Развитие технологий по борьбе с утечками данных
BYTEmag.ru
На сегодняшний день полностью защитить корпоративную информацию практически невозможно, так как современное состояние технологий позволяет говорить лишь о минимизации рисков. Затянувшийся экономический кризис, сопровождающийся сокращением рабочих мест, лишь обострил проблему утечки конфиденциальных данных, поскольку ценность информации в период экономических потрясений только возрастает. Интересно, что организацию защиты от внешних угроз оценивают как гораздо более зрелую и надежную, по сравнению с защитой от угроз внутренних. Дело в том, что последние беспокоят специалистов по безопасности в несколько раз больше, чем внешние. Судя по опубликованным данным, 53% утечек данных связаны с неправильной организацией бизнес-процессов, 46% — с халатностью персонала и только 1% — со злым умыслом. Отметим, что под внутренними угрозами подразумевают как умышленные, так и непреднамеренные злоупотребления сотрудниками своими правами и/или полномочиями доступа к данным. По мере развития компьютерных технологий и услуг связи растет число возможных каналов утечки информации. В настоящее время основными каналами утечки являются: Web (Web-почта, форумы, блоги, ftp), электронная почта, печать, средства мгновенного обмена сообщениями (ICQ, Skype, MSN Messenger и т.п.), файлообменные сети, а также интерфейсы компьютеров пользователей. С рабочих мест данные могут передаваться за пределы организации с помощью сменных носителей: флэш-дисков, карт памяти, USB-накопителей, CD/DVD, а также через интерфейсы Bluetooth, Wi-Fi и инфракрасный порт. Как правило, защита секретов является комплексной задачей, включающей в себя организационные, административные и технические меры. Так, для защиты от утечек используются специализированные продукты — системы предотвращения утечек информации DLP (Data Loss Prevention, или Data Leak Prevention). В качестве аналога в русском языке принято словосочетание «системы защиты конфиденциальных данных от внутренних угроз».
Аналитики Forrester считают, что мировой рынок решений DLP в ближайшие
Критерии оценки DLP-систем
Надо отметить, что до сих пор термин DLP трактуется многими компаниями по-своему. Напомним, что даже попыток определения этого класса информационных систем было предпринято довольно много. Так, в IDC поначалу остановились на ILD&P (Information Leakage Detection & Prevention — «выявление и предотвращение утечек информации»), в Forrester говорили о ILP (Information Leakage Protection — «защита от утечек информации»), в Ernst & Young сочли удачным ALS (Anti-Leakage Software — «ПО против утечек»), а в Gartner предложили CMF (Content Monitoring and Filtering — «мониторинг контента и фильтрация»). Сегодня общепринятыми стали четыре критерия оценки программных продуктов, реализующих функциональность DLP, которые сформулировали эксперты компании Forrester Research. Первый критерий — многоканальность. Решение DLP не должно быть сосредоточено только на одном канале утечек (отметим, что основными каналами утечек являются Интернет и мобильные устройства). Это должно быть комплексное решение, охватывающее максимальное количество каналов: электронная почта, Web и IM (Instant Messaging), а также мониторинг файловых операций. Из того, что система должна обладать унифицированными средствами управления всех компонентов, которые она в себя включает, следует второй критерий — унифицированный менеджмент. Как правило, имеются менеджмент-сервер, на котором хранятся политики групп пользователей; устройство, которое отслеживает утечку через сеть; а также агенты для рабочих станций, серверов, файловых-хранилищ. Главное требование второго критерия заключается в возможности управления этими тремя компонентами с одной консоли. Третий критерий — активная защита — заключается в том, что система должна не только фиксировать утечку конфиденциальной информации, но и давать возможность ее блокировать. Классификация информации с учетом, как содержимого, так и контекста составляет четвертый критерий. Дело в том, что анализ утечек конфиденциальной информации должен базироваться не только на содержимом пересылаемой информации (ключевые слова, регулярные выражения, общее содержание), но и на контексте, в котором она происходит: какой используется протокол, какое приложение, от какого пользователя, куда и т.д.
Кроме того, рассматривая функциональность DLP-систем, аналитики из крупнейших компаний (Forrester, Gartner, IDC) ввели категоризацию объектов защиты, иными словами, типов информационных объектов подлежащих мониторингу. Подобная категоризация позволяет в первом приближении оценить область применения той или иной системы. При этом выделяется три категории объектов мониторинга:
- «Данные в движении» (Data-in-motion) — сообщения электронной почты, Интернет-пейджеров, сетей peer-to-peer, передача файлов, Web-трафик, а также другие типы сообщений, которые можно передавать по каналам связи.
- «Хранящиеся данные» (Data-at-rest) — информация на рабочих станциях, мобильных ПК, файловых серверах, в специализированных хранилищах, USB-накопителях и других типах устройств хранения данных.
- «Данные в использовании» (Data-in-use) — информация, обрабатываемая на текущий момент.
В отличие от альтернативных решений (продуктов шифрования, разграничения доступа, контроля доступа к сменным носителям, архивирования электронной корреспонденции, статистическими анализаторами) системы DLP позволяют, например, осуществлять:
- контроль над всеми каналами передачи конфиденциальной информации в электронном виде (включая локальные и сетевые способы), регулярно используемыми в повседневной деятельности;
- обнаружение защищаемой информации по ее содержимому (независимо от формата хранения, каналов передачи, грифов и языка);
- блокирование утечек (приостановка отправки электронных сообщений или записи на USB-накопители, если эти действия противоречат принятой в компании политике безопасности);
- автоматизация обработки потоков информации согласно установленным политикам безопасности (внедрение DLP-системы не требует расширения штата службы безопасности).
