Как добиться нужного уровня защиты от утечек
(О реализации контроля доступа в DLP-системах)

Максим Новиков
независимый эксперт по ИБ

Что делает DLP-система

Главнейшая задача DLP-систем состоит в предотвращении утечки данных за пределы корпоративного периметра. Хотя в современной информационной среде само понятие периметра является достаточно расплывчатым, агенты DLP-систем, находящиеся на шлюзах сети или рабочих станциях пользователей, реагируют именно на попытки нарушения корпоративной "границы". То есть DLP начинает свою работу только в том случае, когда пользователь отправляет информацию по электронной почте, аське или копирует файлы на сменный носитель. Если система находит среди пересылаемой информации конфиденциальные данные, операция блокируется, а офицер безопасности уведомляется о нарушении. Поиск конфиденциальной информации осуществляется с использованием вероятностных методов контентной фильтрации или же (реже) с применением цифровых меток. Такова в двух словах схема работы подавляющего большинства решений. Не считая более экстравагантных продуктов, обнаруживающих, к примеру, утечки информации уже постфактум.

Подобные системы безопасности отлично работают на бумаге, но в реальной жизни их эффективность оставляет желать лучшего. Прежде всего, чрезвычайно сложно обеспечить поддержку огромного числа сетевых протоколов и форматов файлов, используемых в корпоративной среде. Таким образом, часть информации или часть каналов остается открытой, а вся система защиты – дырявой. Кроме того, возникают сложности при обработке потока информации в режиме реального времени, ведь проверка должна производится "на лету". В противном случае бизнес-процессы могут быть прерваны, что недопустимо для многих организаций. В результате вендор или интегратор при внедрении решения идет на компромисс, упрощая проверку, что негативно сказывается на точности и без того не стопроцентно надежных методов.

Столкнувшись с естественными сложностями настройки и обслуживания DLP-систем, ложными срабатываниями и пропуском инцидентов, пользователи критически относятся к классу продуктов как таковому. Между тем недостатки DLP-систем являются продолжением их достоинств. Необходимо просто ясно понимать сферу применения решений. Это предотвращение случайных утечек неклассифицированной информации по типовым каналам передачи. Для надежной защиты особо секретных документов данные системы подходят не слишком хорошо.

Что делает IRM-система

Открывая разговор об IRM-системах, мы, наконец, подходим к вопросу о контроле доступа. Действительно, если DLP-системы и позволяют проводить ограниченный аудит действий с конфиденциальными данными, причем только нарушающих текущие политики, задача IRM-систем в приложении к информационной безопасности заключается как раз в контроле доступа к объектам (источникам информации).

В отличие от DLP-систем, защищающих данные, находящиеся внутри корпоративной сети, IRM-системы подходят для удаленной работы. Для надежной защиты информационные объекты (чаще всего это файлы) шифруются. Соответственно для того, чтобы получить возможность работать с документом, необходимо пройти аутентификацию на удаленном IRM-сервере. Для IRM, строго говоря, вообще все равно, где находится защищаемый файл и где находится пользователь, в любом случае производится проверка легитимности доступа.

Для эффективной работы IRM-систем необходимо исключительно подробно указать права каждого пользователя, какие операции он может выполнять с файлами (открытие для чтения, внесение изменений, копирование, пересохранение и т.д.). При этом архитектура систем такова, что фактически безопасностью данных управляет их владелец. Именно он определяет правила работы с данными и права других пользователей. Таким образом, ошибка владельца или злой его умысел делают информацию беззащитной. Система просто не допускает, что владелец данных может быть не прав, и никак его не контролирует.

Есть также и другие обязательные условия успешной работы IRM. Прежде всего до начала использования системы требуется инвентаризировать, классифицировать и зашифровать все информационные ресурсы, что само по себе является нетривиальной задачей.

Отдельно остановимся на классификации. Классификация важна не только с точки зрения удобства работы с информационными ресурсами. Разделив информацию в зависимости от ее ценности на несколько категорий, можно использовать свои методы защиты для каждой из них. Для защиты ценных данных следует выбрать наиболее надежные методы, а наименее ценную информацию можно защищать и относительно дешевыми средствами. Такой дифференцированный подход позволит снизить совокупную стоимость владения системой безопасности и лучше защитить важные ресурсы.

