Системы DLP (Data Leak Prevention) сегодня уже зарекомендовали себя в качестве комплексной защиты конфиденциальных данных компании от утечек. Автоматизация, внедрение машинного обучения, снижение нагрузки на сервер, ускорение работы, гарантируют DLP-системам место в комплексе эффективных ИБ-процессов. На очередном эфире AM Live эксперты по защите информации поговорили об этом классе продуктов.
- Введение
- Текущее состояние DLP-систем
- Технические особенности современных DLP
- Тренды и прогнозы развития DLP
- Ответы на вопросы слушателей
- Выводы
Введение
Прямой эфир AM Live, посвящённый системам DLP, состоялся 8 сентября 2021 г. в студии Anti-Malware.ru. Ведущие специалисты по информационной безопасности поговорили о задачах и проблемах заказчика, обсудили уже зрелый и сформировавшийся рынок систем по защите от утечек, затронули юридические аспекты DLP.
Организация работы сотрудников с конфиденциальной информацией компании требует комплексных мер от отдела ИБ. Ускорение цифровизации жизни, дистанционная работа сотрудников, увеличение количества каналов коммуникации — всё это формирует новые векторы атак злоумышленников, целью которых может являться несанкционированный доступ к самым ценным данным компании.
Как именно организована работа по защите от утечек конфиденциальной информации в текущих реалиях? Какие задачи способны решать современные системы DLP помимо собственно защиты от утечек? Каковы нюансы и особенности внедрения DLP в современный процесс обеспечения ИБ?
Также на встрече были затронуты вопросы о текущем состоянии рынка DLP в России и за рубежом. Была дана оценка эффективности и целесообразности интеграции этих систем в инфраструктуру. Чего ждать от вендоров и от последующей эволюции продуктов DLP в области снижения рисков заказчика?
Приглашаем получить ответы на эти и другие вопросы в нашем текстовом обзоре, где мы акцентировали все ключевые моменты эфира.
В обсуждении приняли участие ведущие эксперты по ИБ:
- Антон Тихонов, технический менеджер решений McAfee Enterprise.
- Евгений Матюшёнок, директор по продажам «СёрчИнформ».
- Галина Рябова, директор центра продуктов «Дозор», «Ростелеком-Солар».
- Алексей Раевский, генеральный директор Zecurion.
- Олег Никитский, региональный директор Symantec/CA by Broadcom, Mbcom Technologies в регионе «Россия, Украина, Грузия и СНГ».
- Александр Клевцов, руководитель по развитию продукта InfoWatch Traffic Monitor.
Ведущим трансляции выступил уже знакомый постоянным зрителям Денис Батранков, консультант по новым стратегиям безопасности Palo Alto Networks.
Традиционно к прямому эфиру подключались слушатели: активно задавали вопросы в чате, участвовали в опросах, результаты которых формировали реальную картину понимания обсуждаемой темы.
Текущее состояние DLP-систем
Встреча началась с краткой ретроспективы. DLP — уже зрелый продукт, который присутствует на рынке ИБ около 20 лет. Спикеры отметили ключевые этапы развития и сфокусировались на проблемах, с которыми обращаются к вендорам.
Этапы эволюции DLP и задачи заказчика
Потребность в DLP-решениях появилась в тот момент, когда компании (банки, корпорации) стали накапливать конфиденциальные персональные данные клиентов и эти данные постепенно начали утекать в открытый доступ.
Следующим эволюционным шагом стало внимание правительств, породившее законодательные акты, а впоследствии — и международные стандарты. Например, в финансовом секторе это — всем известный PCI DSS (Payment Card Industry Data Security Standard — стандарт безопасности данных индустрии платёжных карт), в медицинском — HIPAA (Health Insurance Portability and Accountability Act — акт о мобильности и подотчётности медицинского страхования), и т. д.
Алексей Раевский:
— Третий шаг эволюции DLP — защита от мошенничества в рамках корпорации, когда DLP видит действия сотрудников, контролирует каналы связи, блокирует подозрительные действия. Как результат — рост интереса со стороны бизнеса в последние годы.
