IRM и DLP. Перспективы развития

Тимур Каримов
системный инженер департамента
информационных технологий компании КРОК

В июле 2010 г. советник президента США по национальной безопасности генерал Джеймс Джонс заявил, что ставшие достоянием общественности секретные данные о войне в Афганистане "могут поставить под угрозу жизни американцев и наших партнеров". Речь идет о документах, опубликованных на сайте Wikileaks и перепечатанных ведущими мировыми  изданиями.

В целом по документам, к которым получили доступ журналисты, вырисовывается следующая картина: силы коалиции проигрывают войну в Афганистане, военные убивают сотни мирных жителей и информация об этом не становится достоянием общественности, число нападений со стороны талибов увеличивается, а командующие силами НАТО опасаются, что Пакистан и Иран поддерживают нестабильность в регионе.

Описанный выше случай в полной мере отражает общую тенденцию угрозы информационной безопасности последних лет. С развитием информационных технологий информация стала текучей, как никогда.

По данным проведенного Аналитическим     центром InfoWatch исследования известных инцидентов, связанных с утечками конфиденциальной информации, общее фиксируемое количество утечек в первом полугодии 2009 г. по сравнению с аналогичным периодом 2008 г. показало тенденцию к увеличению в целом: 735 против 530 – рост на 39%. Рост общего количества фиксируемых утечек продолжился, но замедлился. На этом фоне прослеживается увеличение доли умышленных утечек. Одной из причин этого является рост распространенности DLP-систем, которые предотвращают случайные утечки почти во всех случаях, а умышленные – только в некоторых. С другой стороны, стоимость информации (в частности, персональных данных) растет, что также способствует росту доли инцидентов со злым умыслом.

Решения класса IRM

Путей защиты от утечек существует несколько. Это и использование шифрования носителей информации, и внедрение полноценных DLP-си-стем (Data Leak Prevention), которые отличаются комплексным мониторингом всех возможных каналов и протоколов, но все они обладают своими слабыми сторонами. Часть недостатков можно устранить еще одним классом решений – Information Rights Management (IRM) – с помощью технологии, которая позволяет ограничить пересылку, вставку, печать и прочие несанкционированные действия над данными путем их запрета в защищенных документах и сообщениях электронной почты.

Работа типичного IRM-реше-ния строится на базе двух механизмов: меток конфиденциальности и шифрования. Каждый защищаемый с помощью IRM файл помещается в зашифрованный контейнер вместе со специальной меткой, определяющей права доступа к нему. Суть IRM состоит в том, что даже если такой контейнер попадет за пределы сети, то без прав доступа к документу он будет совершенно бесполезен. С точки зрения контроля информации, перемещаемой на съемных носителях, данная схема сходна с принудительным шифрованием помещаемых на съемные носители данных, которое часто встречается в системах контроля доступа к портам и периферийным устройствам. Решения класса IRM разрешают экспорт конфиденциальной информации только в зашифрованном виде, что позволяет всегда защитить компанию от случайных утечек, и довольно часто – от утечек спланированных.

IRM позволяет автоматически или вручную защищать документы на различных стадиях их жизненного цикла с помощью средств, интегрированных в операционную систему, приложения по созданию документов, клиентские программы электронной почты (Microsoft Office, Microsoft Outlook, Adobe Reader, Lotus Notes и т.д.) и общие репози-тории. Данные средства обычно представлены в виде агента, который отвечает за аутентификацию пользователей, запрашивая права с сервера IRM, защищая и протоколируя работу с защищенными документами и почтовыми сообщениями.

Защита документов и электронных сообщений осуществляется при помощи механизмов шифрования и цифровых электронных подписей, добавляя привязки к находящимся в сети серверам IRM (управляемым централизованно организацией, которой принадлежат документы), которые хранят информацию для расшифровки и права доступа к документам.

Защищенные документы и электронные      сообщения могут распространяться любым доступным способом (e-mail, Web, через файловые сервера и т.д.) Права на защищенные документы могут быть жестко привязаны ко времени защиты и сохраняться как отдельно от запечатанных документов и почтовых сообщений на сервере IRM, позволяя менять права в любое удобное время, так и храниться локально на компьютере пользователя, позволяя работать с документом в режиме офлайн.

