Участники эфира AM Live обсудили тему развития DLP-систем (Data Leak Prevention) в России. Было отмечено, что отечественные системы защиты от утечек данных уже достигли более высокого уровня развития, чем многие зарубежные аналоги, но в дальнейшем им предстоит непростой путь к росту эффективности.
- Введение
- Кадровая безопасность и ИБ
- Риски для кадровой безопасности
- Практика применения DLP-систем в кадровой безопасности
- Проблемы DLP-систем
- Обучение DLP-систем
- Мифы о DLP-системах
- Новые технологии DLP-систем
- Тренды развития систем кадровой безопасности
- Выводы
Введение
Новый эфир AM Live был посвящён теме развития отечественных DLP-систем. Модератор дискуссии Владимир Клеев, эксперт по комплаенсу и противодействию коррупции («Клуб Страховых Конференций»), сразу попросил участников не ограничиваться только узкой трактовкой темы кадровой безопасности и рассматривать развитие этих систем для решения широкого круга задач. Контекстом обсуждения стал полный комплекс практических задач, имеющих отношение к выполнению нормативных требований, риск-менеджменту, противодействию коррупции, кадровой и собственной безопасности предприятий.
Участники дискуссии обсудили детали того, что позволяет DLP противодействовать краже корпоративной информации. Они также не обошли стороной обсуждение сильных и слабых сторон DLP в России.
На российском рынке направление DLP практически представлено сейчас только отечественными решениями. Поэтому необходимость импортозамещения для DLP отсутствует. Как отметил модератор, в России уже достигнута импортонезависимость по DLP.
В обсуждении приняли участие ведущие эксперты российского рынка:
- Евгений Михайлов, заместитель начальника управления ИТ по информационно-коммуникационным технологиям, ММЗ «Авангард».
- Дмитрий Горлянский, руководитель направления технического сопровождения продаж, «Гарда Технологии».
- Дмитрий Кандыбович, директор по развитию StaffCop.
- Анна Попова, руководитель департамента клиентского сервиса «РТК-Солар».
- Александр Клевцов, руководитель направления InfoWatch Traffic Monitor, ГК InfoWatch.
- Александр Канатов, CEO компании «Стахановец».
Прямой эфир AM Live состоялся 14 сентября 2022 года.
Рисунок 1. Участники дискуссии в эфире AM Live
Кадровая безопасность и ИБ
По мнению Александра Канатова («Стахановец»), кадровая безопасность является одним из основных направлений использования DLP. Она помогает снижать риски связанные с действиями сотрудников и инсайдеров. С этим мнением выразили согласие все без исключения участники дискуссии.
По мнению Анны Поповой («РТК-Солар»), DLP становится сейчас более ёмким, интегрирующим инструментом, который связывает все направления по защите бизнеса. Помимо кадровой безопасности он охватывает экономическое направление и некоторые другие.
Дмитрий Горлянский («Гарда Технологии») конкретизировал оценку, отметив, что ИБ в целом сильно зависит от трёх направлений безопасности: информационной, кадровой и сетевой. «Если рассматриваемая задача касается технических вопросов, например как добраться до хранилища данных, то это — тема для сетевой безопасности. Если речь идёт о действиях людей, это кадровая безопасность. Если задача связана с бизнес-процессами, то это — информационная безопасность».
Кадровая безопасность должна уметь рассматривать не только реальные риски, но и потенциальные угрозы, отметил Евгений Михайлов (ММЗ). Поэтому для эффективного применения важно не просто собрать данные, а реализовать их аналитическую оценку, что позволит сделать выводы. «Тренды последнего времени — многие компании уже имеют выстроенную экосистему ИБ, но даже такие системы оказываются под угрозой, если эффективно отработал инсайд. Поэтому кадровая безопасность играет повышенную роль. Достичь высокой эффективности ИБ можно только при взаимодействии ИТ, ИБ и кадровой безопасности».
Рисунок 2. Используете ли вы DLP для анализа поведения сотрудников?
Риски для кадровой безопасности
Главными рисками, с которыми борется DLP, являются утечки информации, мошенничество, работа сотрудников на конкурентов и пр. Основной риск, заявил Александр Клевцов (ГК InfoWatch), относится к экономической сфере.
