Журнал "Information Security/ Информационная безопасность" #3, 2020

• 35 DLP www.itsec.ru Еще несколько нюансов Приведу еще несколько наблюдений о DLP из личного опыта двухлетней давности. Возможно, что-то из приве- денного ниже списка уже неактуально. 1. Пользователю системы приходится администрировать большую часть ком- понентов системы из разных консолей – это неудобно. 2. Ненормально, что не предусмотрена защита от удаления DLP-агента, который обнаруживается на компьютере продви- нутым пользователем с обычными пра- вами. 3. Как показывает практика, цифровые отпечатки полноценно работают только применительно к текстовым докумен- там. 4. Пользователю системы, как прави- ло, недостаточно предустановленных правил контроля и словарей с экзем- плярами защищаемых данных. 5. В большинстве DLP отсутствует машинное обучение. 6. Существует мало реальных интег- раций DLP с существующими на рынке SIEM-системами. МаксимКсенофонтов: Если обобщить, то подобные про- блемы сводятся к двум типам: функциональности нет, так как она слабо востребована или новая (например, машинное обуче- ние), или что-то не настроено в конкретной инсталляции (например, интеграция с SIEM). Первый тип проблем решается с помощью запросов на улучшение (RFE) разработчику, а второй – хорошим интегратором и грамотным заданием на работы. Дмитрий Кандыбович: Staffcop Enterprise не только отслеживает что именно сотрудник делает на компьютере, но и ограничивает в запуске приложений, потенциально опасного софта, веб-сайтов, внешних носителей и т.д. Это искореняет проблему атак на локальный агент. Важно не только оснастить систему функционалом и упростить внедрение, но и сделать так, чтобы пользователь просто пользовался (как в Apple). Одной из наших целей было сокращение времени настройки, чего мы успешно добились. Анна Попова: К сожалению, заявленный функционал системы не всегда соответствует реальному. В основном обычно разочаровывают заявления вендоров о том, что система перехватывает данные такого-то мессенджера, напри- мер. На деле мы видим, что не во случаях перехватывает или ограниченно (только текст или без голосовых звонков). Также продвинутые технологии распознавания часто могут подвести только из-за того, что распознаваемый документ будет просто нечитабелен из-за плохой скан-копии, и ни одна система с этим ничего сделать не сможет. Галина Рябова: Машинное обучение как подход в DLP развития не получил, потому что для любой обучающейся модели нужен большой объем данных и много часов обучения. Но заложенные в Solar Dozor UBA алгоритмы класса "обучение без учителя" не требуют на этапе обучения экспертной марки- ровки категорий данных. Соответственно, не нужны и предва- рительные работы по настройке и адаптации технологии под новые условия эксплуатации. Для анализа устойчивости пока- зателей поведения пользователя и детектирования аномалий (отклонений в поведении) достаточно истории поведения за два месяца. Алексей Дрозд: Например, в КИБ агент надежно скрыт даже от привилегированных пользователей. КИБ интегрируется с SIEM любых производителей (в том числе нашей собственной) и почти с любыми другими ИТ-системами, от СКУД и расчет- чиков зарплаты до DCAP и DAM. Александр Клевцов: По нашему опыту, в больших ком- паниях администрирование и эксплуатация DLP – это разные роли. Иногда консоли разделяются отдельно для настройки, Комментарии экспертов Дмитрий Кандыбович: В любой компании, которая озабочена своей ИБ не для галочки, а для реальной защиты бизнес-процессов, а по факту – денег, все это должно быть проработано. Где деньги, там обязательно поблизости крутятся злоумышленники, а для борьбы с ними юридическая основа обязательно должна быть готова. Нельзя стрелять из пушки, не купив порох. Максим Ксенофонтов: Кроме того, некоторые DLP позволяют не читать всю переписку пользователя, а обращать внимание только на предположительные нарушения, рассле- дование которых является вполне законным мероприятием. А сам же анализ переписки происходит машинным способом, что не нарушает тайну переписки. Анна Попова: Юридические аспекты нужно обсуждать и решать еще до внедрения или при внедрении системы, а не на этапе ввода ее в боевой режим. В противном случае ваша работа, и особенно результаты ваших внутренних расследова- ний с использованием данных, полученных благодаря DLP- системе, могут пойти прахом. Галина Рябова: Для своих заказчиков мы разработали набор рекомендаций, как легализовать DLP в компании. Однако на практике в России больше половины компаний устанавливают системы защиты от утечек, не уведомляя об этом сотрудников. Соответственно, и большинство инцидентов, связанных с утечкой конфиденциальной информации, решаются вне правового поля. Алексей Дрозд: DLP можно и нужно пользоваться легально, для этого никаких препятствий нет. "Легализация" DLP необходима как минимум для выполнения требований закона (от ФЗ-152 до норм Конституции). Мария Воронова: Систему нужно настроить и обеспечить ее правомерность, чтобы все фиксируемое DLP априори явля- лось доказательной базой. Для этого нужно закрепить принципы легитимной обработки конфиденциальной информации, уста- новить правовые основы для мониторинга и контроля инфопо- токов, обеспечить возможности для расследования инцидентов, сбора доказательств и принятия решений о взыскании, уволь- нении, обращения в правоохранительные органы и т.д. Дарья Орешкина: Зачастую нарушения происходят неумышленно. Тогда DLP помогает предотвратить случайные инциденты. Также замечено, что сотрудники обычно не хотят ввязываться в активности, о которых система проинформирует как о нежелательных. В этом случае DLP с функциями real-time- оповещения пользователей выступает в роли обучающей систе- мы по корпоративным нормам информационной безопасности. Владимир Ульянов: Очевидно, что права сотрудника не должны нарушаться, но никаких нарушений в контроле организацией своей коммерческой тайны нет. Сложнее бывает соблюсти баланс интересов работника и работодателя, сделать так, чтобы сотруднику было комфортно в офисе, не чувствовать себя зверьком, действия которого рассматриваются под лупой. Комментарии экспертов