Каменная стена DLP::БИТ 02.2014
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
октябрь    2020
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

29.10.2020

«Актив» представляет решения для мобильной электронной подписи: смарт-карты Рутокен ЭЦП 3.0 NFC

Читать далее 

29.10.2020

VII конференция OS DAY.Online «Встроенные операционные системы»

Читать далее 

29.10.2020

НОРБИТ внедрил цифровую экосистему Центра опережающей профессиональной подготовки Забайкальского края

Читать далее 

28.10.2020

ПРЕМИЯ РУНЕТА 2020: новая концепция Народного голосования и старт подачи заявок

Читать далее 

показать все 

Статьи

11.10.2020

Soft skills или hard skills?

Читать далее 

10.09.2020

Как и чему учить будущих звезд ИТ?

Читать далее 

12.08.2020

Господдержка ИТ-отрасли

Читать далее 

11.08.2020

Интернет-маркетинг: второе дыхание

Читать далее 

15.05.2020

Жить под водой, мечтая о солнце

Читать далее 

13.02.2020

Чат-бот CallShark не требует зарплаты, а работает круглосуточно

Читать далее 

24.12.2019

До встречи в «Пьяном Сомелье»!

Читать далее 

21.12.2019

Искусство как награда Как изготавливали статуэтки для премии IT Stars им. Георгия Генса в сфере инноваций

Читать далее 

04.12.2019

ЛАНИТ учредил премию IT Stars памяти основателя компании Георгия Генса

Читать далее 

04.06.2019

Маркетолог: привлекать, продавать, продвигать?

Читать далее 

показать все 

Каменная стена DLP

Главная / Архив номеров / 2014 / Выпуск №2 (35) / Каменная стена DLP

Рубрика: Тема номера /  Управление корпоративным контентом


Андрей Бирюковсистемный архитектор, ЗАО «НИП Информзащита»

Каменная стена DLP

Как защитить корпоративные секреты от утечек и не допустить при этом типичных ошибок?

Давно известно, что информация является товаром, зачастую довольно дорогостоящим. Еще большую ценность представляет конфиденциальная информация, за которую конкуренты и другие заинтересованные лица готовы платить деньги. С развитием информационных технологий существенно упростился процесс хищения интересующих сведений. Если еще несколько десятков лет назад для копирования документа требовалось использование шпионской аппаратуры, например, скрытых фотоаппаратов, то сейчас достаточно просто переписать файл MS Word на флешку.

Сотрудники компаний в силу своих служебных обязанностей имеют дело с корпоративным контентом, представляющим собой набор различных документов и данных, как общедоступных, так и конфиденциальных. Ограничить их в доступе к этим сведениям на рабочем месте сложно, а вот запретить выносить за пределы офиса вполне возможно. Но всегда ли это оправдано? Рассмотрим виды решений по предотвращению утечек (DLP), а также представим ситуации, в которых внедрение данных систем является экономически целесообразным.

Кто и что может украсть

Основным источником угроз для конфиденциальной информации являются сами сотрудники компании (инсайдеры). Они, как уже упоминалось выше, имеют доступ к данным в силу своих профессиональных обязанностей. Например, менеджеры по продажам должны иметь доступ к документам с закупочными ценами, бухгалтеры к сведениям о зарплатах сотрудников и так далее. Особый случай – вредоносное программное обеспечение, например, троян, который, поселившись на машине пользователя, производит хищение информации. Несмотря на то что это нелегальный «пользователь», для передачи данных наружу он будет задействовать те же каналы, что и обычный юзер. Поэтому с точки зрения DLP это также внутренний нарушитель.

Что касается угроз для корпоративного контента, то они не ограничиваются только хищением информации. Недовольный сотрудник может злонамеренно уничтожить какие-либо ценные документы перед увольнением, также бывает, что ошибки совершаются не специально, а по невнимательности. Однако с точки зрения DLP нас будет интересовать только хищение данных.

Каналы утечки

Так как же можно украсть данные с компьютера? Можно воспользоваться каналом подключения к Интернету или внешними интерфейсами, которые есть у компьютера. Документ также можно распечатать и унести в бумажном виде. Начнем с утечек по сети.