Мошенничество как типовую проблему заказчика обозначил Евгений Матюшёнок, добавивший, что всегда были и будут недобросовестные люди, ищущие активы компании, на которых можно заработать.
Фиксируя ключевые проблемы, с которыми заказчик приходит к вендору и которые вендор помогает решать, эксперты отметили:
- преднамеренные утечки — злонамеренные действия инсайдеров в личных интересах;
- непреднамеренные утечки — например, случайный инсайд;
- комплаенс — обеспечение стандартов безопасности при работе с конфиденциальными данными;
- защиту от внешних угроз — например, от криптолокеров и других вредоносных объектов.
Олег Никитский:
— Непреднамеренные утечки важны, потому что в процессе внедрения DLP сотрудники обучаются и понимают, как именно обращаться с информацией, что в результате снижает для компании риски.
Галина Рябова:
— Если резюмировать, то чаще всего заказчик обращается с классической задачей обеспечить безопасную работу с конфиденциальной информацией.
Рисунок 1. Насколько вы знакомы с системами DLP?
Более половины респондентов (52 %) уже применяет DLP. Остальные подготовлены: 24 % знают общие принципы, а 17 % уже изучали предмет. Только 7 % ничего не слышали о DLP-решениях до этого эфира.
Нашумевшие утечки данных последних лет
Данные утекают постоянно по всему миру, мы неоднократно сообщали о таких инцидентах в нашей новостной ленте, а также публиковали аналитические обзоры: «Топ 10 крупнейших утечек информации в России», «Крупнейшие мировые утечки данных и взломы 2020 года».
Страдают правительственные структуры (ФБР, ЦРУ), международные организации, банки, онлайн-сервисы и т. д. Для понимания серьёзности и масштабов проблемы были приведены примеры недавних крупных утечек.
- Uber: имена, адреса, номера телефонов 50 000 000 клиентов и 7 000 000 водителей были похищены и опубликованы в открытом доступе.
- Сеть магазинов «Красное и Белое»: утечка клиентской базы, 17 000 000 записей продавались по цене 15 000 рублей.
- Онлайн-школа SkyEng: база с данными 5 000 000 студентов продавалась за 40 000 рублей.
- Facebook: утекли персональные данные 30 000 000 пользователей.
- Сеть отелей Marriott: похищена база данных 500 000 000 клиентов.
- Сервис «РЖД Бонус»: украдено 1 360 000 записей.
- Паспортные данные людей, которые голосовали за поправки к конституции РФ: утечка 1 000 000 записей.
- База данных автомобилистов Москвы: 1 000 000 записей опубликованы в общем доступе.
Данные клиентов «Альфа-банка», сотрудников РЖД, пациентов, которые переболели COVID-19, также были украдены и выложены в публичный доступ.
По данным компании InfoWatch, за 2020 год было зарегистрировано 2395 случаев утечки информации ограниченного доступа. В отчёте RiskBased Security сообщается, что в первой половине 2021 года имели место 1767 случаев доступа к конфиденциальной информации, которые привели к утечке более чем 18 млрд записей.
Возможно ли вообще защититься от утечек ценных данных?
Спикеры подчеркнули, что необходимо понимать, с чем именно работает DLP, что защищает. Это не «серебряная пуля», безопасность — всегда комплексный процесс.
Галина Рябова:
— DLP эффективен на каналах цифровых коммуникаций, при отслеживании действий пользователя на рабочей станции, контролирует файловые хранилища. Но DLP не поможет, если жёсткий диск положили в карман и унесли.
Построить в компании защиту от утечек возможно, если собрать воедино несколько факторов в контексте DLP:
- информационная безопасность — прямая работа DLP, контроль операций с конфиденциальными данными;
- экономическая безопасность — расследования, которые помогает проводить DLP;
- кадровая безопасность — DLP-системы способны делать выводы по действиям сотрудника в компании.
