Что заказчики ожидают от DLP-систем?

1. Мы не видим тут каких-либо специфичных рисков, связанных с удаленной работой или работой в мобильном офисе. Все корпоративные информационные потоки должны идти по зашифрованным каналам (VPN) через информационные системы компании и проходить через DLP, стоящую на шлюзе. Такое построение корпоративных потоков через DLP-системы делает риски утечки (или компрометации) информации уровня business-critical одинаковыми для стационарных, мобильных и удаленных рабочих мест. Другое дело, что на данный момент многие компании пренебрегают этим риском и не внедряют специфичные решения (такие как MDM или BYOD), которые позволяют лучше контролировать действия сотрудников. Но, тем не менее, почтовый трафик всегда идет через DLP, если он, конечно, есть.

2. Нет, явных требований по защите от APT наши заказчики к DLP-системам не выдвигают. DLP-системы контролируют потоки информации внутри компании, выход информации за ее периметр, а также штатные легитимные потоки данных извне.

Напрямую DLP-система для защиты от хакерских атак не предназначена, но, тем не менее, может существенно помочь как в предотвращении, так и в расследовании соответствующих инцидентов. Также средства DLP хороши для предотвращения социальной инженерии. И отдельно хочется отметить, что многие заказчики сегодня выдвигают требования по интеграции DLP с SIEM.

3. Следует отталкиваться от назначения DLP-системы. Если цель – предотвращение нелегитимной передачи информации, нужны такие возможности, как контроль каналов передачи информации, оперативная настройка правил такого контроля и активное противодействие на каждом канале.

Для проведения расследований инцидентов безопасности на большую глубину нужен архив коммуникаций, позволяющий хранить значительные объемы информации. Если плечо расследования – несколько лет (а в нашей практике встречалось и более 10 лет), то немаловажным фактором становятся скорость и простота подключения к оперативному архиву секций, переданных на долговременное хранение. Ну и самое важное – возможность и удобство поиска по действительно большому архиву, автоматизация создания контекстных поисковых запросов.

За любым нарушением всегда стоит человек. Поэтому важно, чтобы система предоставляла консолидированную информацию по сотрудникам на основании накопленных данных об их коммуникациях – так называемый профиль поведения сотрудника: статистика по нарушениям, контактам, по используемым каналам коммуникаций. Следующим шагом является возможность детектирования аномалий поведения.

1. Ответ очевиден – это утечка данных и отсутствие эффективного контроля над информацией. Хочу заметить, что при наличии ЦОДа удаленные и мобильные офисы не являются причиной, по которой компании вынуждены отказываться от внедрения DLP.

2. DLP-системы не являются специальными средствами борьбы с изощренными атаками. Требования же к DLP-системам меняются с появлением новых сред управления информацией (мобильные офисы и облачные информационные системы) или новых процессов (необходимость групповой обработки DLP-инцидентов).

3. Если компании уже понятны стоящие перед DLP-системой задачи, то при прочих равных необходимо обратить внимание на возможности интеграции с другими существующими или планируемыми к развертыванию системами.

4. Ключом для повышения эффективности управления доступом к информации является система единого входа (SSO). Интеграция SSO-системы с системами двухфакторной аутентификации (2FA) и инфраструктуры публичных ключей (PKI) позволяет одновременно повысить и удобство пользователей, и информационную безопасность.

1. Проблема обеспечения безопасности данных мобильных сотрудников действительно стоит остро. Главные угрозы при этом:

• утеря носителей с информацией;
• возможность целенаправленного или случайного слива информации;
• бесконтрольность распространения конфиденциальной информации.

2. Безусловно. Сегодня компании хотят получить действительно комплексную систему, которая решит проблему утечки информации, а не просто будет контролировать какие-то каналы передачи. Главным признаком комплексного решения является способность DLP-системы предотвратить утечку на всех этапах ее обращения в корпоративной среде:

• во время хранения (для этого необходим функционал шифрования);
• при обработке (для этого нужны локальные агенты);
• при передаче, в т.ч. за пределы сети (для этого нужно решение на шлюзе сети).