По мнению Евгения Михайлова (ММЗ), «DLP является для ИБ в России “швейцарским ножом”. Его функции могут относиться к различным задачам. Если риски для коммерческих компаний ограничиваются прежде всего финансовой сферой, то для госкомпаний ситуация совершенно иная. Последние обладают стратегическими данными, а наносимый им ущерб может иметь влияние на всю страну».
Многое сейчас меняется в отрасли, добавила Анна Попова («РТК-Солар»). Практика прошлых лет была связана прежде всего с инцидентами, которые можно было классифицировать как «случившиеся по неосторожности». Хотя от сотрудников всегда исходило много рисков, подавляющее большинство из них раньше были непреднамеренными.
«Отличие нынешнего года — это резкая смена в сторону “злого умысла”. Риски, которые существовали до сих пор в основном как потенциальные, теперь материализовались. Многие крупные компании считали до сих пор, что им не требуется особой защиты, у них отсутствует критически значимая или конфиденциальная информация. Теперь они столкнулись с тем, что сотрудники целенаправленно планируют “злой умысел”, являются организаторами или участниками, которых используют извне. Если раньше злой умысел ограничивался целью “напакостить”, то теперь ставится задача реального прорыва периметра, маскировки и завладения конфиденциальными данными».
«Помимо экономического ущерба, — добавил Дмитрий Горлянский («Гарда Технологии»), — теперь получил широкое распространение также саботаж. Для DLP это порождает новые оценки, которые заставляют учитывать место работы сотрудников и уровень критической значимости занимаемой ими должности с точки зрения безопасности».
Рисунок 3. Должны ли HR-специалисты использовать DLP-систему?
Практика применения DLP-систем в кадровой безопасности
Существует обширная практика применения DLP.
«С помощью DLP можно доказать, например, что сотрудник выполнял услуги в интересах конкурирующей организации, отправляя им документы и скриншоты, содержащие коммерческую тайну, — отметил Александр Канатов («Стахановец»). — Точно так же можно добывать доказательства, когда сотрудник использует оборудование компании в личных интересах».
С технической точки зрения, добавил Дмитрий Кандыбович (StaffCop), система выглядит максимально простой: существуют конечные точки и шлюзы, где производится сбор данных о событиях, легитимных и нелегитимных. «В ответ на контролируемые легитимные события должны создаваться определённые правила. Сотрудники компании оповещаются о вводимом контроле, им предоставляют на подпись определённый пакет документов. Применение собранных данных относится к сфере ИБ, их можно использовать где угодно, вплоть до привлечения сотрудников к ответственности в суде».
«Нелегитимные события базируются на определённых гипотезах. Они выдвигаются для решения задач экономической и собственной безопасности, что служит обоснованием для сбора данных. По ним делаются выводы с опорой на косвенные признаки. Такие данные могут не быть признаны в суде, если они не были легализованы. Поэтому главная цель их сбора — это возможность подтверждения гипотезы для проведения дальнейшего расследования», — заключил представитель StaffCop.
Рисунок 4. Какой вы видите главную задачу обеспечения кадровой безопасности организации?
Проблемы DLP-систем
По мнению Дмитрия Кандыбовича (StaffCop), основной риск в кадровой безопасности исходит от инсайдеров. Данные по пользователю могут собираться из разных подразделений, начиная от HR и заканчивая отделом экономической безопасности. «ИБ должна выступать самостоятельной структурой». Это требует правильной настройки правил для DLP, что позволит получать результаты исходя из реально поставленной задачи.
Помимо инсайдеров, существуют также риски в отношении привилегированных пользователей. При внедрении DLP следует обращать внимание на операторов DLP-систем. Они могут получать личную информацию о сотрудниках и обязаны понимать свою меру ответственности при использовании этих данных.
По мнению Дмитрия Горлянского («Гарда Технологии»), особенностью нынешнего времени является сильный перекос в техническую часть работы DLP-систем. «Сейчас мало внимания уделяется работе с людьми. Важно понимать, что люди организующие атаки — это тоже люди. Поэтому эффективное противодействие возможно только при правильной интерпретации их действий».