Александр Клевцов:
— Современные DLP обеспечивают защиту от утечек, но правильнее будет сказать, что это защита от нарушений при работе с информацией, это не только утечки, это комплексная защита.
Для построения надёжной защиты от утечек недостаточно одного внедрения DLP, могут потребоваться изменения процессов и порядков внутри компании.
Рисунок 2. Для каких задач вы используете или планируете использовать DLP-систему в первую очередь?
Большая часть респондентов (52 %) видит применение DLP в обнаружении и предотвращении утечек ценных данных. 26 % рассматривает такие системы как универсальные хранилища информации.
Кто выступает заказчиком внутри компании?
Чаще всего это служба безопасности: информационной, экономической и т. д. Бизнес сейчас лучше понимает цену безопасности и всё чаще обращается к вендорам.
Поделился примерами из практического опыта Александр Клевцов. Вот один из этих примеров: в компании не было отдела ИБ, а был отдел рисков, который и выступал заказчиком внутри компании по рискам в ИБ.
Эксперты в итоге обсуждения выделили основных заказчиков:
- отдел ИБ;
- отдел рисков;
- владелец (бизнес).
По сути неважно, кто будет выступать заказчиком, конечной целью будет безопасность. «В целом, статистически чаще это отдел ИБ», — подвела итог Галина Рябова.
Импортозамещение в контексте DLP
В России — зрелый конкурентный рынок DLP, на котором представлены очень сильные решения, заявили специалисты. Также растёт и зрелость заказчиков, задачи усложняются, становятся более специфическими; западные вендоры не могут закрыть эти потребности, их позиции слабеют.
Не всегда какие-то внутренние ограничения способствуют импортозамещению. Любые необходимые доработки продукта в результате импортозамещения добавляют конкурентных преимуществ и независимости.
Любая страна стремится к использованию «родных» решений, особенно в ключевых секторах экономики, и вытесняет зарубежные аналоги тем или иным путём.
Технические особенности современных DLP
Во втором блоке встречи специалисты постепенно стали затрагивать технические вопросы, делиться сценариями и примерами из опыта.
Почему заказчик так редко применяет в DLP функцию предотвращения?
Спикеры отметили, что все крупные заказчики применяют эту функцию. Для эффективного предотвращения необходима, с одной стороны, зрелость ИБ-процессов в компании, а с другой стороны, технологическая зрелость самого DLP-решения.
Примерно 10 % заказчиков, по оценке Галины Рябовой, использует функцию предотвращения в продукте, и в основном это — банковский сектор.
Александр Клевцов оценил частоту применения функции предотвращения среди заказчиков несколько позитивнее: чуть более чем 20 %.
В каких точках может быть установлена DLP?
По итогам обсуждения специалисты обозначили следующие точки установки DLP:
- агенты: сетевые (серверы, шлюзы), хостовые;
- интеграция с облачными сервисами.
«Мы защищаем не только каналы коммуникации и связи, но прежде всего ценные данные», — подчеркнул Антон Тихонов.
В целом неважно, где будет инфраструктура заказчика: в облаке или локально; защита коммуникационных каналов будет в основе. Это больше технологический вопрос и всё зависит от конкретных целей заказчика.
Практическим кейсом поделился Олег Никитский: когда DLP определяет угрозу открытого доступа к конфиденциальному файлу в облаке, доступ к такому файлу блокируется через определённое время, что помогает избежать разрыва бизнес-процессов.
Суть применения DLP-меток в качестве вспомогательного инструмента пояснил Евгений Матюшёнок: мы индивидуализируем политики по определённой классификации (контент, теги, группы и т. д.), а затем помечаем через интерфейс защищаемые файлы. Метки имеют недостаток: часто они не наследуются и при движении файла могут потеряться.
Рисунок 3. В чём слабость современных DLP-систем?
Слушатели выделили высокую стоимость DLP-систем (26 %), ограниченное применение в облаках (24 %) и «другие» проблемы (25 %). 13 % считают, что DLP вообще не блокирует утечки.
