Дмитрий Михеев
эксперт Центра информационной безопасности компании «Инфосистемы Джет». Родился в 1977 году в России. Окончил с отличием социологический факультет МГУ им. М.В. Ломоносова, специализация "социология организаций".
В сфере информационной безопасности и управления информационными активами работает с 2001 года, а в компании «Инфосистемы Джет» – с 2003 года. За прошедшие 9 лет в разное время выполнял в компании задачи инженера поддержки, тестировщика, руководителя отдела тестирования, аналитика и архитектора систем ИБ. В разработке средств и систем защиты информации участвует с 2003 года. Обладает сертификатом Certified Information Systems Security Professional (CISSP).
Сегодня Anti-Malware.ru беседует с Дмитрием Михеевым, экспертом центра информационной безопасности компании «Инфосистемы Джет», об актуальных проблемах развертывания и эксплуатации DLP-систем. Данное интервью продолжает цикл публикаций по тематике утечек информации и средств защиты для их предотвращения.
Иногда бизнес недостаточно четко представляет, на каком фундаменте должна основываться защита от утечек. Какие действия и мероприятия следует выполнить корпоративному клиенту в процессе предварительной подготовки к развертыванию DLP-решения?
Основная задача, с которой мы сталкиваемся на этапе подготовки к развертыванию системы DLP, – поиск людей, которые будут ее эксплуатировать. При этом речь идет не о специалистах по безопасности или IT, а о тех, кто отвечает за ведение бизнеса в целом. В конечном счете, отделы безопасности или информационных технологий, как правило, являются исполнителями доктрин, предписанных бизнес-стратегией. В частности, в вопросах внедрения тех или иных средств защиты информационного периметра предприятия. Их мнение важно, и оно принимается во внимание, но эффективность реализации проектов возрастает, когда мы напрямую работаем с людьми, действительно заинтересованными в решении проблем, связанных с утечками информации. Соответственно, на подготовительном этапе мы планируем карту контактов и стараемся найти таких сотрудников. Это не всегда оказывается возможным, поскольку их может и не быть в компании.
Кого можно отнести к числу таких сотрудников?
Это могут быть люди, на первый взгляд, не соприкасающиеся непосредственно с техническими средствами предотвращения утечек. Например, высшее руководство компании, которое в результате утечек информации обычно несет репутационные риски, связанные с ухудшением имиджа компании, необходимостью давать соответствующие отчеты акционерам и т.п. Эта группа сотрудников компании обеспечивает необходимый уровень организационной поддержки для реализации DLP-проекта любой сложности: в ходе него часто требуется вносить изменения в регламенты и иные основополагающие документы, связанные с установлением режима коммерческой тайны, формированием списков доступа и регулятивных норм, которые мы будем принимать в работу по проекту. В противном случае ощутимо пострадает качество реализации проекта.
Необходимо помнить, что DLP-система не работает в «вакууме» – она требует определенного уровня технической подготовки компании, в том числе с точки зрения проработки документов по информационной безопасности. Если такой фундамент имеется, то нам не приходится работать, образно говоря, на пустом месте: мы активно используем существующие документы и положения. В том числе и связанные с режимом коммерческой тайны или с техникой безопасности. Если же подобные документы отсутствуют, то мы, безусловно, стараемся помочь заказчику если не с их полноценной разработкой, то, по крайней мере, в части рекомендаций необходимых действий, которые необходимо предпринять в этом направлении.
Позволяет ли опыт определить, какие сложности и проблемы чаще всего решает поставщик DLP-продуктов при их развертывании на стороне клиента?
Все технические проблемы решаемы. Если мы не можем разрешить какую-либо из них как интегратор, то используем все преимущества непосредственного контакта с производителем. С точки зрения критически важных проблем DLP-решение не отличается от любой другой сложной системы. Например, в ходе внедрения может оказаться, что люди, закупающие систему, не являются теми, кто будет ее эксплуатировать. В результате при выборе системы мнение последних не учитывается. А это может привести к некоторым конфликтам между отделами и среди руководства компании.
