Как выстроить эффективную систему защиты данных от утечек ?
Информационная безопасность Информационная безопасность

Системы DLP (Data Leak Prevention) на протяжении многих лет являются лидирующим классом продуктов по защите от утечек конфиденциальных данных в России.

Главная>Информационная безопасность>DLP 2.0. Комплексная защита активов
Информационная безопасность Тема номера

DLP 2.0. Комплексная защита активов

Дата публикации:
31.07.2020
Посетителей:
444
Просмотров:
477
Время просмотра:
2.3

Авторы

Автор
Дмитрий Ключников В прошлом - руководитель направления DLP и DevSecOps Центра информационной безопасности компании "Инфосистемы Джет"

Почему системы DLP недостаточно для предотвращения потерь конфиденциальных данных?

 

Как выстроить процесс управления данными?

 

Какие решения должны входить в комплекс управления информационными активами?

 

 

Системы DLP (Data Leak Prevention) на протяжении многих лет являются лидирующим классом продуктов по защите от утечек конфиденциальных данных в России. Раньше вендоры часто позиционировали их как решение всех проблем, связанных с потерей подобной информации. Такое представление у многих сохраняется и сегодня. Возможно, так и было 10–15 лет назад, когда внедрение DLP являлось, скорее, превентивной мерой, а утечки информации происходили по вполне понятным схемам. Но на сегодняшний день DLP-системы стали настолько популярными, что грамотные злоумышленники, внутренние или внешние, прекрасно осведомлены о возможностях таких решений и знают, что они «видят», а что нет.

 

Что же делать, когда бизнес потратил деньги на внедрение дорогой системы, но не избавился от утечек по, казалось бы, очевидным каналам? Кроме того, с этой проблемой напрямую связана переживающая сегодня трансформацию тема управления информационными активами, в том числе электронными данными.

Управление активами как процесс

 

Бесконтрольность информационных активов может оказывать негативное влияние на деловую репутацию компании. Движение данных должно быть предсказуемым, упорядоченным и управляемым как внутри, так и за пределами периметра организации. Только так удастся выстроить защиту критичных данных на базе процесса управления информационными активами, чтобы обеспечить безопасность деловых операций и непрерывность бизнеса.

 

Как в любом эффективном подходе, в управлении активами первостепенным является процесс. Например, конфиденциальную информацию нужно грамотно проклассифицировать по уровням значимости и консолидировать по «владельцам», прежде чем передать на контроль системе DLP. К тому же в крупных организациях это можно сделать только с применением специализированных технических средств. Так как «Войну и мир» о процессах уместить в статье не удастся, сосредоточимся на контроле жизненного цикла информационных активов именно с точки зрения использования нестандартных каналов для DLP.

Внутри информационных систем данные в рамках жизненного цикла проходят несколько этапов. Они не линейны, но, как правило, включают в себя создание, перемещение, изменение, хранение и уничтожение.

 

Информация может быть наблюдаемой — например, находиться в виде файлов в хранилище. Или пребывать в неконтролируемом состоянии — в виде пакетов TCP во время передачи по сетям Ethernet или при записи в базу Oracle.

 

Существуют различные технические средства для отслеживания наблюдаемой информации на указанных выше этапах. Реализовать же в полной мере управление информацией, находящейся в неконтролируемом состоянии, не представляется возможным. Однако отслеживание можно вести в момент перехода информации из наблюдаемой в неконтролируемую или наоборот. Скажем, это можно сделать посредством контроля каналов связи или предсказуемой конечной точки формирования файла (например, выгрузки из БД).

Интеграция DLP-системы с решением Data Classification позволит эффективно отслеживать перемещение конфиденциальных документов.

Какие технологии помогут в управлении активами

 

Для того чтобы создать гибкую комплексную систему управления активами, необходимо использовать многоуровневый технический стек продуктов, работающих как единая экосистема по выстроенному процессу. Что же может входить в этот стек и как каждое техническое средство способно «усиливать» другие?

 

DLP. Было бы странно исключать из перечня средство, которое до сих пор часто воспринимается как решение всех проблем, тем более, что оно действительно эффективно… в своей парадигме. Основная цель продукта — контроль утечек конфиденциальной информации посредством контентного анализа. Однако в рамках контроля жизненного цикла информационных активов системы данного класса могут и должны использоваться в качестве управляющего сервиса для других решений по управлению активами.

Data Classification. Тут можно выделить два варианта: техническую классификацию файлов, созданных пользователем (например, путем проставления визуальных и «невидимых» меток на электронных документах), и классификацию выгрузок из БД. В первом варианте можно явно помечать, например, колонтитулы офисных файлов или — уже неявно — записывать определенные метаданные, допустим, в NTFS Property. Примитивно? Не торопитесь с выводами, средства могут оказаться куда полезнее. Большинство решений этого класса обладают функцией репортинга и позволяют отслеживать создание файла в момент его сохранения. Может быть создана политика, которая не позволит сохранить файл без его предварительной классификации, при этом в момент установки метки на консоли репорта будет появляться сообщение о создании.

 

Классификацию выгрузок из БД можно выполнять в пользовательском и автоматическом режимах. В первом случае, при наличии у формата выгрузок Property, с помощью политики можно задать обязательную классификацию файлов. Во втором случае, при выполнении выгрузок по расписанию, можно создать пользователя AD, от имени которого они будут осуществляться. При этом на все файлы будет автоматически ставиться определенная политикой метка.

 

Это уже больше похоже на «управление активами», но по-прежнему чего-то не хватает. Смотрим дальше.