3. Ключевые требования, которые заказчики предъявляют к DLP-системам:

• контроль всех потенциальных каналов и источников утечки: сетевых (электронная почта, Web-почта, HTTP-трафик, IM-сервисы и др.), локальных (USB-устройства, устройства с другими типами интерфейса и беспроводным подключением), хранилищ информации (ПК, ноутбуки, оптические диски, магнитные ленты и др.);
• набор технологий, используемых для анализа информации (это и цифровые отпечатки, и самообучающиеся технологии, и SVM, SmartID, ImagePrints, и мн.др. – многие заказчики требуют гибридного анализа, когда используется несколько технологий детектирования одновременно);
• наличие режимов блокировки и мониторинга (также заказчики интересуются возможностью смешанного режима работы, когда блокируются только наиболее явные нарушения политик ИБ, а другие требуют дополнительной проверки для минимизации ошибок);
• наличие архива и инструментов для его анализа (для расследования инцидентов, анализа действий пользователей, соответствия требований нормативных актов, сохранения теневых копий критически важных файлов и т.д.);
• комфортное управление (желательно всеми модулями DLP из одной консоли, а не каждым продуктом по отдельности);
• развитая система отчетности (для демонстрации результатов работы DLP).

4. Управление доступом – это все же другой класс решений. Хотя функции шифрования данных, встроенные в некоторые DLP-системы, действительно позволяют повысить эффективность управления доступом. К примеру, принудительное шифрование конфиденциальных файлов, копируемых на флешку, не позволит третьим лицам получить к ним доступ в случае кражи или утери. Доступ к данным можно будет получить лишь с компьютера, который находится под контролем DLP-системы.

1. Все зависит от того, имеет ли компания возможность контролировать свою инфраструктуру в этих офисах. Ситуация осложняется тем, что удаленные сотрудники и административно контролируются хуже, чем сотрудники в офисе, поэтому имеют не только бесконтрольный доступ к информации, но и полную свободу контактов. То есть отдавая корпоративную информацию на неконтролируемое мобильное устройство, можно мысленно с ней попрощаться: то, что ты не контролируешь, тебе не принадлежит.

2. Многие расследованные атаки последних лет показывают, что сами атаки стали сложнее, и отбить их с помощью одного технического средства невозможно. В современных атаках используются не только инсайдеры (мотивированные или ставшие жертвами социальной инженерии), но и специально написанные троянские программы, DDoS-атаки и иногда даже панические "вбросы" в соцсети. Поэтому DLP, работающее по типу "документы, похожие на вот этот, за пределы компании не выпускать" уже не работает – требуется учитывать не только сам контент, но и формальные атрибуты сообщения (кто, когда, каким каналом, откуда, куда), а также события в других системах безопасности, учет изменения профиля поведения пользователей в корпоративной сети и соцсетях и другие решения.

3. Прежде всего надо четко сформулировать задачу, а не пытаться купить какое-то решение и подстраиваться под него. Классическое "хочу защититься от утечек" уже не описывает задачу. Необходимо задать себе десятки вопросов, которые помогут сегментировать нечеткую и не решаемую в общем виде задачу на несколько решаемых и с хорошей точностью.

1. Эта ситуация принципиально ничем не отличается от положения любой компании, где нет DLP. Невозможно контролировать действия сотрудников, кто и кому пересылает конфиденциальную информацию. Таким образом, компания просто оказывается беззащитной перед внутренними угрозами – от кражи ценной информации и шпионажа в пользу конкурентов до мошенничества, коррупции и пр.

2. Требования, конечно, меняются, но в их основе лежит желание компании решать бизнес-задачи, а не просто предотвращать утечки информации. Например, сотрудники договариваются о мошенничестве, прямом воровстве денег у компании. Где здесь утечка? А нет утечки – нет и реакции со стороны DLP-систем. Поэтому сейчас мы ощущаем спрос на решения с расширенной функциональностью, способной выявлять и противостоять целому комплексу внутренних угроз.

