Журнал "Information Security/ Информационная безопасность" #3, 2018

мации для снижения негативного влия- ния угроз. Кроме того, важным элемен- том противостояния злоумышленникам является надежность DLP-системы, которая в контексте DLP означает защи- щенность от вмешательства пользова- теля (и в особенности с правами локаль- ного администратора) в работу решения – т.е. защиту от преднамеренных или случайных действий пользователя, направленных на прекращение нор- мальной работы DLP-системы или изме- нение заданных службой ИБ политик контроля, а также отсутствие зависи- мости от типа и наличия сетевого под- ключения (а это, между прочим, самый простой способ обхода контроля сете- центричных DLP-систем). Дмитрий Кандыбович – Если человек один раз увидел, что его дей- ствия привели к блоки- ровке контента, то в следующий раз он при- ложит максимум уси- лий, чтобы его не вычислили. Самое простое – отфото- графировать информацию телефоном. При этом нужно понимать, имеем мы дело с профессионалом, который при- шел в компанию с целью получить информацию, или с обыкновенным сотрудником. Если это сотрудник, кото- рого подкупили либо который не имеет умысла, то он будет пользоваться теми каналами связи, которые под контро- лем, и 90% нарушений можно отсле- дить таким образом. Если речь идет о профессионале, то он имеет возмож- ность обойти технические средства. Есть способы обнаруживать таких людей на ранних стадиях, например с помощью анализа поведенческих паттернов. Алексей Парфентьев – По иронии, способ обхода инсайдеру под- сказывает базовый инструмент DLP – бло- кировка. Она раскры- вает факт наличия DLP и тем самым вынужда- ет пользователя искать другие способы слить данные. По принципу "один канал закрыт – пробую другой". То есть, по сути, система сама учит, как ее можно обойти. Что касается решения этой проблемы: показательно, что всего несколько из более чем 2 тыс. наших клиентов используют блокировку. Вме- сто того чтобы оставлять инсайдерам способ обойти систему, они оставляют каналы открытыми и тщательно отсле- живают поведение пользователей. Это позволяет разоблачать мошеннические схемы на этапе планирования, видеть новые лазейки инсайдеров и совер- шенствовать систему безопасности в реальном времени. Алексей Раевский – Мы в свое время про- водили исследование методов, с помощью которых можно обма- нуть DLP-систему. В их числе как довольно простые, доступные практически любому, например "склеи- вание" файлов, так и такие экзотиче- ские, как стеганография. Многие из этих способов DLP-система может выявить, и надо это уточнять и прове- рять в ходе переговоров с вендором и пилотного проекта. Но надо понимать, что стопроцентно предотвратить все утечки невозможно и, например, всегда остается дыра, которую очень любят приводить в пример DLP-скептики – фотографирование экрана компьютера на мобильный телефон. Однако делать вывод о бесполезности DLP-системы из этого неправильно, поскольку ее задача не ликвидировать риски утечки полностью, а уменьшить их до при- емлемого уровня и сделать так, чтобы затраты на приобретение и эксплуата- цию системы были бы значительно меньше, чем потенциальный ущерб от утечки. – Многие российские DLP-вендоры делают акцент на инструментарии анализа событий и инцидентов при слабых возможностях недопущения утечки данных. В чем эффективность таких DLP-систем и какую реальную пользу они могут принести заказчикам? Роман Ванерке – Российские вендоры идут в правильном направлении. Изначаль- но, позиционировав себя как средство архи- вации, они проигрыва- ли, т.к. не обладали всеми возможностями зарубежных DLP- систем. Но в последнее время за счет использования решений Open Source, их возможностей по визуализации и обработке больших объемов данных, такие системы позволяют своим кли- ентам получить не только архив и инци- денты, но и средство визуализации, анализа взаимосвязей и оценку величи- ны риска по своим сотрудникам. В итоге "наши" вендоры по сути ком- бинируют технологии DLP- и UEBA- систем. Сергей Вахонин – Любой инструмент в DLP-решениях, даже вспомогательный, с канонической точки зрения на DLP-системы приносит пользу, если в конечном итоге он направлен на противодействие утеч- кам данных. Значимость и эффектив- ность инструментария анализа собы- тий определяется широтой охвата инспектируемых системой каналов передачи данных (здесь следует иметь в виду полный спектр потенциальных каналов утечки информации – сохра- нение информации на съемные нако- пители, печать документов, использо- вание интернет-сервисов и сетевых протоколов). Если в решении сделан акцент на Post-DLP-арсенал возмож- ностей, вендор предлагает прежде всего огромный набор красивых и быстрых отчетов, графов, карточек и т.п., но при этом состав отчетов фор- мируется только на основании данных пассивного перехвата некоторых поч- товых сетевых протоколов да пары мессенджеров, – значимость такого инструментария в плане борьбы с утечками данных сводится к нулю, а вендор ищет возможности интеграции с другими DLP-решениями. Дмитрий Кандыбович – Только 10% заказчи- ков применяют в DLP блокировки. Для их использования нужен опыт и хороший регла- мент. Часто системы, настроенные на блоки- ровки, дают ложные срабатывания. Блокировка не является фактом нака- зания. Для СБ этот факт скорее вре- ден, потому что это сигнал для нару- шителя. Польза DLP-системы в том, что она оповестит СБ об инциденте, соберет исчерпывающий лот по всем действиям и можно будет проследить, кто еще втянут в инцидент, получить информацию более обширную, чем единичный сигнал. DLP-система конт- ролирует только файлы, а система мониторинга – еще и метаданные, аудио, нажатие клавиш, посещения, взаимосвязи. При этом DLP может стоять на шлюзе и контролировать почту. Информацию надо пропускать, но широкий инструментарий работает лучше. 26 • СПЕЦПРОЕКТ Партнер "Круглого стола" www.searchinform.ru