаем фильтровать все обращения к почтовым системам. Размер базы данных затрудняет пересылку? Усилим внимание к съёмным устройствам на рабочих компьютерах (бывает же, что флэшки нужны для работы, все не запретишь...). Секретный документ можно отправить на печать? Будем фильтровать все обращения к принтерам.
Как комплексы определяют, разрешено или нет то или иное действие пользователя? Как правило, точно так же, как и человек - на основании содержания файла-документа-сообщения.
Оператор комплекса (а в идеальном случае - группа профессиональных аудиторов) составляет набор правил, на основании которых будет анализироваться исходящая информация. Ими могут быть как наборы слов и фраз ("секретно", "номер паспорта" и т.д.), так и шаблоны данных. Например, в любой DLP-системе существуют правила, которые безошибочно распознают наличие номеров кредитных карт в отправляемом файле или сообщении ICQ.
Кроме проверки на наличие ключевых слов, некоторые системы позволяют проверять, не является ли отправляемый текст частью другого документа. Отправка одного параграфа договора вызовет точно такую же цепочку событий, как если бы Снежана попыталась отправить договор Сергею целиком.
На тот случай, если будет производиться отправка отсканированного документа, DLP-комплекс можно заставить распознавать текст в изображениях и проверять их содержание на предмет наличия ключевых слов или соответствия внесённым в базу защищаемым документам.
Железный занавес
Кроме контроля за отправкой файлов и документов у DLP-систем присутствует ещё ряд сфер для контроля. Беда современных офисов, крадущая время и концентрацию внимания сотрудников, - это социальные сети и службы мгновенных сообщений (ICQ, QIP, Skype и прочие аналоги). Эти службы также могут превратиться в канал утечки важных сведений, с чем тем не менее можно успешно бороться. Только представьте себе бессильную злобу инсайдера, увидевшего вместо отправленного текста "завтра акции моей компании должны резко взлететь в цене" лишь ряд звёздочек... Плюс ко всему текст сообщения попадёт к администратору безопасности, и источник неудавшейся утечки сведений станет известен здесь и сейчас, а не спустя недели после инцидента.
Перекрыть фильтрами можно практически всё. Письма, сообщения, FTP и HTTP-трафик, принтеры и флэшки. Даже создаваемые злоумышленниками заархивированные "схроны" на всякий случай на файловых серверах могут быть вычислены с помощью DLP. Число перекрываемых каналов утечки и качество фильтрации определяются, как правило, только бюджетом компании и нацеленностью на результат.
DLP не панацея
После прочтения этой статьи может сложиться впечатление, что DLP-системы дают стопроцентную гарантию защиты от внутренних угроз. Это не так. Если доверить ракетную систему залпового огня не умеющему обращаться с ней взводу или просто загнать её на городские улицы, то её эффективность будет равна нулю. Точно так же дело обстоит и с DLP-комплексами. При их использовании, как и при обращении с ракетами, важны условия работы и умение применять имеющийся функционал.
Декларация "Мы внедрили DLP на предприятии", скорее всего, вызовет только спортивный интерес у желающих обойти защиту. Гораздо более эффективным может оказаться её скрытое внедрение, помогающее увеличить результативность сбора информации. Если же коснуться настройки фильтров, то без грамотного персонала служба безопасности либо с головой погрузится в поток ложных или маловажных срабатываний, либо будет жить в сладком неведении и иллюзии отсутствия инцидентов. Вывод прост: выбирая дорогое и эффективное оружие для защиты бизнеса, не экономьте на тех людях, которые будут держать этот ствол в руках.
Богатство выбора
На рынке присутствует не так много игроков в сегменте DLP-систем. При этом каждый из продаваемых продуктов характеризуется своими плюсами и минусами. Например, российский Infowatch Network Monitor великолепно работает с текстом передаваемых сообщений или пересылаемых документов, умеет склонять по падежам ключевые слова, ищет текст в отсканированных документах, но не предназначен для защиты рабочих станций, а только сетевого трафика.
Symantec DLP закрывает большинство "дырок" в безопасности инфраструктуры - почтовый, сетевой трафик, инспектирует действия, производимые на рабочих станциях, и ищет секретные документы по сетевым хранилищам. Но при этом его работа со словоформами ключевых слов и уровень распознавания текстовых документов отстают от функционала продукта Infowatch, а снимки экрана он не контролирует вообще. Кроме того, при отключении ноутбука от корпоративной сети он перестает производить анализ по индексированным файлам, а фильтрует данные только на основании ключевых слов.
Ещё один образец системы - McAfee Host DLP использует альтернативный механизм поиска секретных данных. С помощью программного обеспечения на файлах и папках ставятся специальные метки на уровне файловой системы. В том случае, если производится копирование информации из одного файла в другой, то помеченным окажется как исходный, так и конечный файл. Таким образом решается проблема защиты переносных компьютеров. Недостаток применяемого подхода - низкий коэффициент автоматизации процесса составления перечня защищаемых данных. Все операции по причислению конкретного документа к числу "секретных" должен выполнять оператор.
Кроме перечисленных поставщиков решений можно упомянуть отечественные Смарт Лайн Инк Device Lock и Searchinform, западные Websense и TrendMicro, каждый из которых обладает своими достоинствами и недостатками. Выбор решения всегда обуславливается потребностями компании, задачами, которые ставятся перед подразделением безопасности, и финансовыми возможностями организации. Для каждого формата задач и масштаба утечек найдётся своё решение. Единственный совет: доверьтесь профессионалам в вопросе его выбора и настройки.