Другая проблема — это отсутствие систем способных работать с цепочками событий. Нынешние DLP работают с единичными событиями.
Особую трудность, как отметил модератор Владимир Клеев, составляет то, что в отрасли нет регламентирующих документов. «Применение DLP по стране неоднообразно, многое зависит от конкретной компании».
Александр Клевцов (ГК InfoWatch) обратил внимание также на различия в культуре применения DLP в различных компаниях. «Не все заказчики делятся своими проблемами с вендором. Когда заказчик идёт на это, вендор может помочь ему с выбором правил, помогающих выявить истоки проблемы и найти способы её решения. Но некоторые заказчики не делятся подобной информацией.
Причины могут быть разными. Первая — информация может относиться к строго конфиденциальному уровню (гостайна). Но чаще всего речь идёт об иной культуре безопасности в компании. Только часть компаний придерживаются открытости, другие, наоборот, стараются быть максимально закрытыми. Встречаются даже такие, которые не рассматривают DLP как “живую” систему, требующую управлять правилами контроля для решения текущих задач. Там считают, что DLP — это “рабочий автомат”, который достаточно настроить один раз при инсталляции и больше не трогать».
Представитель StaffCop отметил, что компании можно разделить условно на две большие группы: «плотоядные» и «травоядные». «Плотоядные» устраивают показательные разборы инцидентов. Это делается для поддержания коллектива в тонусе. Хотя разборы могут играть профилактическую роль, не следует афишировать применение DLP-системы за пределами организации, считает Дмитрий Кандыбович. «Травоядный» же подход ограничивается только мониторингом.
Обучение DLP-систем
Участники дискуссии обратили внимание на вопросы обучения правилам эксплуатации DLP. Кто и когда может стать оператором или аналитиком DLP-систем? Эта тема приобретает особую значимость в последнее время, когда отмечается всплеск интереса к развитию аутсорсинга.
Центров, где комплексно обучают правилам эксплуатации DLP с ориентацией на бизнес-практику, нет, отметил Александр Канатов («Стахановец»). «В основном подготовка проходит в специализированных центрах, открываемых вендорами тех или иных продуктов DLP для обучения работе с их системой. Остальная часть проходит в режиме самообучения, когда сотрудник нарабатывает опыт. Комплексного обучения DLP нет».
С этим мнением согласна Анна Попова («РТК-Солар»). «В вузах обучают только экономической безопасности. Эти знания не подходят для DLP. На практике DLP занимаются в основном бывшие сотрудники правоохранительных органов. Только с ними можно говорить а) на языке ценности собираемой информации и б) с правильным пониманием инструментария (методов, сценария). Обычный выпускник, прошедший обучение экономической безопасности, абсолютно бесполезен для DLP».
Мифы о DLP-системах
Вокруг DLP всегда существовало множество мифов. Ещё десять лет назад на предприятиях можно было услышать, как сотрудники рассказывали о страхах, возникающих внутри компаний после внедрения DLP.
Нынешние мифы — уже другие. Дмитрий Кандыбович (StaffCop) обратил внимание на устоявшийся миф относительно дороговизны DLP-систем, а также миф о чрезмерной сложности их инсталляции, невозможности запуска «из коробки».
«Уже на начальном этапе запуска DLP выдаётся “две сотни событий”, что многих пугает, — подтвердила Анна Попова («РТК-Солар»). — Многие считают, что с DLP очень сложно работать. Многие боятся подступиться к этой системе».
О враждебном отношении со стороны сотрудников компаний упомянул и Александр Клевцов (ГК InfoWatch). «Бытует мнение, что DLP является личным врагом для многих сотрудников, поскольку следит за ними и вторгается в их личную жизнь».
Дмитрий Горлянский («Гарда Технологии») привёл устоявшееся суждение о чрезмерной ресурсоёмкости DLP-систем. «Они положат все компы в сети» — нечто подобное нередко можно слышать на практике. Он отметил также опасения, будто сами вендоры DLP-систем могут забирать себе данные о заказчиках, создавая риски для компании.
Александр Канатов («Стахановец») вспомнил миф о том, что DLP-системы якобы способны обеспечить безопасность сами по себе, по факту их установки. «Безопасность — это прежде всего компетентный сотрудник, который занимается вопросами безопасности. DLP — это всего лишь инструмент, который применяется для обеспечения безопасности».