3. Есть несколько важных моментов. Во-первых, хотя все вендоры заявляют о наличии определенного набора технологий в продукте, сравнение "по галочкам" – это лукавство. Надо смотреть, на каком уровне реализована каждая технология, проводить тестирование. Двигатель внутреннего сгорания тоже есть в каждой машине, но Ferrari, тем не менее, едет ощутимо лучше "Жигулей".

Далее, при внедрении системы по защите от внутренних угроз очень важно правильно настроить решение, иначе весь проект теряет смысл. Готов ли вендор оказывать серьезную поддержку на этом этапе, или все сложности лягут на плечи заказчика?

1. Удаленные филиалы и подразделения компании в случае наличия самостоятельного выхода в Интернет требуют абсолютно такой же защиты от утечек данных, что и штаб-квартира компании, с архитектурной поправкой на меньший масштаб. Также они всегда требуют такой же защиты от утечек при использовании сотрудниками съемных носителей, при выводе данных на печать и т.п.

Что касается мобильных офисов, то использование сотрудниками нестационарных рабочих мест сильно усложняет задачу контроля утечек. Здесь уже, кроме классической защиты с помощью агента DLP, установленного на конечной точке, может возникнуть необходимость использовать средства организации виртуальной доверенной рабочей среды, которая будет отделена от операционной системы.

2. Вопрос утечки данных на самом деле мало пересекается с "хакерством". Большая часть утечек (по некоторой статистике – более 90%) является следствием непреднамеренной или непрофессионально злонамеренной передачи данных наружу, а не целенаправленной атакой.

К сожалению, DLP-системы на практике мало полезны в защите от продуманных целенаправленных атак. Для борьбы с атаками такого рода компания должна использовать решения по предотвращению вторжений.

3. В первую очередь заказчику стоит обратить внимание на спектр поддерживаемых DLP-системой каналов утечки данных. Понять, а позволяет ли выбранная система без использования сторонних средств максимально охватить такие каналы, как выход в Интернет, электронную почту, ПО мгновенных сообщений, реализовать контроль съемных устройств, печати и обнаружение запрещенной информации на сетевых ресурсах и рабочих станциях. Насколько легко все компоненты системы могут быть встроены в текущую инфраструктуру. Разобраться, насколько функциональным является агент DLP, устанавливаемый на рабочие станции пользователей и позволяет ли он обеспечить необходимый уровень контроля в автономном режиме, т.е. за пределами сети организации.

Очень важной с точки зрения развития и сопровождения системы DLP является гибкость политики обнаружения утечек. Т.е. позволяет ли система писать многоуровневые правила и новые шаблоны, и какие способы идентификации информации используются (типы файлов, ключевые слова, цифровые отпечатки файлов и таблиц БД, сличения с шаблоном документа, оптическое распознавание, метки документов и прочее).

Также в российских реалиях стоит обратить внимание на поддержку русского языка и различных кодировок текста в системе DLP, что до сих пор иногда бывает неожиданной проблемой.

1. Обычно компании с "удаленными офисами" ограничиваются созданием защищенного VPN-соединения и, как максимум, внедрением MDM-системы. Задачу контроля перемещения информации это не решает. Пользователи беспрепятственно скачивают информацию, в том числе конфиденциальную, и могут свободно перемещать ее дальше: отправлять по личной почте, копировать на съемные устройства, скачивать на личные смартфоны и т.д. Для обеспечения должного уровня контроля с сохранением степени комфорта стоит внедрить DLP на рабочие станции – сотрудники будут иметь удаленный доступ к информации с устройств, контролируемых специальной системой. Агенты DLP работают и без подключения к корпоративной сети, тем самым осуществляя непрерывный контроль перемещения информации и своевременное выявление инцидентов.