Классификационные электронные метки необходимо поддерживать в актуальном состоянии, а механизмы наследования, к сожалению, реализованы лишь в небольшом числе IRM-систем. Еще одна проблема, связанная с разметкой документов, – это появление новых файлов. Создаваемые с нуля или на основе документы должны быть сначала классифицированы. Таким образом, IRM-системы не могут обеспечить защиту информации на всех этапах ее жизненного цикла.

В общих интересах

Обеспечение безопасности – процесс непростой. Корпоративным службам ИБ всегда приходится балансировать между собственно безопасностью и удобством работы с информацией. "Параноидальная" защита, при которой вероятность утечки сведена к минимуму, вряд ли имеет перспективы применения в реальных компаниях.

Исходя из изложенных выше особенностей функционирования DLP- и IRM-систем, можно понять, что для соблюдения баланса и обеспечения должного уровня ИБ в информационной структуре предприятия необходимы возможности обоих классов решений. Сама по себе дискреционная модель контроля доступа не предоставляет необходимой гибкости для надежной защиты информации. Аналогично и "канальный" способ защиты от утечек имеет ограниченную сферу применения.

Казалось бы, решение находится на поверхности – достаточно взять лучшее из двух систем и объединить под одной оболочкой. Однако на практике, конечно, не все так просто, поскольку описываемые системы используют совершенно разные подходы и принципы работы. До недавнего времени подобные решения-симбиозы попросту отсутствовали на рынке. Впервые они были реализованы в системах режима безопасности классифицированных данных. Являясь прямыми наследниками DLP, тем не менее эти системы шагнули далеко вперед.

В рамках режимных систем используется универсальная модель перемещения информации (рис. 1). С помощью данной модели могут быть описаны любые действия с классифицированной информацией, открытие документа приложением, копирование файла на внешнее устройство, отправка электронной корреспонденции и т.д. В отличие от довольно прямолинейной дискреционной модели управления доступом здесь используются элементы мандатного и ролевого управления. Важно отметить, что контролируется доступ не только со стороны пользователей – сущностей во многом виртуальных, но и со стороны реальных приложений, процессов и физических устройств.

Ключевым понятием модели является уровень классификации – набор классификационных признаков. Каждый элемент системы обладает допустимым (максимально возможным) уровнем, а информационный объект – актуальным (фактическим) уровнем. При любом перемещении информационного объекта (например, файла) выполняется проверка, входят ли актуальные уровни в набор допустимых уровней контейнера-источника (например, секторов жесткого диска), контейнера-получателя (например, области памяти программы) и канала передачи. Кроме того, владельцы контейнеров и инициатор перемещения (в рамках рабочей станции это обычно один и тот же пользователь) должны обладать правами доступа к информации актуальных уровней. И только если все условия выполняются, перемещение будет разрешено.

Таким образом, в системе реализуются политики доступа, обработки, хранения и передачи классифицированной информации. Еще одной чертой режимных систем является их гибкость. Выше мы уже упоминали о необходимости соблюдать баланс между удобством работы с информацией и безопасностью. В попытке минимизировать вероятность утечки DLP-системы могут попросту отключать небезопасные каналы коммуникаций или устройства на компьютерах, например контроллеры USB или адаптеры беспроводной связи. Согласитесь, это не слишком удобно. В режимных системах те же потенциально опасные устройства могут управляться динамически, то есть отключаться при работе с классифицированной информацией и автоматически включаться снова, как только все секретные документы закрыты. Тем самым и достигается необходимая современному бизнесу гибкость.

Вместо заключения

Если говорить о контроле доступа как о процессе разграничения прав доступа, можно остановиться, не доходя даже до IRM-систем. Квалифицированный системный администратор способен тонко разграничить права доступа к информационным ресурсам и провести аудит с использованием средств операционных систем. Однако в реальной корпоративной среде, где существует не только хорошо структурированная информация в заранее известных местах хранения, но и большое количество данных, разбросанных и в сети, и на локальных машинах пользователей, где сами информационные объекты постоянно меняются, не обойтись без специализированных средств.