Сегодня наблюдается много маркетингового шума вокруг темы утечек данных и специализированных продуктов, призванных эти утечки предотвращать (DLP). Однако много так называемых DLP-решений на российском рынке не способны технически предотвращать утечки, а могут лишь предоставить инструментарий расследования инцидентов, построения отчетов и поиска по переданным данным. В статье мы рассмотрим конкретные примеры, когда продукты, называемые DLP, не выполняют базовые функции для предотвращения утечек данных.
- Что маркетологи пытаются выдать за контроль?
- Подмена понятий
- Если пользователь отключит DLP на своем компьютере
- Каковы же выводы?
Что маркетологи пытаются выдать за контроль?
Во всех DLP-решениях декларируется контроль электронной почты, печати документов, веб-почты, облачных хранилищ данных, мессенджеров, социальных сетей и локальных носителей информации (USB-флешек и т. п.).
В большинстве представленных на российском рынке DLP-продуктов заявленное слово «контроль» следует понимать как функцию перехвата и архивирования перемещаемых данных (сообщений и файлов) без возможности их анализа в реальном масштабе времени для принятия решения о блокировании (или разрешении) непосредственно в момент совершения пользователем действия с данными. Т.е. если в пересылаемых файлах обнаружилась критичная информация, которая не должна покинуть периметр компании, вы об этом узнаете постфактум — когда данные уже будут переданы. Следует отметить, что некоторые DLP-продукты все же позволяют полноценно контролировать данные для отдельных каналов, чаще всего для электронной почты, оставляя все остальные пути утечки информации на откуп последующему расследованию инцидента. Приведем пример: файл, содержащий номера кредитных карт, пытаются переслать внешнему адресату по электронной почте, DLP-система обнаруживает вхождение номеров карт в файле-вложении и блокирует письмо, тогда пользователь без всяких проблем отправляет этот же файл через Skype, о чем данная DLP-система сообщит службе безопасности уже после того, как файл покинет периметр.
Отдельно следует отметить тот факт, что даже функции архивирования (теневого копирования) данных во многих DLP-продуктах являются не полными. Скажем, перехват файлов в мессенджерах типа Telegram или Skype работает, а сообщений в этих же мессенджерах — нет.
Некоторые DLP-решения умудряются пропускать мимо себя файлы, упакованные в архив. И даже если заявлен контроль внутри архива, он легко обходится в случае большого (более 10) количества файлов в этом архиве.
Часто DLP-продукты не способны перехватывать и сохранять почту в DLP-архив, если используются «не совсем стандартные» почтовые клиенты, такие как Mozilla Thunderbird. Это означает, что такие решения не контролируют почтовые протоколы (SMTP, MAPI, IMAP и т.д.) как таковые, а заточены на конкретные приложения (например, MS Outlook).
Существует много решений, в которых заявлен контроль веб-ресурсов (веб-почта, облачные хранилища данных, социальные сети и т. д.) только для поддерживаемых браузеров (например, Internet Explorer, Chrome и т. д.). Любой другой HTTP-агент, не указанный в списке поддерживаемых, сможет осуществлять неконтролируемые действия с веб-сервисами. Отдельно хочется отметить, что часто бывает достаточно изменить локальную папку синхронизации файлов у приложения облачного хранилища (например, Dropbox), чтобы установленное средство предотвращения утечек перестало это облачное хранилище контролировать.
Что касается контроля печати документов, то тут все ровно то же самое — контроль печати на деле оказывается «контролем», т. е. сохранением копии печатаемого документа в архив для последующего анализа, без возможности блокирования на лету.
Подмена понятий
Речь идет о ситуациях, когда наблюдение за действиями пользователей (User Activity Monitoring, UAM) выдается за средство предотвращения утечек информации. Решения класса UAM записывают всю активность пользователей на компьютере (снимки экранов, запущенные приложения, клавиатурный ввод и т. д.) и позволяют впоследствии анализировать продуктивность работы или собрать доказательства по тому или иному инциденту. Но опять же, весь этот анализ принципиально не способен технически остановить утечку данных, а служит лишь доказательной базой по уже свершившемуся факту утечки.
Если пользователь отключит DLP на своем компьютере
Немаловажный аспект — способность DLP-продукта противодействовать попыткам пользователя помешать его нормальной работе. Проще говоря, может ли пользователь отключить DLP-агент на своем компьютере, особенно учитывая тот факт, что наличие прав локального администратора у пользователя — это очень частая ситуация в реальной практике. В некоторых DLP-продуктах заявляется возможность противодействовать таким пользователям.
Часто защита обходится путем отключения (перевод в состояние disabled) служб DLP-агента штатными средствами администрирования Windows и удалением его драйверов. Более «продвинутые» DLP легко отключаются при помощи доступных бесплатных утилит, таких как GMER и FileASSASSIN.
Каковы же выводы?
Все просто. Читая красивые описания разных DLP-продуктов на сайтах, листовках и в «независимых» обзорах, не забывайте, что работа маркетологов — написать много красивых слов ради привлечения внимания, а не расписывать в деталях технические особенности продукта и уж тем более его слабости. Доверяя — проверяй, это главный принцип при изучении возможностей ИБ-решений. Требуйте возможности провести собственное независимое тестирование без участия разработчика или интегратора, анализируйте не только сильные стороны решения, но и его недостатки: ведь не исключено, что именно пропущенный из-за веры в красивую брошюру недостаток в итоге станет причиной утечки данных в вашей компании, и тогда вам придется делать вид, что вы предотвращали утечки.