Журнал "Information Security/ Информационная безопасность" #3, 2018

Из функций, которые вам могут понадобиться при экс- плуатации системы, стоит обратить внимание на сле- дующие: l возможности использова- ния системы в режиме пред- отвращения утечек; l наличие предустановлен- ных политик по выявлению отправки персональных дан- ных, финансовой информа- ции, клиентских списков; l возможности гибкого сквозного поиска по архиву сохраненных данных с уче- том морфологии языка; l возможность выявления заполненных форм стан- дартных для организации документов; l умение работать с цифро- выми отпечатками докумен- тов, с возможностью указа- ния степени совпадения; l наличие модулей для мобильных устройств; l контроль информации, отправляемой через мес- сенджеры; l возможности гибкого соз- дания исключений из пра- вил; l наличие "интеллекта" для анализа данных в агентах, устанавливаемых на конеч- ные рабочие станции. Агентские модули часто имеют функционал для управления записью данных на периферийные устрой- ства, а также "шпионские штучки" типа кейлоггера, снимков экрана и т.п. вплоть до включения камеры (при наличии) и микрофона. документов, которые требуют защиты. В противном случае формирование такого перечня необходимо закладывать в про- ект по внедрению. Трудности внедрения Итак, вы выбрали решение и интегратора, который помо- жет вам его внедрить. С какими трудностями обычно сталки- ваются организации при внед- рении DLP-системы? Их можно разделить на технические и технологические. Техниче- ские обычно связаны со встраиванием периметровых модулей в существующую ИТ- инфраструктуру. Тот же модуль для разбора почтовых сообще- ний по сути – дополнительный промежуточный почтовый сер- вер, и насколько логично он впишется в существующую систему электронной почты – большой вопрос. Определенные сложности могут возникать с балансиров- ной нагрузки, особенно в пико- вые периоды. Для корректного анализа Web-трафика требу- ется разрывать SSL-соедине- ния, т.к. большинство совре- менных интернет-сервисов и сайтов работают по защи- щенным протоколам. Это достаточно ресурсоемкая зада- ча, особенно если вы обраба- тываете информацию в режиме реального времени. В части рабочих станций технические проблемы могут заключаться в конфликтах агентов DLP- системы с другим установлен- ным на рабочей станции системным ПО, а также повы- шением нагрузки на рабочие станции и соответствующим "проседанием" их производи- тельности. Кроме того, как и в любом "агентском" решении, возни- кают технические проблемы с установкой ПО на большое количество рабочих станций, контролем его работоспособ- ности, актуальности версий и т.д. Технологические пробле- мы обычно связаны с наличием практически в любой органи- зации неких устоявшихся тех- нологий информационного обмена, не укладывающихся в стандартные политики DLP- систем. В качестве одного из приме- ров можно привести предвари- тельное согласование с клиен- том проектов заключаемых договоров и иных документов путем переписки по электрон- ной почте. Другие технологи- ческие проблемы могут быть связаны с тем, что после внед- рения DLP-системы все вло- жения в почтовые сообщения, которые она не может проана- лизировать, должны блокиро- ваться. Например, если у вас в организации часто используют- ся для взаимодействия с внеш- ними клиентами и контраген- тами архивы с паролем, это может стать проблемой, т.к. все эти архивы будут блокиро- ваться системой. Развитие DLP-систем По факту, теряя эффектив- ность в части основного функ- ционала, DLP-системы начи- нают обрастать дополнитель- ными функциями, не свойствен- ными данному классу систем. Сюда можно отнести так назы- ваемый модуль "краулер" – модуль поиска защищаемой информации на различных информационных ресурсах. Хотя в нашей организации мы большей частью его применяем для контроля отсутствия защи- щаемой информации на обще- доступных информационных ресурсах, например на корпо- ративном портале. Агентские модули часто имеют функцио- нал для управления записью данных на периферийные устройства, а также "шпионские штучки" типа кейлоггера, сним- ков экрана и т.п. вплоть до включения камеры (при нали- чии) и микрофона. Еще одним серьезным направлением развития DLP- систем в последние годы является формирование так называемых досье на субъек- тов системы, а проще говоря, на работников организации, и построения графов инфор- мационного взаимодействия между сотрудниками и сотруд- ников с внешними лицами. И это уже направление, совсем мало относящееся к защите от утечек. Скорее, это элемент системы фрод-анализа. При- чем для использования DLP- системы в таком качестве схема ее внедрения существен- но отличается от классического внедрения DLP-системы, т.к. для получения максимальной эффективности вам надо заве- сти в систему максимально возможное количество каналов информационного обмена, в т.ч. каналов информацион- ного обмена внутри организа- ции, а это уже совсем иные объемы информации, для обра- ботки которых требуются суще- ственно большие ресурсы. Несмотря на то что DLP- системы прошли длительный путь развития, на мой взгляд, им явно не хватает: 1. Глубокого понимания структуры организации. Они не могут вычислить непо- средственного руководителя сотрудника, определить, что сотрудник принадлежит к руко- водству Банка. Что вы им дади- те в части структуры из Active Directory, то DLP-система и будет использовать. На уров- не самой DLP-системы нельзя подразделения разбить на биз- нес-подразделения и обеспечи- вающие, работающие с клиен- тами и не работающие с клиен- тами. Это существенно сокра- щает возможности по анализу информационного взаимодей- ствия как внутри организации, так и с внешними контактами. 2.Возможностей по выявле- нию аномалий. Интересно было бы строить профиль обычного поведения пользователя и отслеживать аномалии. Было бы также полезно иметь некий усреднен- ный профиль по сотрудникам с одинаковым функционалом, чтобы имелась возможность отслеживать отклонения от этого усредненного профиля. 3. Отсутствие ИТ-зрелости. Прежде всего в части надеж- ности работы, отказоустойчи- вости, масштабируемости, управляемости. Во многом из- за этого ИТ-службы организа- ций неохотно соглашаются на включение модулей DLP- систем в разрыв в режиме предотвращения утечки. Есть еще одна проблема DLP-систем, которая в итоге может поставить крест на всей этой технологии в существую- щем сейчас варианте, – это отставание от современных ИТ- технологий. Есть существенное запоздание между появлением новых ИТ-технологий и их охва- том системами DLP. И с тече- нием времени данная проблема только нарастает. Поэтому использовать DLP-системы можно и нужно, но не стоит ждать от них чудес, особенно в современных условиях быстро появляющихся и изменяющих- ся ИТ-технологий. l 20 • СПЕЦПРОЕКТ Ваше мнение и вопросы присылайте по адресу is@groteck.ru

RkJQdWJsaXNoZXIy Mzk4NzYw