Обычно основными способами передачи информации являются электронная почта, HTTP/HTTPS, FTP и пиринговые сети. Отдельный способ передачи данных – использование VPN-туннелей, в которых шифруется весь передаваемый трафик. Но для того, чтобы пользователь не смог установить VPN-туннель из корпоративной сети наружу, лучше использовать блокировку соответствующего трафика межсетевыми экранами, лишение необходимых прав в операционной системе и организационные меры.

Для внедрения DLP-системы, контролирующей сетевой трафик, возможны два варианта реализации решения. Первый представляет собой использование устройства, подключенного «в разрыв», через которое проходит весь трафик. Второй – это использование агентов, которые устанавливаются на клиентские рабочие станции. У каждого из таких решений есть свои достоинства и недостатки. Я не буду вдаваться в технические особенности каждого из них. Лучше посмотрим на предлагаемые варианты с точки зрения эффективности для бизнеса.

Единое устройство, контролирующее весь проходящий через него трафик. Как правило, оно представляет собой аппаратный модуль с предустановленной операционной системой и базовыми настройками. Несомненно, такое решение легче обслуживать, так как можно осуществлять централизованное управление из одной точки. Однако в этом же заключается и главный недостаток: устройство превращается в единую точку отказа. С точки зрения непрерывности бизнеса это не так страшно, так как в случае выхода из строя модуля DLP сетевые интерфейсы автоматически замкнутся (режим bypass), и сетевой трафик пойдет напрямую. Но при этом будет потерян контроль над передаваемой информацией. Наилучшим решением этой проблемы является использование отказоустойчивой конфигурации, например, кластера, состоящего из двух устройств. Поэтому при планировании шлюзового DLP необходимо позаботиться об обеспечении отказоустойчивости.

Еще один возможный недостаток шлюзовых DLP – то, что трафик может проходить на него в зашифрованном виде. Конечно, устройство можно обучить расшифровыванию, установив на него сертификаты. Однако вполне возможна такая ситуация, когда пользователь попытается передать конфиденциальную информацию с помощью SSL-шифрования, для которого на шлюзе отсутствует сертификат. В этом случае нельзя будет расшифровать и проверить передаваемую информацию. Этого недостатка лишены DLP-решения, использующие установку агентского ПО на рабочие станции пользователей.

Агенты, следящие за всем

Развертывание приложений на компьютерах сотрудников позволяет избежать некоторых проблем с единой точкой отказа. Реализации с использованием агентского программного обеспечения представляют собой классическую клиент-серверную архитектуру. Сервер выполняет роль центра управления, который отправляет агентам команды и собирает с них информацию о конфиденциальных данных, которые пытаются передать с машины.

Нагрузка по поиску нужной информации, как правило, ложится на рабочую станцию пользователя, на сервер передается только результат поиска. Это позволяет, во-первых, снизить нагрузку на сервер, так как ему не надо тратить ресурсы на поиск, а во-вторых, меньше нагружается сетевой канал между агентом и сервером. Это обстоятельство может быть критичным при развертывании агентов в филиалах, которые соединяет с центром канал с низкой пропускной способностью.

Что касается упомянутой ранее проблемы с шифрованным трафиком, то при использовании агентов мы можем контролировать передаваемые по сети данные еще до того момента, когда они будут зашифрованы. Это важное преимущество, дающее возможность контролировать серьезный канал утечки данных.

Что касается недостатков агентских решений, то здесь серьезной проблемой является развертывание и обслуживание программного обеспечения. Установка агентов выдвигает определенные требования к операционной системе и аппаратным ресурсам машины, на которую оно устанавливается. Также важно наличие достаточных прав на самом компьютере и возможность получения удаленного доступа к нему по сети. Все эти обстоятельства необходимо учитывать при выборе того или иного DLP-решения.

Итак, мы рассмотрели контроль утечки конфиденциальной информации по сети, однако возможно также переписать данные на съемный носитель или распечатать на принтере.

Не только сеть

Эти проблемы можно решать только с помощью развертывания агентов, шлюзовые решения здесь не помогут. Агент современной DLP-системы умеет контролировать практически все возможные интерфейсы, по которым могут выводиться данные. Это не только сетевые интерфейсы, но USB, SATA, видеовыходы и прочие каналы. Клиент производит поиск конфиденциальной информации в передаваемом потоке в соответствии с заданным шаблоном.

