В рубрику "DLP" | К списку рубрик | К списку авторов | К списку публикаций
DLP-системы или "Сожалеем, но у вас уже все украли" DLP-систем не существует. Система DLP - это система предотвращения утечки данных. Ее цель - не дать возможность защищаемым данным покинуть некоторое информационное пространство. Цель, конечно, хорошая, но применяемыми методами - неосуществимая.
Инсайдеру (а именно против него устанавливаются DLP) достаточно достать фотоаппарат или телефон и сделать снимки прямо с экрана, и защитные системы даже не узнают об этом. Значит для защиты (от утечки!) нужны организационные меры, видеонаблюдение, а не DLP.
Инсайдер отправляет e-mail с вложением. Почтовый прокси-сервер отловит такое письмо, например по ключевым словам, и заблокирует его как попытку организации утечки данных. Но что может сделать DLP, если мы положим файл в архив с паролем? А если будет стеганография? Простейший пример с применением исключительно стандартных программ Windows и архиватора WinRAR. Метод (RARJPEG) заключается в бинарном склеивании jpg-картинки и rar-архива - результирующий файл будет выглядеть как jpg-картинка, корректно отображающаяся просмотрщиком графических файлов и архиватором. Получается, что необходимо запретить возможность вложений как таковых. Но, даже запретив вложения, текст документа в измененном виде (base64) можно вставить в письмо. Останется только запретить почту совсем, как и остальные способы сетевой связи. Или использовать не DLP, а мониторы разграничения доступа, контролирующие действия, допустимые над теми или иными объектами, процессы, буфер обмена и т.д. В общем, создавать изолированную среду.
С внешними устройствами ситуация ровно та же самая - если использовать DLP, то запрещать совсем, или останется возможность вынести файл, изменив его (способами, рассмотренными абзацем выше). Логичнее просто исключить возможность использования флешки за пределами системы, и пусть на ней будут любые файлы, не так ли?
Работой DLP-систем остается только протоколирование действий пользователя, и то не всех. Но где же Prevention'} Вот поэтому DLP-систем и не существует - существуют системы контроля действий пользователей. Они постфактум, после утечки, можетбыть, помогут найти виновного.
А отражать атаки возможно только при создании доверенной вычислительной среды. Все остальное - только видимость безопасности.
В 2012 г. российский рынок DLP-систем вошел в фазу быстрого роста, что мы и наблюдали в виде повышенного интереса к таким системам со стороны бизнеса и ИБ-сообщества. В 2012 г. стала проявляться ориентированность DLP-систем не только на крупные компании, но и на представителей СМБ-сектора, заинтересованных в продукте с взвешенными техническими характеристиками и стоимостью, не обременяющем бизнес высокими требованиями к квалификации специалистов по развертыванию и эксплуатации.
В настоящее время продолжается бурное развитие DLP-систем. Построение системы защиты информации в компании все чаще и чаще подразумевает внедрение одного из множества DLP-продуктов. Такой рост интереса к подобным системам со стороны бизнеса не мог не вызвать и интереса со стороны злоумышленников. В связи с этим разработчики таких решений стали уделять все больше внимания защите самих DLP, причем поиску уязвимостей как в архитектуре, так и в программной реализации продуктов.
В целом можно отметить повышение требовательности конечных пользователей к функционалу DLP-систем и послепродажному обслуживанию подобных решений, что ведет к росту ответственности производителей за качество решений и технической поддержки.
В связи с бурным ростом использования мобильных устройств в бизнесе DLP-системы все больше будут стремиться охватить этот рынок. В условиях набирающего популярность принципа BYOD можно ожидать, что вендоры начнут предлагать решения для устройств на основе мобильных операционных систем, а также решения, позволяющие обеспечить и централизованно управлять безопасностью всех типов конечных точек пользовательского доступа.
В целом консолидация корпоративных средств обеспечения ИБ связана не только с попыткой снизить операционные расходы на поддержку ИБ, но и со стремлением объединить модули ИБ в единую экосистему и реализовать проактивный режим защиты, без которого ИБ в современных условиях малоэффективна.
В 2012 г. DLP-сегмент стал одним из быстро растущих на фоне всего ИБ-рынка. Темпы роста составили около 40%, что в итоге приблизило отечественный рынок к уровню мирового. Теперь, по оценкам экспертов, российский рынок занимает 5-8% от общего объема. Ключевыми потребителями DLP-решений в России оставались компании Enterprise-сектора и госструктуры. SMB-сектор пока не слишком активен ввиду высокой стоимости услуг по внедрению систем DLP. Многие эксперты сходятся во мнении, что в сегменте малого и среднего бизнеса с успехом можно использовать "коробочные" DLP-решения. В них уже предустановлены политики перехвата, а потому решение начинает работать сразу после установки. В этом случае SMB избегают столь дорогостоящей и трудозатратой процедуры первичного анализа корпоративных информационных потоков и выделения конфиденциальных данных, для которых создаются политики перехвата.