Система контроля «нетиповых» каналов утечки. Название класса для таких систем еще не придумали, но о них уже часто можно слышать на различных конференциях при упоминании стеганографии. Суть в том, что, поупражнявшись различным образом с межстрочными и межбуквенными интервалами, можно выдавать пользователю не оригинал документа, а его уникальную копию. Соответственно, если произойдет утечка на бумажном носителе или через фото, при наличии переданного документа (или даже его фрагмента) можно будет определить, какой пользователь и в какой момент времени допустил утечку.

 

Системы распознавания голоса. Считается, что голос является абсолютно неконтролируемым каналом. Это не совсем так: существуют рабочие системы, которые позволяют перевести голосовую информацию с корпоративной АТС в текст. Зачем? Порассуждаем далее.

 

Каждая из перечисленных технологий отлично справляется со своими задачами. Но любой процесс эффективнее, когда он учитывает все допущения, то есть является комплексным. Как же превратить наш разрозненный стек технологий в комплексную систему управления активами? Интегрировать и/или комбинировать различные продукты для усиления их возможностей. Приведем несколько примеров из реальной жизни.

Можно ли защититься от всех на свете утечек? Думаю, нет. Это как с угоном автомобиля: если «угонщик» данных задался целью, он ее достигнет.

Кейсы

 

Отслеживание системой DLP меток классификатора. DLP способна распознавать классификационные метки. Ее интеграция с решением Data Classification позволит не только повысить точность посредством корректного определения различных уровней важности информационного актива, но и эффективно отслеживать перемещение конфиденциальных документов. Кроме того, DLP может отслеживать корректность проставленной метки по контенту.

 

Интеграция системы контроля нетиповых каналов утечки в ЭДО. Все подобные системы создавались для интеграции с внедренными в организации решениями. Например, такие продукты можно встроить в существующий ЭДО таким образом, чтобы при каждом получении конечным пользователем конфиденциального документа на экран выводилась его копия. При этом можно будет отследить ее принадлежность конкретному человеку. Помимо технической составляющей, такая интеграция может повысить сознательность пользователей при работе с конфиденциальными данными. Например, оставить на принтере распечатанный финансовый отчет будет опасно, так как при его обнаружении сотрудник экономической безопасности легко определит беспечного пользователя.

 

Интеграция системы распознавания голоса с DLP. Зачем нужен голос, переведенный в текст? Текстовая информация подгружается в DLP-систему и анализируется по ее правилам. При достаточно точно составленном списке ключевых слов можно отследить, например, разглашение конфиденциальных данных. Так можно перекрыть изначально неконтролируемый системой вербальный канал.

Можно ли таким образом защититься от всех на свете утечек? Думаю, нет. Это как с угоном автомобиля: если «угонщик» данных задался целью, он ее достигнет. Стоит ли отказываться из-за этого от защиты своих активов вовсе? Я бы не советовал. Шансы сохранить конфиденциальность активов неизмеримо вырастут при использовании мер и средств защиты, особенно комплексных. На свои автомобили я всегда ставил сигнализацию и «секретку». Советую и вам не ограничиваться «цепочкой на колесо», или DLP, а задуматься о построении комплексной системы управления активами.

Уведомления об обновлении тем – в вашей почте

Круглый стол: «Лаборатория Касперского», Positive Technologies, R-Vision, Group-IB, UserGate и «Гарда Технологии» об изменениях в ИБ-отрасли

Как изменилась роль ИБ-отрасли за последние месяцы? Какова кадровая ситуация в сфере информационной безопасности? Почему далеко не все отечественные ИБ-решения нуждаются в доработке? Как относиться к Open Source (спойлер — единого мнения нет)?

Не совсем информационная безопасность

Информационная безопасность – одна из самых обсуждаемых тем в ИТ

База знаний предприятия на основе систем управления контентом

Самой большой ценностью любой компании является прежде всего ее «интеллект» – практические знания и опыт всех сотрудников, полученные в процессе выполнения различного рода задач.

Есть ли жизнь после DLP, или Будущее кибербезопасности

Специалисты размышляют о том, какое будущее ждет информационную безопасность и найдется ли в нем место для DLP

Простая методика принятия решения по инцидентам, выявленным DLP

DLP-системы или их упрощенные аналоги (системы контроля работы сотрудников) используются во многих организациях, обеспокоенных угрозой утечки информации или инцидентами экономической безопасности

Инструментальный анализ уязвимости бизнес-процессов

Когда речь заходит о применении DLP-систем, воображение сразу рисует картины противостояния специалистов службы ИБ и инсайдеров, передающих за охраняемый периметр конфиденциальную информацию.

Внедрение системы контроля утечек информации на основе Symantec DLP в «Евразийском банке»

Евразийский банк является активным участником финансового рынка Казахстана. На начало 2009 года банк представлен во всех крупнейших городах Казахстана 18 филиалами и 50 отделениями.

«Если у вас есть Щелкунчик, нужно начинать колоть орехи»

Точно так же и с DLP-системой: если она стоит в компании, нужно грамотно, по назначению ее использовать.

Интервью с Игорем Ляпуновым, директором Центра информационной безопасности компании «Инфосистемы Джет»

Не так давно центр информационной безопасности компании «Инфосистемы Джет» подвел итоги своей работы за прошлый год. И сегодня нашим собеседником стал Игорь Ляпунов, директор ЦИБ, который рассказал, какими результатами завершился 2009 г. для центра информационной безопасности.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня