Найти и защитить: нюансы DLP

Владимир Бенгин
Руководитель направления
внедрения решений
информационной безопасности
группы "Астерос"

- Количество утечек конфиденциальной информации с каждым годом растет. Как российский ИБ-рынок реагирует на эту тенденцию? Могут ли ИБ-компании уже сегодня предложить достойный уровень защиты от злоумышленников? Можно ли обеспечить 100%-ную защиту?
- В попытках защитить информацию применяются различные методы и средства. Так, при помощи МЭ блокируются каналы передачи данных, которые не участвуют в бизнес-процессах. Для ограничения использования http/https применяют прокси-серверы, для защиты от внешних атак применяются системы IDS/IPS вкупе с антивирусными шлюзами, внедряются системы контроля за конечными станциями (контроль доступа, контроль используемого ПО). Все вышеперечисленное существует на рынке уже много лет. Но не стоит считать эти методы устаревшими - системы развиваются, становятся сложнее, а их управление - более простым и централизованным. Однако, даже создав оптимальный комплекс из перечисленных выше систем, мы не сможем обеспечить блокировку и защиту всех каналов, по которым возможна утечка конфиденциальной информации. В этом случае выходом является внедрение DLP-решений. Они не закрывают канал полностью - система инсталлируется поверх - и анализируют поток информации, которая нелегитимно покидает пределы ЛВС.

Будет ли комплекс вкупе с DLP давать 100%-ную защиту? К сожалению, нет. DLP - не панацея. Систему необходимо рассматривать как одно из средств по защите информации, снижающее риски компании в области ИБ. И тем не менее это отличный помощник в работе ИБ-специалистов, который заметно сокращает вероятность утечки данных и снижает экономические и репутационные риски.

- Что, кроме собственно роста количества угроз, является двигателем российского рынка DLP-решений? Насколько сам бизнес осознает необходимость внедрения такого рода решений?
- Результаты работы DLP-решений являются простыми и наглядными не только на уровне ИБ- и IT-подразделений. С помощью прозрачной статистики итоги может оценить и руководство компании, что способствует более глубокому пониманию значимости и укреплению роли ИБ в компании.

Лучшим доказательством необходимости полноценного внедрения DLP является пилотный проект. По его результатам заказчик может самостоятельно оценить работу DLP-решения, понять риски и определить ценность информации, обрабатываемой в компании, и вероятный ущерб в случае ее утечки.

- Какие решения по противодействию утечкам вы можете назвать наиболее/наименее эффективными? Существуют ли распространенные мифы в области защиты от утечек?
- В России большую популярность получили системы сбора и хранения данных, фиксирующие абсолютно весь трафик, а не только сам инцидент. У таких систем есть как плюсы, так и минусы. Во-первых, необходимо понимать, что для живого анализа потока данных такого объема штат ИБ-сотрудников должен быть приблизительно таким же, как весь штат компании, что уже нереально. Во-вторых, анализ и обработка данных за 3-4 месяца займет до 20 минут!

Плюсом таких систем является их бесспорная помощь при расследовании инцидентов. Некоторые заказчики для этих целей устанавливают несколько DLP-решений, компенсируя недочеты других ИБ-продуктов. Если не планируется использовать тотальный сбор данных, то не стоит заострять внимание на возможности DLP контролировать переписку в различных приложениях типа Instant messaging. Достаточно установить контроль за буфером обмена.

- Как заказчик должен подходить к выбору DLP-решения для его внедрения? На что обращать внимание в первую очередь?
- Для начала нужно составить перечень конфиденциальной информации, подлежащей защите. Это один из наиболее сложных и трудоемких этапов. К данной работе должны быть привлечены руководители всех основных подразделений. При этом перечень этих данных должен актуализироваться постоянно - как во время внедрения, так и в последующем рабочем режиме использования DLP.

При выборе классического DLP-решения пристальное внимание стоит уделить настройкам политик безопасности. Чем больше инструментов для персональных настроек, тем выше отдача от решения в будущем. Возможность работы с отпечатками/слепками данных, поддержка ключевых словарей с весами, детектирование/ раскрытие/анализ различных типов файлов, работа с печатными данными и т.д. - вот инструменты, которые будут актуальны в DLP. Стоит обратить внимание на список каналов передачи данных, которые необходимо контролировать, и, конечно же, на возможность встраивания системы DLP в эти каналы без капитальных изменений сети.

- За счет чего вашей компании удается быть одним из лидеров на рынке внедрения DLP?
- Внедрение DLP является одной из наиболее сложных задач в сфере ИБ, можно сказать "высший пилотаж". Каждый проект уникален и зачастую внешне похожие проекты требуют совершенно разного подхода при реализации. При внедрении DLP нет общего стандарта. Поэтому мы постоянно следим за новыми тенденциями в сфере DLP, тесно контактируем с вендорами, имея возможность изучать и сравнивать функционал. Мультивендорная политика позволяет нам подбирать оптимальный вариант для конкретных целей и задач заказчика, а успешный опыт внедрения систем DLP в крупнейших компаниях в течение многих лет - с уверенностью заявлять о высокой компетенции.