Новые возможности и функции DLP в 2021 году
Спикеры поделились нововведениями в своих решениях, которые ориентированы на заказчика. Прозвучали следующие функции, технологические решения и возможности:
- агрегация паролей к корпоративным ресурсам (простой пароль — серьёзная уязвимость);
- технология веб-изоляции подозрительных пользователей;
- функции CASB (Cloud Access Security Broker — брокер безопасного доступа в облако);
- технология «Мультидозор» — построение единой DLP-системы из территориально распределённых инсталляций;
- Staff Control — контроль продуктивности пользователей;
- технология защиты от фотографирования экрана;
- репутационный фильтр пользователей;
- автоматическое обнаружение графических отпечатков (подпись директора, печать организации и т. д.);
- универсальный перехватчик.
Некоторые ноу-хау по работе универсального перехватчика вендор не раскрыл, но отметил расширение возможностей продукта за счёт серьёзного усиления модуля машинного обучения.
Алексей Раевский:
— На мой взгляд, решения DLP постепенно будут впитывать в себя многие функции CASB.
Также вендоры отметили повышение быстродействия и снижение нагрузки за счёт применения машинного обучения, усиление UBA-модулей для прогнозирования и предотвращения угрозы утечек.
На Западе многие технологии уже внедрены в решения DLP; если выпускаются релизы, то это — небольшие улучшения, отметил Антон Тихонов.
В рамках тренда контейнеризации необходимо контролировать среды оркестровки и хранилища, где эти среды расположены.
На вопрос о мультиязычной поддержке спикеры ответили, что она уже давно реализована как в интерфейсе, так и в программном коде (работа с тегами, метками, именами и т. д.).
Как выбрать и сколько стоит DLP-система?
Прежде всего заказчику нужно понять, какие проблемы он хочет решить при помощи DLP. И здесь вендор должен помочь сформулировать проблемы: это обоюдное взаимодействие, где важен соответствующий уровень квалификации экспертов с обеих сторон.
Резюме обсуждения спикеров можно свести в следующий чек-лист, который поможет выбрать искомый DLP:
- каналы — какие именно каналы коммуникации требуется защищать;
- внедрение и распространение — насколько сложно внедрить решение;
- предварительно настроенные шаблоны — наборы политик, правил, сценариев, которые доступны на старте;
- наличие классификатора;
- взаимодействие с вендором (диалог, поддержка, обучение и т. д.);
- отказоустойчивость, ресурсы и производительность — требования к «железу» и ПО, как система справляется с нагрузкой;
- автоматизация — для самостоятельной поддержки и решения последующих задач;
- «пилот» — попробовать реализовать реальный кейс, оценить возможности, максимально погрузиться в продукт.
При вопросе о примерной стоимости DLP-системы специалисты традиционно вежливо уклонились от ответа.
Рисунок 4. Какие направления в развитии DLP вы считаете наиболее перспективными?
Большая часть респондентов (25 %) видит перспективы для DLP в контроле облачных сервисов. 20 % считают перспективой обнаружение аномалий, 17 % — контроль удалённых сотрудников. По 13 % голосов получили профилирование пользователей и вариант «Другое». Контроль хранения данных важен для 12 %.
Тренды и прогнозы развития DLP
Цифровизация приводит к тому, что ценных данных становится больше, эти данные консолидируются, риски увеличиваются. Куда эти данные идут, там и должна стоять защита. Одна из задач DLP будущего — автоматизация и глубокая интеграция в бизнес-процессы.
Ещё один тренд — интеграция DLP с CASB, потому что на данный момент эти решения разделены. С другой стороны, CASB тоже постепенно приобретает функции DLP. Будет формироваться конвергенция облачных и локальных решений.
Следующим эволюционным шагом эксперты назвали трансформацию DLP в систему защиты от угроз более широкого спектра. По их словам, мы вплотную подошли к чему-то более масштабному, это будет эволюция в систему нового поколения.
