Журнал "Information Security/ Информационная безопасность" #3, 2018

Для пассивного наблюдения, в свою очередь, рынок предлагает довольно большой спектр продуктов в разных вариантах реализации и архитектуры. При этом стоит учесть, что DLP-системы, способные технически предотвращать утечку данных, также предоставляют инструменты событийного протоколиро- вания, ведения архивов и расследования инцидентов. Особо подчеркну, что технические инструменты предотвращения утечки основываются на механизмах селектив- ной блокировки доступа к устройствам, портам и каналам сетевых коммуника- ций, в противовес специфической для российского рынка ИБ концепции неотвратимости наказания за выявлен- ную утечку данных (которая, безусловно, должна иметь место, но не подменять собой принципы технического предотвра- щения утечек данных). Наконец, важно, чтобы все сформулированные клиентом основные функциональные требования к DLP-решению были полностью под- держаны в выбранном продукте, доступ- ном на рынке в уже реализованном виде, а не в перспективе или с оговор- ками. Дмитрий Кандыбович – Сейчас бизнес хочет получать не решение какой-то одной задачи, а комплексную ИТ- систему, которая вклю- чает в себя DLP-систему и решает ряд задач для разных направлений. Заказчик смотрит на три основные вещи: универсальность, цену и возможность кастомизации. Если построить систему мониторинга на ком- мерческой файловой системе, то добав- ляются расходы на приобретение лицен- зии и обновления, не считая требований к оборудованию. А если основывать систему на Open Source, то она будет иметь нулевую стоимость владения. Что касается DLP, то она должна быть доступной по цене и легкой по инфра- структуре внедрения, должна иметь потенциал для интеграции с такими системами, как SIEM, "ГосСОПКА" и пр. Алексей Парфентьев – Мы всегда стояли на том, что DLP – это инструмент, а не черный ящик, работающий сам по себе. И рынок, кажет- ся, наконец согласился, что парадигма "Preven- tion = блокировка" не всегда оправданна. Ведь нарушение предваряет процесс, значит была идея, планирование, под- готовка и только потом реализация. Выбирать технологию нужно, исходя из реальной задачи. Например, потоковая блокировка хороша для предотвращения случайных утечек, но бесполезна для выявления групп риска на ранних ста- диях. Подход также не дает комплекс- ного понимания причин и следствий. В то же время инструменты прогнозиро- вания хорошо работают только при скры- том режиме, они не пресекают наруше- ние в момент совершения. Алексей Раевский – Все зависит от набора задач, которые плани- рует решать пользова- тель DLP. Для кого-то важным будет произво- дительность системы, для кого-то – набор конт- ролируемых каналов или удобная отчет- ность. Часто играет роль гибкость при внедрении и совместимость с различ- ными компонентами инфраструктуры, например наличие собственного про- кси-сервера, потому что не всегда есть возможность перестраивать архитектуру сети ради DLP-системы. В последнее время заказчики стали больше обращать внимание на наличие продвинутых воз- можностей, таких как поведенческий анализ пользователей (UBA) и аналитика с использованием технологий больших данных. – Ключевая задача DLP-системы – предотвращение утечки техническими методами. Какие способы обхода DLP-систем могут использовать инсайдеры и как им противостоять? Роман Ванерке – В первую очередь стоит отметить, что тра- диционные DLP-систе- мы – это прежде всего системы защиты от непреднамеренных уте- чек. По разным оценкам, общая доля непреднамеренных утечек составляет от 40 до 70%. Злоумышлен- ник может использовать шифрование, различные скрытые каналы передачи данных (тот же DNS), свой телефон (фотографирование, видео, диктофон) или свою память. Очевидно, что защи- титься от последнего вряд ли возможно. В последнее время производители добавляют функционал, позволяющий выявлять факты утечек по косвенным признакам – с помощью предустанов- ленных индикаторов компрометации (например, передача файлов, зашиф- рованных неизвестным типом шифро- вания) или функционала UEBA. Решения класса UEBA могут существенно помочь в выявлении внутренних злоумышлен- ников. Сергей Вахонин – Действительно, в мировой практике счи- тается первичным имен- но решение задачи тех- нической возможности предотвращения утечки, а не психологической, построенной на анализе журналов и расследовании инцидентов с последую- щим наказанием сотрудников. Соот- ветственно, чем уже широта контроля потенциальных каналов утечки данных, тем шире возможности инсайдеров. Это означает, что попытки злоумыш- ленников найти неконтролируемый канал для намеренного слива инфор- мации будут существенно ограничены при использовании полнофункциональ- ного DLP-решения, решающего все три основных задачи контроля Data-in-Use, Data-in-Motion и Data-at-Rest. Псевдо- DLP-система может собрать множество событий и теневых копий в архиве, но это не предотвратит намеренную утечку, особенно учитывая, что для выявления инцидента постфактум потребуется некоторое время. Грамотный подход к защите данных от утечки заключается в нейтрализации наиболее опасных век- торов угроз утечки информации – тех, которые исходят от обычных инсайде- ров или связаны с их поведением, в сочетании с мониторингом прочих потенциальных каналов утечки инфор- • 25 DLP www.itsec.ru Партнер "Круглого стола" www.searchinform.ru