Решение File Activity Monitoring - друг и помощник вашей DLP-системы

Александр Шахлевич
Менеджер по продажам в России, Imperva

Казалось бы, такой уровень зрелости отрасли не может не радовать, но год от года количество утечек не только не снижается, а, наоборот, увеличивается, что подтверждает целый ряд исследований. Так, известный российский производитель DLP-систем, компания Infowatch, в своем исследовании утечек за 2012 г. говорит о 16%-ном росте общего числа инцидентов по сравнению с 2011 г.

Более тревожные цифры приводят западные агентства - по статистике специализированного ресурса www.data-lossdb.org, рост числа утечек в 2012 г. составил почти 50% (см. рис. 2).

Во многом такой рост объясняется большей открытостью компаний, публикующих данные об утечках. Приведенные цифры, конечно же, не отражают полную картину происходящего, но наглядно показывают, что проблема до сих пор не решена и продолжает набирать обороты. Давайте разберемся, почему это происходит, какие изменения мы можем наблюдать в характере и источниках утечек и что стоит предпринять для сокращения рисков в собственной организации.

Эволюция утечек

Долгое время аналитики утверждали, что большинство инцидентов являются случайными (неумышленными), что подтверждается множественными исследованиями по утечкам данных за 2006-2010 гг. При этом целый ряд производителей DLP-решений открыто заявляет, что их продукты действительно помогают остановить случайные утечки, но практически бесполезны против целенаправленного инсайда.

Объяснение кроется в самой природе DLP-решений - это системы контроля распространения информации с конечных устройств пользователей, но не системы защиты доступа к этой информации в месте ее хранения (файловые сервера/СУБД). То есть DLP-решения защищают информацию тогда, когда пользователь уже получил к ней доступ, предотвращая дальнейшую (непреднамеренную) передачу.

Я не хочу преуменьшить значимость систем DLP, тем более что эффективность их использования большинство компаний осознает еще на этапе тестирования, выявляя нарушителей. Именно активное внедрение этих систем в корпоративном сегменте привело нас к тем показателям, что мы имеем сейчас, - существенно уменьшился процент случайных утечек, при том, что общее число инцидентов продолжает неизменно расти (рис. 3).

Что характерно, по данным ежегодного аналитического отчета 2013 Data Breach Investigations Report от компании Verizon, в 2012 г. в 92% случаев в утечке были замешаны посторонние лица, не сотрудники компании (рис. 4).

При этом в 52% случаев использовались хакерские инструменты, в 76% случаев утечка данных происходила в следствие слабой парольной политики или компрометации учетных данных сотрудников организации. Единственный логичный вывод отсюда - количество умышленных утечек будет только увеличиваться, а значит компаниям нужно приготовиться к новым проблемам.

Дополните свой арсенал решениями класса File Activity Monitoring

Раз число умышленных утечек будет расти, то необходимо обезопасить также сами информационные хранилища, на которые, вероятнее всего, будут охотиться злоумышленники. Традиционные способы аудита доступа к файлам и управления правами пользователей зачастую не удовлетворяют потребностям заказчиков. Инструменты сторонних производителей и другие широко распространенные решения, например пользовательские группы директорий и встроенные в ОС механизмы аудита, не соответствуют высоким темпам роста информационных систем и неструктурированных данных.

Продукты класса File Activity Monitoring/File Security обеспечивают мониторинг, аудит и защиту файлов, хранимых на файловых серверах и в сетевых хранилищах, а также контроль прав доступа пользователей. Эти решения позволяют осуществлять аудит доступа к файлам с целью выявления владельцев и пользователей, непосредственно с ними работающих. Они обеспечивают безопасность уязвимых данных, хранимых в файлах, путем генерации оповещений и опционально могут блокировать любые попытки неавторизованного доступа. Они способствуют оперативному проведению расследований инцидентов путем генерации достоверных и релевантных отчетов и оценок.

На рынке существует всего несколько вендоров, производящих решения класса File Security, и одним из лидеров этой ниши является Imperva. Устройства Imperva SecureSphere осуществляют непрерывный мониторинг и аудит всех операций с файлами в реальном времени без снижения производительности и доступности файловых серверов. Устройства SecureSphere создают детализированный отчет, который включает имена пользователей, файлов, папок, время доступа, наименование операции и другие параметры. Журнал аудита хранится на внешнем и защищенном репозитории, доступ к которому предоставляется только на чтение и на ролевой основе.

Устройства SecureSphere обладают интерактивным инструментарием для проведения аудита с визуализацией действий пользователей и их прав доступа к файлам. Специалисты служб безопасности и аудиторы могут использовать этот инструментарий для определения поведенческих трендов, сигнатур и рисков, ассоциированных с действиями пользователей и их правами доступа к файлам. Благодаря многомерным таблицам просмотра данных аудита (views), обновляющимся в масштабе времени, близком к реальному, упрощается расследование инцидентов и повышается их точность и достоверность.

Устройства SecureSphere обладают богатыми возможностями для создания графических отчетов, позволяющих оценивать риски и документировать все события в соответствии с требованиями стандартов безопасности SOX, PCI, HIPAA и др. Все отчеты полностью настраиваемы и могут быть сгенерированы по требованию или по расписанию. Основная панель (Dashboard) отображает события безопасности и информацию о состоянии устройства. Внутренняя система отчетности устройств Imperva SecureSphere позволяет с высокой скоростью оценивать показатели защищенности и соответствия требованиям стандартов безопасности, а также осуществлять контроль прав доступа пользователей к файлам.

В заключение отмечу, что устройства SecureSphere обладают отличными возможностями для проведения аудита доступа к файлам и управления правами доступа пользователей, которые позволяют реализовать соответствие требованиям стандартов безопасности, втом числе ФЗ-152, обеспечить высокий уровень защиты и упростить выполнение административных операций. Решения File Security интегрируются с большим числом производителей DLP-систем, таких как RSA, Websense, Symantec, McAfee, Code Green и др. Также реализована интеграция с большинством современных SIEM-систем. Устройства Imperva SecureSphere удовлетворяют требованиям заказчиков любого масштаба: от небольших организаций с одним файловым сервером до крупных предприятий с географически распределенными дата-центрами.