Публикации

Information Security
Information Security
01.07.2017

DLP-системы: спрос и предложение

В последнее время системы, призванные контролировать информационные потоки внутри корпоративных сетей и исключать риски утечки конфиденциальных данных вовне, пользуются все большей популярностью в бизнес-среде. Защита от утечек данных (DLP) существует уже несколько лет и оформилась в отдельные продуктовые предложения, варианты которых, отличающиеся полнотой функционала и возможностями интеграции с другими ИБ-системами, можно найти в портфеле ряда ведущих мировых и отечественных ИБ-вендоров. Каковы же основные критерии выбора DLP? Как обеспечить недопущение вмешательства в частную жизнь? И каковы перспективы развития этих систем?

На эти и другие вопросы журналу Information Security ответили эксперты PERIMETRIX Максим Жарников и Андрей Коган.

— На что стоит обратить внимание заказчику при выборе DLP-системы и как убедиться в ее эффективности?

Самое первое, что должен сделать заказчик – это максимально четко сформулировать бизнес-цель, которую он хочет достичь, применяя DLP-систему. А затем уже путем пилотного тестирования на реальных данных в реальной инфраструктуре проверить, насколько эффективно выбранное средство помогает в достижении поставленной цели. Очевидное соображение, правда? Однако когда дело касается DLP, заказчик, рассчитывая на решение по «предотвращению утечки данных», получает инструмент для совсем других задач – сбора данных о поведении пользователей, установления взаимосвязей, анализа использования рабочего времени и пр. Это все очень полезные вещи, но если бизнес-цель состоит в «предотвращении утечки», именно такую функциональность и надо проверять.

— Насколько значимы инструменты анализа событий и инцидентов в DLP-решениях и какую пользу они могут принести заказчикам?

Для того, чтобы инструменты анализа событий и инцидентов были значимы, эти события и инциденты обязательно должны происходить, иначе какой смысл в этих инструментах? Поэтому цель DLP – не предотвращение утечек, а борьба с ними. Борьба постоянная, увлекательная и бесконечная. Польза DLP не в том, чтобы защитить конфиденциальную информацию от утечки (это делается другими средствами), а в том, чтобы на основе статистики и инцидентов накопить материал для принятия необходимых «кадровых решений». В рамках такой задачи упомянутые инструменты безусловно необходимы офицеру безопасности как подспорье в проведении служебных расследований – они позволяют обнаруживать отклонения в стандартном поведении пользователя и нацеливать фокус сбора событий на потенциального нарушителя.

— Как обеспечить недопущение вмешательства в личную переписку и личную жизнь, охраняемые понятиями прав человека, при использовании DLP-решений?

Никак. Личные коммуникации на рабочем месте, через которые может уходить чувствительная для предприятия информация – один из обязательных каналов мониторинга средствами DLP. Единственный способ как-то смягчить проблему – выработка соответствующей правовой базы, регламентирующей использование полученной информации офицерами ИБ.

В нашем же подходе этой проблемы нет, т.к. все действия с ценной информацией, являющейся собственностью компании-заказчика, обособлены. Ознакомление с такой информацией, ее копирование, изменение и т.д. происходит в четком соответствии с политиками, введенными в рамках режима КТ. А всё происходящее вне защищаемого периметра, пусть даже на том же рабочем месте, нам неинтересно, поэтому наше решение не затрагивает права человека.

— DLP — одно из наиболее успешных направлений российского ИТ-прома. Почему то, что успешно продается в России, практически неизвестно широкому кругу потребителей за рубежом?

У российского и зарубежного потребителя существенно различаются правовые и общественные реалии, традиции деловых взаимоотношений между работодателем и сотрудниками. Решение проблемы «соблюдения средствами DLP прав человека» за рубежом уже давно регламентировано. А в России, ввиду несовершенства правоприменения в сфере ИТ, еще идут дискуссии по этому поводу. Поэтому маркетинговые доводы и популярные «кейсы», работающие на отечественном рынке DLP, не очень приемлемы за рубежом. На наш взгляд, их DLP-решения более «механистичны», там мало романтики расследования. Поэтому имеется и обратный эффект – «калькированные» преимущества зарубежных решений для нашего заказчика тоже бывают неубедительны. К тому же есть чисто технические моменты, связанные с непростой лингвистикой родного языка или модой на используемое корпоративными пользователями ПО.