Эволюция систем DLP
Итак, под DLP-системой обычно понимают комплексное решение корпоративного масштаба, которое борется с утечками для различных каналов и причин. Основная ценность подобной системы заключается, разумеется, в алгоритме, на основе которого она работает. Хотя архитектуру и список поддерживаемых каналов иной раз относят к вторичным характеристикам данного ПО, с точки зрения заказчика, данные факторы очень важны. В развитии продуктов DLP обычно выделяют три этапа, характеризуемых базовыми технологиями. Системы предотвращения утечек первого поколения использовали, главным образом, фильтрацию контента по ключевым словам и регулярным выражениям. Напомним, что основной подход при анализе контента базируется именно на фильтрации контента, то есть содержательного наполнения информации. Это означает, например, что при проверке на секретность стандартных офисных документов (в формате doc) система сначала переведет их в текстовый формат, а затем, используя заранее подготовленные данные, вынесет по этому тексту вердикт. Контекстная же фильтрация использует принципиально другую схему. В данном случае система проверяет контекст, в котором передается информация: извлекает метки файла, смотрит на его размер или анализирует поведение пользователя. Системы DLP второго поколения начали оперировать более сложными алгоритмами с применением лингвистического и контентного анализа, цифровых меток и отпечатков. Данный детерминистский подход предполагает, что все конфиденциальные файлы должны быть специальным образом помечены. Разметка файлов хотя и близка к контекстной фильтрации (а метки близки к метаданным), однако, на самом деле, эти подходы принципиально различны. Технологически метка может встраиваться в документ по-разному. В некоторых продуктах эта метка может быть встроена в имя файла или инкапсулирована внутрь файла, например, в один из его служебных заголовков. Таким образом, зная метку, система защиты может определить, является файл конфиденциальным или публичным.
В третьем поколении решений DLP предусмотрен гибридный анализ данных с использованием наиболее развитых инструментов предыдущих поколений DLP (таких как детектор объектов на базе регулярных выражений, защита статических данных на основе цифровых отпечатков), а также защита динамических данных на базе контекстного и контентного анализа. В частности, при этом совмещаются плюсы обоих подходов: точность меток и гибкость фильтрации контента. Кроме того, эксперты особо акцентируют внимание на том, что концептуально новые DLP-системы должны поддерживать функционал шифрования для защиты информации на мобильных носителях (ведь ни один из традиционных DLP-подходов не может обеспечить защиту от кражи).
Таким образом, можно говорить о трех методах идентификации используемых в DLP-системах: вероятностном, детерминистском и комбинированном. Считается, что системы первого типа просты в реализации, но недостаточно эффективны и характеризуются высоким уровнем ложных срабатываний. В свою очередь, системы, использующие детерминированный подход (метки файлов), очень надежны, но им не хватает гибкости. Комбинированный подход сочетает оба метода с аудитом среды хранения и обработки данных, что дает возможность достичь оптимального решения проблемы защиты конфиденциальности информации.
Построение защиты
Системы защиты от утечек данных обеспечивают контроль над распространением конфиденциальной информации за пределы предприятия по всем доступным каналам. Благодаря постоянному контролю, DLP-решения предотвращают несанкционированные операции с конфиденциальной информацией и ее перемещение (пересылку, передачу за пределы организации, и т.д.). Эксперты отмечают, что решения в области предотвращения утечек не способны в прямом смысле предотвратить все утечки данных, а рассчитаны, в первую очередь, на контроль умышленных или ненамеренных действий сотрудников.
Работа с клиентами по развертыванию DLP-системы должна начинаться с аудита, нацеленного на выявление конфиденциальной информации и оценку рисков, связанных с ее утратой, на коррекцию бизнес-процессов, угрожающих сохранению конфиденциальности корпоративных данных. По мнению ряда экспертов, для эффективного предотвращения утечек информации следует действовать по нескольким направлениям. Для начала нужно обеспечить защиту конечных точек и подключаемых устройств (настольных ПК, ноутбуков и КПК, USB/флэш-дисков, карт памяти, принтеров и т. п.) в корпоративной информационной среде. Помимо этого, необходимо блокировать каналы утечек данных через сеть. Дело в том, что конфиденциальные сведения зачастую передаются на сторону с применением Интернет-приложений, электронной почты, систем обмена сообщениями. Кроме того, с помощью шифрования требуется защитить информацию, хранимую на мобильных носителях, которые могут быть утрачены в результате потери или хищения.
Все эксперты сходятся во мнении, что системы DLP нуждаются в дальнейшем совершенствовании и адаптации к требованиям бизнеса. Причем их развертывание может требовать достаточно длительной пилотной фазы. В конечном счете, на предприятии должен быть организован автоматизированный контроль над потоками корпоративной информации. Все данные нужно подвергать обоснованной категоризации с учетом их важности и степени конфиденциальности. В этом случае комплекс DLP позволит оперативно выявлять и предотвращать инциденты, связанные с возможной утечкой информации. Стоит также отметить, что одной из устойчивых тенденций становится интеграция решений DLP с другими технологиями защиты информации. Это может касаться, например, сращивания функционала DLP с возможностями антивирусных продуктов и сетевых экранов. Возможно, выгодным вариантом для ряда случаев станет предоставление провайдерами сервиса DLP по модели «облачных вычислений», когда не требуется покупка ПО, платформы или лицензий, а приобретается только сервис.
Перейти на главную страницу обзора