Теперь поговорим о том, какие форматы данных может поддерживать DLP-система. Прежде всего это всевозможные текстовые форматы файлов (txt, rtf, xml, html). Также хорошо обнаруживаются данные в файлах Microsoft Office (Word, Excel). А вот графические и PDF-форматы традиционно являются головной болью для DLP-систем. Распознавание картинок в тексте для большинства коммерческих систем предотвращения утечек данных не является проблемой, модуль OCR (Optical Character Recognition, механизм электронного распознавания графических документов) можно подключить, но сам процесс конвертации требует значительных аппаратных ресурсов и существенных затрат времени. Производить распознавание непосредственно на рабочей станции пользователя не получится, так как это займет все ее ресурсы, и каждая картинка будет обрабатываться по несколько секунд. Некоторые специалисты рекомендуют использовать под OCR отдельный высокопроизводительный сервер. Однако, во-первых, на него графические файлы еще надо передать, а это также требует времени и сетевых ресурсов, а во-вторых, распознавание множества файлов от десятков или даже сотен пользователей может длиться очень долго.

Вряд ли вашим пользователям понравится, если запись на флешку PDF-файла размером в мегабайт затянется на несколько минут из-за того, что DLP-системе пришлось передать его на сервер OCR, где он стоял в очереди на распознавание и только по окончании проверки был благополучно скопирован на съемный накопитель. Поэтому контроль OCR для всех каналов передачи данных с пользовательского компьютера при существующих мощностях серверного оборудования – это утопия.

Но есть канал передачи данных, где время не является столь критичным параметром. Это электронная почта. Для писем вполне нормальной является задержка даже в несколько десятков минут. Таким образом, для почтовых сообщений вполне можно организовать распознавание графических файлов с помощью OCR. Однако для этого также необходим отдельный сервер. А для файлов, передаваемых по USB и другим интерфейсам, лучше просто запрещать копирование графических и pdf-форматов.

Стеганография – не видишь секрет, а он есть

Завершая тему работы DLP-систем с файлами различных форматов, не лишним будет упомянуть про стеганографию, то есть возможность сокрытия одних данных в других. К примеру, существует множество программ, позволяющих спрятать какой-либо текст в графических файлах (bmp, tiff, png). Традиционное исключение – JPG, так данный формат является сжимаемым, и в нем нельзя ничего скрыть. Сегодня ни одна DLP-система не умеет бороться со стеганографией, однако в частных беседах представители разработчиков говорят, что работы над этим ведутся. Пока же противостоять данному злу можно с помощью организационных мер, например, блокируя передачу файлов определенных форматов.

Что есть на рынке

Наиболее распространенным в России DLP-решением является продукция компании Infowatch: InfoWatch Traffic Monitor [1]. Это система защиты от утечек, основанная на анализе исходящего трафика, мониторинге содержимого, передаваемого на сменные носители и принтеры. В нем используется собственная технология лингвистического анализа, которая позволяет осуществлять категоризацию перехваченной информации и обнаруживать в ней конфиденциальные данные. Основными заказчиками здесь являются средний и крупный бизнес, госсектор с численностью от 500 до 5000 пользователей и более. Продукт имеет поддержку филиальной разветвленной структуры и возможность хранения всех событий компании до трех и более лет. Пример стоимости Traffic Monitor для компании в 1000 ПК (включая модули сетевого сканирования, агентского ПО и контроля хранимой информации) – порядка 6 млн рублей. Стоимость ежегодной поддержки начиная со второго года – 20% от стоимости лицензий.

Другим известным игроком с мировым именем является Websense [2]. Промышленная система предотвращения утечек информации Websesnse DSS основана на контроле сетевого трафика, приложений рабочих мест и поиска хранимых данных. Решение работает как на уровне шлюза, так и на уровне конечных компьютеров. Лицензии для контроля 1000 машин будут стоить около 4 млн рублей.