Сегодня все большее количество компаний начинают осознавать преимущества и необходимость использования DLP-систем в общем контуре обеспечения информационной безопасности. Высокие темпы роста отечественного DLP-рынка не остаются незамеченным зарубежными вендорами. Поэтому в ближайшие годы мы увидим экспансию отечественного рынка зарубежными компаниями.
На фоне изменения самого рынка решений, а также возрастающих требований заказчиков к внедряемым системам можно отметить несколько характеристик, определяющих развитие. Среди них: обеспечение централизованного контроля управления политиками безопасности, распространяющимися как на пограничные, так и на конечные устройства; возможность создания многоуровневых и всеобъемлющих политик перехвата, позволяющих персонализировать DLP под конкретные нужды бизнеса. Значительное внимание сейчас уделяется доступности и отзывчивости предоставляемых отчетов.
Одной из самых важных задач, которая под силу лишь DLP, - показать не только департаменту по ИБ, но и самому бизнесу текущую ситуацию по хранению, передаче и обработке важной и конфиденциальной информации организации. Российским разработчикам на этом фоне еще придется побороться за первенство по сравнению с зарубежными. А перед зарубежными вендорами встала проблема использования русской морфологии, что тормозит их проникновение на российский рынок.
Тем не менее в ближайшее время рынок DLP-систем в России будет бурно развиваться и, по прогнозам аналитиков IDC, составит в этом году до $634 млн.
На мой взгляд, рынок DLP к концу 2012 г. обрел достаточную зрелость, что отразилось на росте уровня конкуренции и на общем увеличении информированности потенциальных заказчиков.
"Мы всех хотим посмотреть" - на протяжении 2012 г. эта фраза в отношении производителей DLP-решений была особенно распространена среди потенциальных заказчиков, а на итоговый выбор решений в большей степени оказывали влияние результаты пилотных проектов. Появилось много требований, ориентированных на повышение удобства работы системы - среди них, к примеру, "красивый спидометр" и "кардиограмма", которые дают большой плюс системе. Также повышенное внимание заказчики уделяли точности анализа.
Основным трендом прошедшего года можно считать то, что DLP "пошел в массы" - подобными решениями стал интересоваться не только Enterprise-сектор, но и компании среднего и малого бизнеса.
По моему мнению, в 2013 г. сохранится тенденция к доминированию на отечественном рынке российских производителей систем класса DLP - знание национальной специфики и технологическая полнота их решений (распознавание ИНН, данных российских паспортов, имен и др. специфических форматов) закрепят полученный ранее успех.
Значительное число проектов в текущем году будет сопровождаться детальным анализом технических особенностей работы той или иной системы, получат развитие проекты DLP с поэтапным финансированием, в числе которых, например, "DLP как услуга". Также увеличится число запросов в части интеграции DLP-систем с самыми различными (порой неожиданными) источниками данных в соответствии с запросами заказчика. Основная идея такой интеграции - получение единого интерфейса для всех продуктов безопасности заказчика.
В числе прочего будут набирать обороты и неклассические задачи DLP: оценка лояльности, занятости людей работой, различные аналитические задачи. Еще одним из важных сценариев развития уже имеющихся DLP-систем станет мобильный DLP.
Объем российского рынка DLP в 2012 г. составил около 1,3 млрд руб. в ценах заказчиков, что примерно на 44% больше аналогичного показателя 2011 г. Стабильность прироста рынка указывает на его зрелость - пользователи осознают потребность в системах защиты от утечек данных, но при этом рынок не до конца насыщен.
Понимание важности и ценности информации как составляющей бизнеса стало одним из серьезных драйверов роста рынка. Например, в банковской сфере при утечке клиентской базы к конкуренту компания потеряет более 10% клиентов, так как конкурент гарантированно предложит лучшие условия. Помимо этого, банк недополучит до 20% новых клиентов из-за ухудшения имиджа после оглашения факта утечки. В результате ущерб может исчисляться сотнями миллионов рублей в первый год после инцидента.
Другая причина роста рынка - информатизация государственных услуг.
Мы отмечаем, что рынок DLP перерос сам себя. Компании, подразумевающие под термином DLP исключительно решение для перехвата и блокировки информационных потоков, в будущем неминуемо столкнутся с трудностями. Бизнесу требуется не очередное ПО, а решение задачи по защите от комплекса внутренних угроз, который на данный момент уже не ограничивается угрозами конфиденциальности корпоративной информации. Потребности российских заказчиков гораздо шире и распространяются на защиту от других внутренних угроз, в том числе связанных с нанесением ущерба репутации компании, ее инфраструктуре, а также на проведение профилактических мер и расследований по результатам инцидентов. Я полагаю, что в 2013 и 2014 г. спрос на такие комплексные решения, ориентированные на защиту от всего спектра внутренних угроз, будет только расти.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2013