— Существует ли принципиальная разница в подходах к разработке DLP-систем российских и зарубежных вендоров?

Наверняка существует, в ответе на предыдущий вопрос мы об этом уже говорили. Но о нюансах лучше спросить самих разработчиков DLP. Наш же продукт скорее относится к классу EDRM (Enterprise Digital Rights Management), чем DLP. Мы не боремся с утечками как с нежелательным поведением пользователей, а управляем электронной информацией ограниченного доступа с помощью политик. А защита конфиденциальной информации от несанкционированного распространения, а также и других видов компрометации является лишь очевидным следствием такого управления.

— Ранее большинство российских вендоров заявляли, что блокировка отдельных каналов ненужный и бесполезный функционал. Чем обусловлено добавление этой функции сейчас?

На наш взгляд, DLP вынуждено постоянно лавировать между защитным функционалом «видеокамеры» и «забора». Полноценно зафиксировать поведение потенциального нарушителя можно, лишь применяя DLP в «подглядывающем» режиме видеокамеры. А явные блокировки нелегитимных действий в режиме забора приведут к «обнаружению себя» и последующему изменению модели поведения нарушителя и к поиску им путей обхода. В своей идеологии DLP делает ставку на сбор данных в ущерб блокировкам, предпочитая «знать, кто украл». Наш подход более бескомпромиссный: в отношении защищаемой информации должно быть запрещено все, кроме того, что в явном виде разрешено. Мы выбираем «знать, что никто ничего не украл».

— Почему ряд вендоров не предоставляет свои решения для независимого исследования заказчиками, а только "из рук"?

Это правильный подход. Так называемое «независимое исследование» – неоправданная трата сил и времени и со стороны заказчика, и со стороны разработчиков. Такое «исследование» сродни самолечению, когда покупается мешок лекарств – авось, что-нибудь да подействует. И только разработчик, хорошо знающий свой продукт, понимает его эффективность и границы применимости. Практика показывает, что заказчик очень широко трактует сферу применения DLP — защита ценной информации, выявление утечек и нелояльно настроенных сотрудников, минимизация непроизводительного использования рабочего времени и т.д. А это ведь очень разные цели. Столь сложные программные решения, как DLP или EDRM, даже на этапе пилотного тестирования должны настраиваться специалистами, хорошо представляющими все нюансы своего продукта.

— Информационные войны между DLP-вендорами и утечки информации внутри самих DLP-вендоров — зло или благо для отрасли?

Полемика между конкурентами не должна выходить за рамки цивилизованного профессионального спора. Если какие-то инциденты требуют участия правоохранительных органов, для этого есть соответствующее «правовое поле». Переход на личности и война компроматов не делают чести участникам таких «разборок». Это материал для желтой прессы, но не никак стимул для развития отрасли, IMHO.

— Какие вы видите перспективы в развитии DLP? Почему?

С той поры как оформилась потребность в защите электронных конфиденциальных данных, отрасль DLP проделала большой эволюционный путь. Изменились сами подходы к проблеме утечек, сместился фокус. На сегодняшний день некоторые из задач «раннего» DLP, например, блокирование сообщений, вероятно содержащих ценные данные, отложены в сторону, а современные решения всё более затачиваются под сбор доказательной базы для расследований. Вместе с тем задача защиты ценных данных от утечки по-прежнему актуальна, и ответом на этот запрос могут служить решения класса EDRM, дающие гарантированный, а не вероятностный результат защиты. А решения «классического» DLP всё чаще расшифровывают эту аббревиатуру как «Диагностика Лояльности Пользователей» и мигрируют в сторону UEBA (User and Entity Behavior Analytics).


Войти