Сервер и агенты IRM совместно обеспечивают аудит всех попыток обращения к запечатанным документам и электронным письмам (on-line и offline), всех административных операций, таких как назначение или изъятие прав.

DLP и IRM: взаимодополняющие особенности

Эффективность IRM-реше-ний во многом зависит от количества защищаемых файлов и интенсивности их модификации пользователем. На практике данное требование эквивалентно классификации всех корпоративных данных, что является достаточно трудоемкой задачей.

Из вышесказанного прослеживается, что решения DLP и IRM решают схожие проблемы разными путями и несут в себе взаимодополняющие особенности:

• DLP хорошо подходит для ситуаций, когда организация не знает местонахождения принадлежащей ей конфиденциальной информации. В этом случае DLP поможет выявить каналы распространения этой информации и принять меры по предотвращению данной утечки.
• DLP осуществляет фильтрацию содержимого одномоментно, например при обмене информацией с партнером посредством электронного письма. Однако через 6 месяцев организация может разорвать отношения с данным партнером, и правило фильтрации DLP может измениться, но это уже не повлияет на информацию, которую он получал все эти полгода. DLP не может ретроактивно блокировать доступ к информации, которой ранее было разрешено выходить за пределы его контроля.
• IRM хорошо подходит для ситуаций, когда организация имеет относительно четко определенные бизнес-процессы с участием конфиденциальной информации, например обмен интеллектуальной собственностью с партнерами, финансовая отчетность и т.д. Защита при помощи IRM конфиденциальных документов или электронных писем гарантирует, что все копии останутся защищенными независимо от их местонахождения.
• IRM продолжает работать за пределами периметров защиты предприятия, что позволяет контролировать жизненный цикл и невозможность тиражирования защищенных документов. IRM обеспечивает постоянную защиту, и доступ к информации может быть отменен в любое время.

Таким образом, ни та, ни другая концепция не решают задачу защиты от утечек полностью, поскольку имеют определенные недостатки. Однако если осуществить интеграцию данных решений, мы получим систему, которая сможет автоматически классифицировать информацию и шифровать ее с различными правами доступа в зависимости от содержимого.

Интеграция DLP и IRM в IТ-инфраструктуру ГК "Роснанотех"

На данный момент на мировом рынке информационной безопасности не существует ни одного интегрированного решения, сочетающего в себе черты двух обозначенных технологий.

В связи с этим специалисты компании КРОК разработали систему, основанную на интеграции DLP и IRM. Впоследствии мы успешно внедрили ее в IТ-инфраструктуру ГК "Рос-нанотех". Возможности этой системы позволяют:

• производить поиск на рабочих станциях пользователей и серверах компании файлов, содержащих конфиденциальную информацию при помощи модуля Symantec DLP и последующую их защиту при помощи Oracle IRM с правами доступа, соответствующими классу конфиденциальности обнаруженной информации;
• производить фильтрацию сообщений электронной почты на предмет наличия данных, содержащих конфиденциальную информацию и также последующую их защиту с правами доступа, соответствующими классу конфиденциальности.

Продолжая тему интеграции технологий IRM, нельзя обойти вниманием защиту отчетных материалов корпоративных информационных систем от несанкционированного доступа. Для решения данной задачи предпринимают целый комплекс организационных мер – вплоть до создания специальных секретных помещений, где устанавливаются принтеры для печати отчетов, которые затем выдаются пользователям под расписку. Чтобы избавить бизнес от столь обременительных процедур, мы создали систему, основанную на интеграции IRM и систем построения отчетности. С ее помощью можно обеспечить защиту конфиденциальной информации предприятия не только на уровне выгруженных представлений отчетов (MS Word, MS Excel, PDF и.т.д.), но и непосредственно на уровне HTML – представления отчета в браузере клиента. Внедрение системы не требует модификации реализованных отчетов.

Кроме того, в рамках одного из проектов мы разработали решение по интеграции IRM с различными клиент-серверными приложениями. Оно позволяет принудительно защищать файлы, выгружаемые пользователем из этих приложений, в соответствии с классом конфиденциальности информации, обрабатываемой в них.