Организации меньшего масштаба не слишком часто проявляют интерес к DLP-решениям, так как работа с DLP потребует регулярной траты ресурсов. Таким образом, это скорее системы для крупных компаний, чей штат исчисляется сотнями сотрудников, где ключевое значение приобретают постоянно растущие объемы сведений и количество пользователей, работающих с ними. Поэтому к характерным проблемам также следует отнести часто возникающий в последнее время вопрос объема данных: все коммуникационные каналы передают значительное количество информации, потенциальные возможности для утечек очень широки. И для обеспечения нормальной передачи данных, не говоря уже об их контроле, требуется специализированное оборудование. В итоге возникают проблемы технологического характера, связанные с пропускной способностью и вычислительными возможностями современных средств связи. Большое количество точек, каналов и широкие полосы являются источником технических сложностей. Есть и другие традиционные проблемы – например, отсутствие полного набора DLP-инструментов для определенных операционных систем, будь то Mac OS или программное обеспечение для мобильных устройств. Проблемы эти известны, и мы работаем над их решением.
Иногда, в ходе внедрения продукта, выясняется, что компьютерный парк клиента разнороден и не полностью соответствует техническим требованиям. Как разрешаются подобные проблемы? Возможен ли как таковой компромисс между производительностью и безопасностью?
Говоря о больших компаниях, следует помнить, что они не всегда были масштабными организациями: они развивались и росли в течение определенного периода времени, и на своем пути, условно говоря, «обрастали» техникой, каналами связи и инфраструктурой. В итоге, на площадках нам часто приходится сталкиваться с так называемыми «технологическими зоопарками»: широким спектром оборудования разных лет выпуска, всевозможными версиями стандартных информационных систем и пр. Кроме того, для России характерно использование внутренних «самописных» систем, которые разрабатывались в разное время силами сотрудников самой компании или были заказаны у внешних поставщиков. В этом случае данные не обрабатываются штатными средствами, и в подобных системах требуется специальная фильтрация информации. Безусловно, где-то приходится идти на компромисс. Ведь не на каждую рабочую станцию может быть свободно внедрен DLP-агент и не на всякую сеть можно возложить дополнительную нагрузку. Перед нами ставятся определенные задачи, и их частичное решение в любом случае более предпочтительно, нежели полное их игнорирование. Для защиты устаревших систем мы рекомендуем использовать различные модули DLP. Например – модуль сетевого перехвата данных. Впрочем, необходимо заметить, что стандартных, унифицированных методов и подходов в данном случае фактически не существует.
Обычно DLP-решения стоят на страже коммерческой тайны. Насколько часто такие системы привлекаются для защиты информационных активов государственных учреждений, для сохранения конфиденциальности персональных данных? Как отражается соответствующая специфика на структуре и составе системы защиты от утечек?
Зачастую движение персональных данных является признаком утечки закрытой информации. Но с точки зрения формальных требований законодательства, нет явных предписаний к наличию DLP-решений в составе системы защиты персональных данных. Вместе с тем, согласно требованиям к защите персональных данных, организации должны разработать модель угроз и сформировать организационные и технические меры защиты, направленные на нейтрализацию актуальных угроз безопасности. Получается, что разработанные модели угроз, в которых угроза утечки ПДн через интернет считается неактуальной, выглядят не вполне «честными», так как эти угрозы закрываются организационными мерами.
Поэтому если говорить о реальной защите персональных данных, особенно в свете планируемого увеличения штрафов (до 1 млн. руб.), то при легитимном использовании ресурсов интернета сотрудниками компании предотвратить утечку ПДн можно только с помощью специализированных средств защиты, а именно – систем класса DLP. Таким образом, если организация преследует цель обеспечить конфиденциальность персональных данных, то DLP-решение является неотъемлемой частью системы защиты персональных данных.
Системы класса DLP позволяют успешно перехватывать персональные данные: многие из них имеют специальные модули, предназначенные для выявления в потоке информации имен, фамилий, номеров телефонов, паспортов и т.п. Есть и опыт их практического использования. В целом никаких специальных адаптаций или дополнений, предназначенных именно для работы с персональными данными, не требуется: DLP-системы сами по себе вполне готовы к отслеживанию подобных сведений. Более того, это является их стандартным функционалом.
Перед внедрением защитной системы обычно проводится моделирование потенциальных каналов утечки информации. Какой метод моделирования в Вашей практике зарекомендовал себя как наиболее удобный и надежный? Сможет ли система обеспечить контроль того или иного канала, возникшего после ее развертывания?