Рисунок 5. Какой сценарий анализа поведения сотрудников при помощи DLP наиболее интересен вашей организации?
Новые технологии DLP-систем
Перспективы DLP связывают прежде всего с внедрением поведенческой аналитики (UBA и UEBA). Такие системы позволяют ввести рейтинг сотрудников, который в дальнейшем помогает отслеживать риски и выявлять сложные инциденты, в том числе для предотвращения злонамеренных действий.
Новые инструменты позволяют решать задачи связанные с прогнозированием увольнения, выявляют риски накопления информации с целью её выноса или вывода за пределы периметра, способны «увидеть» нарушения и аномалии в бизнес-процессах, связанные с планируемой дискредитацией компании или отражающие нелояльное поведение сотрудников. Оценивать такие задачи в рамках обычного DLP сложно, потому что инцидентов в подобных событиях нет. Новые технологии позволяют прогнозировать развитие ситуаций более точно.
В то же время, как отметил Александр Клевцов (ГК InfoWatch), UBA до сих пор так и не «взлетела» на рынке из-за обилия спекуляций на эту тему. Многие вендоры попытались сразу реализовать у себя похожие функции, но в условиях отсутствия реальной экспертизы и специальных исследований у многих ничего не получилось.
Тренды развития систем кадровой безопасности
Александр Канатов («Стахановец»):
— Заказчик всегда хочет иметь большую красную кнопку. Нажав на неё, он хочет получить результат и принимать управленческие решения. Это — идеальная цель, когда DLP-система сможет обрабатывать все крупные массивы комплексных данных, чтобы предоставлять соответствующие результаты.
Александр Клевцов (ГК InfoWatch):
— Мы ожидаем повышения уровня автоматизации и широкого применения ИИ. Будут снижаться трудозатраты на эксплуатацию DLP, появится возможность выявлять инциденты, автоматизировать конфигурирование, настраивание политик. Часть работы должна взять на себя машина, а офицер DLP должен заниматься вопросами принятия ключевых решений, а не техническими проблемами.
Анна Попова («РТК-Солар»):
— С точки зрения технического развития DLP будет идти в сторону развития экосистемы ИБ и интеграции решений. Большую пользу мог бы оказать единый программный агент, который будет собирать необходимую информацию, в том числе для DLP. Второе направление — это развитие UBA. До сих пор было много спекуляций на эту тему, но фактически мы ожидаем появления реальных паттернов, которые будут оказывать помощь в поиске при решении практических задач. С большими данными нужно уметь работать быстро и эффективно.
Дмитрий Кандыбович (StaffCop):
— DLP будет идти в сторону интеграции с DCAP и UEBA. Интеграция уже сделала первые шаги. Например, логи DLP активно используются в SIEM-продуктах для оценки корреляции событий.
Дмитрий Горлянский («Гарда Технологии»):
— Я не верю в реализуемость UEBA в её нынешнем виде. На практике встречается слишком много различных форматов, а результаты работы механизма UEBA слишком сильно зависят от исходных данных: их малейшие изменения моментально вызывают смену результатов. Поэтому сначала необходима формализация входных данных для UEBA. Она обеспечит правильную декомпозицию. Но ждать реальных результатов придётся долго.
Рисунок 6. Каково ваше мнение относительно применения DLP для кадровой безопасности после эфира?
Выводы
Практика применения DLP существенно изменилась в этом году. То, о чём в прошлом рассказывали как о потенциальных рисках, стало реальностью. Прежние инциденты, «произошедшие по неосторожности», сменились реальными случаями саботажа и кражи конфиденциальной информации в больших объёмах.
Участники дискуссии рассказали о том, что происходит сейчас на рынке DLP, как развивается это направление и какие новые технологии можно внедрить, чтобы справиться с новыми проблемами.
Самые горячие для российского рынка информационной безопасности темы мы обсуждаем в прямом эфире онлайн-конференции AM Live. Чтобы не пропускать свежие выпуски и иметь возможность задать вопрос гостям студии, не забудьте подписаться на YouTube-канал Anti-Malware.ru. До встречи в эфире!