Вернуться на главную страницу выпуска>>
Автор: Коростелев Павел, менеджер по направлению информационной безопасности компании TopS BI
Вопрос защиты от утечек конфиденциальных данных и борьбы с инсайдерами приобретает все большую остроту и является важной частью политики информационной безопасности в компании. Решить проблему как намеренных, так и случайных утечек информации способны комплексные DLP-системы. При их внедрении очень важна квалифицированная консалтинговая поддержка.
По мере развития информационных технологий и каналов связи большое количество информации перекочевало в электронные формы. С неуклонным ростом объема данных и актуализацией тренда на совместную работу повышается вероятность как умышленных, так и случайных утечек информации. По данным InfoWatch, в 2010 г. в мире зарегистрировано 794 инцидента (почти в 4 раза больше, чем в 2006 г.), число скомпрометированных записей составило 654 млн.(на 100 млн больше, чем годом ранее). В России за тот же период было зафиксировано 28 инцидентов утечки конфиденциальной информации. Большая часть утечек относилась к категории умышленных и была связана с персональными данными, утекшими из банковских и государственных структур. Немалая часть утекших данных была использована для совершения мошеннических действий.
Триединая сущность DLP
Идея контроля всех возможных каналов потери данных сформировалась в начале 2000-х годов, и через некоторое время на рынок стали выходить системы, получившие название DLP (Data Leak Prevention или Data Loss Prevention). Системы этого класса контролируют один или несколько каналов (USB-порты, передача файлов в Web, сетевые хранилища и т.д.) и на автоматизированном уровне определяют, содержит ли тот или иной пакет передаваемых данных конфиденциальную информацию.
Комплексные DLP-системы имеют три составных части. Первая из них отвечает непосредственно за работу пользователя на рабочей станции, контролируя передачу файлов через Web, а также внешние носители (USB и прочие). Как правило, этот уровень реализован в виде агентского софта. Но особо продвинутые пользователи могут обойти такую защиту, поэтому в комплексных DLP-решениях она также реализуется на сетевом уровне. Здесь речь идет о некоем дополнительном шлюзе, через который проходит трафик, и вычленяется информация, которая может считаться конфиденциальной. Современные алгоритмы позволяют определить ее с точностью в 95-97%. Все инциденты не должны содержать ошибок ни первого, ни второго рода, то есть система не должна пропускать утечки и ошибочно считать те или иные файлы конфиденциальными.
Третий модуль современной DLP-системы отвечает за сканирование сетевых ресурсов – как файловых, так и почтовых серверов. Это отвечает требованиям западных регуляторов, согласно которым компания всегда должна знать, где находятся ее конфиденциальные данные. Например, если сотрудник случайно или намеренно выложит секретный файл на общий сервер, DLP-система это оперативно определит и уведомит администратора.
Рыночные предложения
В 2010 г. объем рынка DLP в России составил порядка $15 млн, посчитали специалисты Anti-Malware.ru. В расчет брались только системы, поддерживающие предотвращение утечек при помощи блокировки трафика. На российском рынке сейчас представлены как ряд DLP-решений от западных вендоров, так и разработки отечественных компаний.
Согласно «магическому квадранту» Gartner, опубликованному в августе 2011 г., безусловными лидерами на рынке решений по защите от утечек являются компании Symantec и McAfee. Среди достоинств решения Symantec Data Loss Prevention 11 алгоритм анализа данных VML, основанный на технологиях искусственного интеллекта и способный самостоятельно определить данные, доступ к которым должен быть ограничен. Кроме того, новейшее решение Symantec при помощи усовершенствованной технологии Data Insight повышает эффективность процесса реагирования на инциденты. Обеспечивает наивысшие уровни защиты конфиденциальных данных, одновременно значительно сокращая стоимость и снижая уровень сложности системы защиты информации, критически важной для деятельности компании. В основе новейшего решения McAfee Data Loss Prevention 9 лежит устройство, почти не требующее технического обслуживания, и платформа McAfee ePolicy Orchestrator (ePO), обеспечивающая оптимизацию процессов развертывания, управления, обновления программного обеспечения и составления отчетности.
К числу наиболее известных комплексных DLP-систем также относится разработка Data Security Suite (DSS) компании WebSense. Данное решение предоставляет защиту от утечек информации, основанную на контроле исходящего сетевого трафика, поиска хранимых данных, агентского контроля.
Из предложений нишевых игроков рынка (согласно классификации Gartner) выделим систему Trend Micro Data Loss Prevention, которая обеспечивает защиту данных как в сети, так и за ее пределами по всем векторам атаки, включая электронную почту, веб-почту, социальные сети, мгновенные сообщения, приложение Skype, службы совместного использования файлов Windows, компакт-диски, USB-накопители, ActiveSync и т. п.
Западные DLP-решения, как правило, более функциональные, но при этом, естественно, и более дорогие. Развитие их функционала исторически связано с требованиями зарубежных регуляторов, которые изначально были достаточно жесткими. Чтобы соответствовать этим требованиям, компании вынуждены были выделять необходимые ресурсы и тесно взаимодействовать с ИБ-вендорами, формулируя свои требования к созданию систем предотвращения утечек.
Отечественные средства защиты от утечек информации развивались иным путем. Тема DLP приобрела большую популярность в 2006-2007 гг., когда на рынке заявила о себе компания InfoWatch. Сегодня она предлагает комплексные DLP-решения на базе программных продуктов InfoWatch Traffic Monitor Enterprise и InfoWatch CryptoStorage Enterprise, которые позволяют контролировать информацию, защищать ее от несанкционированного доступа и распространения. Среди отечественных DLP-разработок также заметное положение занимают решения компаний Secure IT и «Инфосистемы Джет».
Так как в России нет законодательных требований, предусматривающих ответственность за потерю конфиденциальной информации, то российский рынок DLP вслед за бурным стартом перешел в подвешенное состояние: ИТ-директора понимают важность защиты от утечек, но бизнес занимает выжидательную позицию и пока неохотно выделяет средства. В то же время в России стабильно высоким спросом пользуются средства, которые отвечают за закрытие USB-портов. Пока они продаются в разы лучше, чем комплексные DLP-системы. Есть также широкая линейка простых DLP-решений. По сути они являются бесплатными встроенными дополнениями к различным средствам обеспечения информационной безопасности.
Консалтинг как необходимость
Сложность внедрения DLP-систем состоит в том, что компания, как правило, сходу не может сказать, какие конкретно данные она считает конфиденциальными. Поэтому серьезной частью любого подобного проекта является консалтинговая проработка. Профессиональные консультанты по ИБ в процессе общения с заказчиком помогут ему определить типы конфиденциальной информации, перечень всех конфиденциальных файлов и правильно прописать ответственность за сохранение каждого из типов данных файлов. При этом важно назначить конкретного ответственного. Так, в случае утечки секретного бухгалтерского документа ответственность, как правило, лежит на главном бухгалтере компании, а если на сторону «ушел» юридический договор, то на главном юристе. Персональная ответственность, как правило, благотворно влияет на исполнительскую дисциплину в компании.
Разумеется, ни одна DLP-система, даже самая совершенная, на 100% не способна защитить вашу компанию от злонамеренных действий инсайдеров. Конфиденциальную информацию можно запомнить, сделать снимки, записать на диктофон и т.д. Но основные каналы утечек современные системы успешно держат на «мушке». Кроме того, невозможно переоценить возможности DLP по борьбе со случайными утечками.