Третье место на российском рынке DLP-решений занимает компания Zecurion [3]. Их продукт основан на контроле входящего, исходящего и внутреннего сетевого трафика, поиска хранимых данных, агентского контроля, мониторинга содержимого, передаваемого на сменные носители и принтеры. Первая российская DLP-система с возможностью гибридного анализа. Лицензии для все тех же 1000 хостов обойдутся порядка 1,5 млн рублей.

Компания Symantec [4] предлагает Symantec DLP – универсальное решение для поиска, отслеживания и защиты конфиденциальных данных независимо от их расположения. Обеспечивает комплексную защиту данных в конечных системах, сети и системах хранения. Имеется несколько редакций продукта для использования в компаниях различных размеров: малый бизнес (версия Symantec DLP Standard), средний и крупный бизнес от 50 до более 100 тыс. рабочих мест (Symantec DLP). Стоимость для 1000 рабочих мест составит около 8 млн рублей.

Краткое сравнение

Для того чтобы понять, какое именно из приведенных выше решений лучше подходит для той или иной корпоративной сети, я попробую сделать небольшой сравнительный анализ. Базовый функционал DLP сравнивать особого смысла не имеет: все они умеют просматривать HTTP и SMTP-трафик, данные, передаваемые на USB-накопители или выводимые на печать.

Поэтому я предлагаю рассмотреть более специфичные параметры: наличие средств реагирования и расследования инцидентов, обработку различного контента, русскоязычный текст, транслитерацию и синонимы. Результаты для четырех решений сведены в следующую таблицу (см. таблицу 1).

Таблица 1. Результаты сравнения рассмотренных решений


InfoWatch Traffic Monitor Websesnse DSS Zecurion Symantec DLP
Возможности по реагированию на инциденты, предоставляемые пользователю При инциденте по сетевым каналам настраиваются уведомления пользователя по электронной почте в зависимости от политик безопасности и классификации нарушения На рабочей станции при записи на внешние устройства и печати пользователю высвечивается диалоговое окно и предлагаются варианты дальнейших действий: продолжить запись, отказаться, сообщить о ложном срабатывании инцидента На рабочей станции при записи на внешние устройства и печати пользователю высвечивается диалоговое окно с сообщением об инциденте Сотруднику предлагается указать причину необходимости отправки данных (самостоятельно или выбрать из списка), что будет отражено в информации об инциденте
Теневое копирование всего трафика для ретроспективного анализа и последующего полнотекстного поиска в нем инцидентов утечки конфиденциальных данных Да. Web – только отправляемые данные; SMTP, Skype (в том числе голосовой трафик), XMPP, MPP, FTP Нет Да. Можно гибко настроить теневое копирование как всего трафика, так и только данных по отдельным протоколам Нет
Возможность редактировать перечень сайтов определенной тематики (добавлять или удалять сайты в предустановленные перечни при их категорировании, например, «только для взрослых») Формирование своих категорий веб-ресурсов с возможностью редактирования предустановленных списков Нет Нет Нет
Автоматическое прикрепление к инцидентам необходимых фактов в виде копий сообщений со всеми вложениями (форматы) Да. SMTP – .eml; http – файл вложений; печать – перехваченное задание на печать; FTP – передаваемые файлы, XMPP, MMP, ICQ, Skype-файлы и диалоги, а также голосовой трафик. Теневые копии при копировании файлов через все контролируемые каналы на end-point – USB-накопители, FireWire, PCMCIA, Floppy, CD/DVD, смарт-карты, ленточные накопители, Bluetooth, Irda Да Да. SMTP – .eml; Нет
Наличие готовых классификаторов конфиденциальной информации отраслевого типа Да. Имеется база контентной фильтрации (БКФ), содержащая слова и выражения, позволяющие определить в документе тематику и степень конфиденциальности документа Нет Нет Только для западных стандартов. Возможно написание подобных правил партнерами
Наличие функции «Поиск похожих». Документ сравнивается с эталонным, сходство выдается в процентах Да Нет Да. Можно задавать степень сходства с эталонным документом в процентах от 0 до 100 Да
Использование синонимических рядов (синонимы для русского языка) Да Нет Да. С использованием словарей и составных условий Нет
Поддержка анализа транслита Да Да (возможность обнаружения использования транслитерации и обработка данного факта как инцидента безопасности) Да. Таблица замен ее включает и представляет более гибкий функционал Можно обнаруживать транслитерацию (в случае написания правил), но не анализировать ее
Поддержка анализа замаскированного текста (замена русских букв схожими латинскими) Да Да (возможность обнаружения замаскированного текста и обработка данного факта как инцидента безопасности) Да. Опция «сходные по написанию» Только обнаружение подмены, но не анализ
Какое ядро OCR используется (Microsoft Office, ABBYY Finereader, иной) ABBYY FineReader, Tesseract ABBYY FineReader ABBYY FineReader  
Использование OCR клиентским ПО при копировании файлов на внешние устройства с возможностью блокировки Нет. Распознавание на EndPoint было выключено в версии 4.0 по причине жалоб от пользователей на медленную работу клиента из-за движка OCR. В случае необходимости можно включить Нет Да. Интеграция функционала OCR-клиентов с возможностью блокировки возможна под конкретного заказчика Нет
Использование OCR клиентским ПО при печати файлов на локальные принтеры и сетевые принт-серверы Да. Без блокировки Нет – на локальные принтеры.    
Возможна установка агента с OCR и блокировкой только на сетевые принт-серверы с ОС Windows Server 2008 Нет Нет    
Использование OCR при поиске хранимых данных Да Да Нет Нет