Рисунок 5. Каково ваше мнение относительно DLP после эфира?
Правильно выбрали DLP-решение 37 % участников опроса. Появился интерес к продукту у 43 % зрителей: 25 % готовы тестировать, 18 % — пока не готовы.
5 % захотели поменять свой текущий DLP на другой, а 8 % так и не разобрались, какие риски помогают закрыть системы предотвращения утечек данных.
Ответы на вопросы слушателей
Были ли у присутствующих вендоров когда-нибудь зафиксированы крупные утечки, которые привели к «посадкам» или увольнениям?
Никто бы не использовал DLP-системы столько лет, не развивал бы этот продукт, если бы он не блокировал утечки. DLP помогает и в расследованиях. Полученные в результате расследования данные могут быть использованы в суде как доказательная база, подтвердили эксперты.
Евгений Матюшёнок:
— Чтобы мошенника посадить, необходимы доказательства материального ущерба, а DLP этот ущерб по своей сути предотвращает. У нас были кейсы, например, в Екатеринбурге, в открытых источниках можно ознакомиться.
Антон Тихонов:
— Основная задача нашего DLP-решения — предотвратить подобные события, которые приведут к расследованиям. За более чем 10 лет опыта у нас были и «посадки», и расследования, но это не какой-то критерий выбора или показатель качества.
Алексей Раевский отметил кейс, когда собранные DLP-системой данные использовались в суде как доказательство преступления, и подчеркнул важность юридического сопровождения. Также, по его словам, бывают и «тихие» увольнения.
Александр Клевцов рассказал о том, как их заказчик однажды раскрыл с помощью данных DLP мошенничество, организованное группой лиц. Дело было доведено до уголовного преследования.
Олег Никитский не выделил кейсы из опыта, но подчеркнул, что основная задача компании — предотвратить такие инциденты, минимизировать риски.
Как быстро выпускаются обновления продукта в экстренных случаях, например когда вышла новая версия браузера?
Это — известная проблема, с которой сталкиваются все вендоры. Каждый вендор разрабатывает собственное решение, которое позволяет исключить такие ситуации. Качественный зрелый продукт должен быть устойчив к подобным обновлениям.
В другом случае реализуется поддержка «same-day-support», когда вендор предоставляет актуальную версию в тот же день, когда установлены обновления, например, операционной системы заказчика.
Какими могут быть рекомендации для заказчика по законному использованию собираемых DLP данных в поощрении и наказании сотрудников?
Вопрос весьма важен и требует решения, потому что никак не регламентирован, подчеркнули эксперты.
Самое важное, чтобы сотрудник понимал, что вся информация, с которой он работает, принадлежит компании. DLP мониторит только рабочую активность человека на рабочем месте и не более того.
Выводы
Эфир показал, что современные DLP-системы, которые сформировались за последние 15–20 лет, помогают эффективно закрыть риски связанные с утечками ценных данных. Защита от утечек — это комплекс мер, это надлежащие порядки внутри компании, работа службы безопасности в целом, это не только работа отдела ИБ.
Для максимально эффективного применения DLP важна зрелость не только выбранного решения, но и самого заказчика.
Системы DLP на рынке РФ очень сильны и конкурентоспособны. Западный рынок созрел чуть раньше, и многие западные решения поддерживают несколько больше дополнительных функций, чем отечественные. Однако некоторые специфические проблемы заказчика из РФ способны решить только отечественные продукты.
Автоматизация, глубокая интеграция в процессы ИБ, усиление модулей машинного обучения (для прогнозирования угроз, для ускорения работы продукта в целом, снижения нагрузки на «железо» и т. д.), интеграция с облачными сервисами, поддержка функции CASB — важные направления развития DLP.
Подписывайтесь на наш канал, участвуйте в опросах и дискуссиях, задавайте вопросы спикерам в чате, получайте актуальную информацию по самым современным направлениям в информационной безопасности на AM Live!