Как правило, мы не используем каких-либо специальных средств моделирования, кроме собственно DLP-системы. Иногда мы основываемся на готовой модели нарушителя: при наличии хорошо проработанной модели потребность в дополнительных действиях по этому направлению обычно отсутствует. В то же время, мы готовы использовать возможности консультантов нашей компании, которые применяют наработанные методики с использованием широкого спектра инструментов и средств. На практике мы чаще всего используем DLP-систему в режиме пассивного мониторинга, чтобы в рамках опытной эксплуатации оценить статистику нарушений и таких их признаков, как объем зашифрованного трафика, движение в сторону почтовых доменов конкурентов и.т.п. Это позволяет оценить потенциальную опасность и аргументировано обосновать целесообразность защиты того или иного направления в зависимости от количества инцидентов. Также результаты опытной эксплуатации дают первичное представление о количестве информации, необходимости совершенствования политик безопасности и.т.д. Это позволяет создать надежный фундамент для последующего внедрения и гарантии по качеству обслуживания, разработать требования к оборудованию и уточнить стандартные политики на реальных данных. Что же касается контроля каналов, возникших уже после развертывания системы, то мы практикуем выдачу клиентам мобильных стендов и временных лицензий, позволяющих проводить периодическую оценку состояния безопасности по мере надобности. Необходимо заметить, что DLP-системы часто внедряются поэтапно, начиная от самых простых уровней в виде пассивного наблюдения и заканчивая полнофункциональными программными агентами. Этот принцип позволяет постепенно перекрывать доступные каналы утечек техническими средствами, решать задачу защиты данных за несколько управляемых, прогнозируемых по рискам шагов.
Из всего функционального наполнения продукта пользователь склонен выбирать только те элементы, которые ему наиболее интересны в плане защиты. Какие возможности и умения "Дозор-Джет" являются наиболее востребованными у клиентов? Какие модули пользуются наименьшей популярностью? Чем это обусловлено, на Ваш взгляд?
Немногие клиенты готовы сразу сформулировать свои требования к DLP-системе и контролируемым направлениям, а также указать, что именно они хотят защищать. В большинстве случаев внедрение идет по принципу протоколирования всех происходящих событий и последующего анализа данных. Поэтому статистически наиболее востребованным оказывается архив. Это одна из основных возможностей, которую мы предоставляем для решения соответствующих задач, и она хорошо развита в продукте. Следующий по частоте использования – функционал пассивного перехвата, как наиболее быстро и просто внедряемый. Также сейчас на первое место выходят агенты для контроля рабочих станций. Подобная статистика имеется у нас в отношении всех DLP-систем, с которыми мы работаем, а не только в отношении «Дозор-Джет». В ходе опытной эксплуатации собираются данные о состоянии безопасности, на основании которых в дальнейшем принимается решение о необходимости укрепления защиты по тем или иным направлениям. От этого и зависит популярность вышеупомянутых функциональных возможностей.
Поскольку абсолютная защита – это абстракция, утечка защищаемых сведений, все же, может произойти. Что необходимо сделать в таком случае для минимизации ущерба? Как "Дозор-Джет" может помочь администратору и службе безопасности предприятия в расследовании подобного инцидента?
Когда инцидент уже произошел и утечка состоялась – проблема приобретает характер не технический, а организационно-административный. Большинство утечек являются следствием ошибок в работе и организации процессов. Преднамеренные же утечки остановить сложно, и возможность такой ситуации всегда приходится учитывать. Когда этот риск сработал, система должна оперативно предоставить данные о проблеме, помочь четко определить и зафиксировать источник утечки, собрать необходимую информацию. С технической точки зрения порядок расследования организуется в соответствии с разработанными регламентами, описывающими схему действий в случае утечки. Расследования ведутся в соответствии с этой документацией, где указаны конкретные шаги, которые следует предпринять администратору. Как правило, эти шаги с технической точки зрения очевидны: при наличии соответствующих модулей системы – заблокировать движение данных по инциденту, защитить исходные данные в архиве от удаления и модификации, оповестить сотрудников, начать обработку согласно плану реагирования. Для реакции руководства «рецептов» довольно много, но, в последнее время, все обычно сводится к варианту явной работы по инциденту – налажены контакты между отделом безопасности и PR-службой, обеспечена связь с юридическим отделом, который рассматривает варианты правового вмешательства в проблему и.т.д. Роль DLP-системы в этой ситуации – предоставление максимально полных и точных сведений о произошедшем, об активности, которая сопровождала инцидент, выяснение источника и его сопутствующих действий, а также формирование соответствующих отчетов.
Продолжение следует...