2. Мы наблюдаем за появлением новых типов утечек и новых портретов нарушителей. Если раньше утечки по большей части были случайными и по неосторожности, то сейчас все чаще встречается умышленное воровство информации, запланированный инсайд. В роли нарушителя могут выступать целые группы сотрудников по сговору. В связи с этим требования заказчиков к DLP все больше стали разворачиваться в сторону экономической безопасности – фактически, помимо классического контроля утечек информации заказчики ожидают от системы выявления мошенничества. Это накладывает отпечаток не столько на сам продукт, сколько на работы интегратора по его правильной настройке и последующему расширенному сопровождению системы.

3. В современных реалиях стоит пристальнее присматриваться к решениям отечественных производителей – они уже адаптировали свои продукты под задачи местного заказчика (и готовы продолжить этот процесс).

Если говорить о технической стороне продуктов, то здесь стоит уделить пристальное внимание не сухому описанию возможностей (они сейчас более или менее одинаковы у всех ведущих игроков рынка), а качеству их реализации. Выбранную систему офицер ИБ будет эксплуатировать ежедневно, поэтому она должна быть ему удобна – быстро и надежно выявлять подозрительные события, удобно предоставлять информацию об обнаруженных инцидентах. Параллельно с этим стоит разумно оценить потребность в конкретных модулях системы, чтобы и бюджет первого этапа проекта был "подъемным", и после внедрения хватило рук на использование системы. Показав результаты работы первого этапа, будет проще объяснять целесообразность дальнейшего развития и поддержки системы. Кстати, сервисное сопровождение системы – тоже важный аспект. Стоит уделить внимание ведущим вендорам и интеграторам, которые поддерживают большое количество инсталляций.

4. DLP хорошо сочетается с SIEM-системами – расширяется спектр контролируемых инцидентов, появляется корреляция событий. BI-системы позволяют сделать использование DLP более прозрачным и дают возможность наглядного представления результатов контроля утечек, в том числе для других потенциальных потребителей результатов работы системы (HR, служба экономической безопасности, топ-менеджмент). Причем функционал BI позволяет получить любой уровень детализации отображаемого события (вплоть до его открытия в интерфейсе DLP буквально парой кликов мыши).

1. В этом случае можно говорить о том, что в компании существуют риски, связанные с утечкой информации, и "точкой утечки" могут выступать как раз удаленные/мобильные офисы, т.к. в них зачастую отсутствуют выделенные специалисты по защите информации и уровень контроля ниже, чем "в центре".

Утечка информации, в свою очередь, может привести к таким негативным последствиям, как материальный и/или репутационный ущерб, упущенная выгода, судебные разбирательства и т.д., в масштабах уже всей компании. Поэтому компании необходимо оценить в денежном эквиваленте возможные перспективные негативные последствия в случае утечки данных и принять решение о целесообразности внедрения DLP.

2. Конечно. Заказчик заинтересован в наиболее современных DLP-решениях, отвечающих всем текущим реалиям. Иначе применение DLP станет лишь пустой финансовой тратой.

3. При выборе DLP-систем, кроме стоимости, заказчику также необходимо обратить внимание на функциональность решения, а именно: охватываемые каналы контроля/перехвата; перечень поддерживаемых операционных систем агентами DLP; на каких каналах решение может реально производить блокировку передачи данных, в т.ч. с учетом контента.

Если говорить о последнем, то большинство отечественных производителей DLP-решений могут гарантировать блокировку по контенту лишь по HTTP- и SMTP-каналам, чего может оказаться недостаточно.

Также немаловажным критерием в выборе DLP является простота внедрения и еще больше – возможности самостоятельного сопровождения данной системы, если бюджет на подобную услугу ограничен.

4. Первостепенно для повышения эффективности управления доступом к информационным ресурсам я бы отметил наличие не технических решений, а выстроенных процессов и процедур в рамках управления доступом (Access Control). Это связано с тем, что именно от их качества будет зависеть эффективность работы любого технического решения, начиная от штатно встроенного в ОС Microsoft DAC (Dynamic Access Control) и до лидеров квадранта Gartner.