Как видно из таблицы сравнений, наибольшим функционалом обладают DLP-системы Infowatch, однако у них достаточно высокая стоимость лицензий. Разумный баланс между ценой и качеством имеет решение от Zecurion.

Неявные секреты

На этом обсуждение технической части DLP можно завершить. Мы рассмотрели основные методы работы и их особенности. Поговорили о том, что сейчас есть на рынке. Казалось бы, можно определяться и делать закупку. Но прежде необходимо выяснить еще один важный момент. Очень часто заказчики в процессе внедрения решения по предотвращению утечек обнаруживают, что не знают, какие именно их данные являются конфиденциальными. Это кажется на первый взгляд парадоксальным, но на самом деле в крупной компании обрабатывается большое количество различных документов. Конечно, можно ограничиться поиском стандартных слов «контракт», «закупка», «цена». Но при таком подходе есть вероятность получить множество ложных срабатываний, но при этом пропустить утечку действительно конфиденциальной информации.

Так что перед началом внедрения DLP полезно провести некий аудит. Необходимо составить схемы всех бизнес-процессов, выделить данные, которые они используют, затем определить те признаки, которые им свойственны. Отметить подразделения и сотрудников, которые работают с этой информацией. Посмотреть, какие технические средства они используют. И уже потом определяться с теми компонентами DLP, которые должны использоваться для предотвращения утечек. В качестве примера можно привести бизнес-процесс закупок. Документы по сделкам содержат множество различной конфиденциальной информации, например, номера контрактов, ФИО участников, суммы, закупаемые позиции и многое другое. Данная информация может быть без особых сложностей получена в результате грамотно проведенного аудита. Провести его можно как силами компании, так и с привлечением внешних специалистов.

Ну и несколько слов об экономической эффективности. Решения DLP стоят недешево, да и внедрение может занять значительное время. Кроме того, им требуется сопровождение, так как информация и бизнес-процессы в компании могут меняться, и потребуется настройка DLP.

Но не стоит забывать о стоимости информации, обрабатываемой в компании. Инсайдер, в течение длительного времени выносящий наружу конфиденциальную информацию, может нанести ущерб в десятки и даже сотни миллионов рублей. Так что потери могут многократно превысить стоимость внедрения и сопровождения DLP-системы.

  1. Сайт Infowatch – http://www.infowatch.ru.
  2. Сайт Websense – http://www.websense.com.
  3. Сайт Zecurion – http://www.zecurion.com.
  4. Сайт Symantec – http://www.symantec.com.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №08 (101) 2020г.
Выпуск №08 (101) 2020г. Выпуск №07 (100) 2020г. Выпуск №06 (99) 2020г. Выпуск №05 (98) 2020г. Выпуск №04 (97) 2020г. Выпуск №03 (96) 2020г. Выпуск №02 (95) 2020г. Выпуск №01 (94) 2020г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика