Журнал "Information Security/ Информационная безопасность" #5, 2018

Основные ограничения DLP-систем связаны с невозможностью отслежива- ния всех каналов утечки и обработки всех форматов данных. Самое сложное при внедрении DLP – это опре- деление данных, которые необходимо защищать, и всех возможных каналов утечки. Кроме того, необхо- димо ограничивать исполь- зование программ/протоко- лов/типов данных, которые не обрабатываются DLP- решением. Если же требуется пере- дать конфиденциальные данные "за периметр" орга- низации, например партне- рам, то как отследить, что они не "утекут" от партнера? Тут и возникает необходи- мость в IRM/EDRM-реше- ниях. Сегодня мировые вендо- ры идут по пути, когда одна компания приобретает дру- гую с целью интеграции в единый продукт. Послед ний пример такого явления – приобретение Symantec пор- тугальской компании Watch- ful Software с целью созда- ния Symantec Information Centric Tagging и последую- щей реализации подхода Data-Centric Security из сле- дующего набора решений: l Symantec Information Centric Tagging; l Symantec Data Loss Prevention; l Symantec Information Centric Encryption; l Symantec Validation and ID Protection Service. – Принципиальная разница существует в подходах к инци- дентам. На Западе принято их предотвращать, в то время как в России, как правило, зани- маются расследованиями и поиском виновных. Эта особенность нашего мен- талитета отражается в требо- ваниях заказчиков к DLP-систе- мам и находит отклик в реше- ниях, предлагаемых российски- ми разработчиками. Соответственно, функцио- нальные возможности россий- ских DLP-систем мало востре- бованы на Западе и наоборот. Кроме того, отмечается техно- логическое отставание россий- ских вендоров, обусловленное отсутствием серьезных инве- стиций в развитие продуктов. – Какие новые функцио- нальные возможности вы добавили в свое DLP- решение в прошлом году? – Хотя наше решение тоже применяется для решения задач предотвращения утечки данных, нас нельзя относить к разра- ботчикам DLP в его классиче- ском понимании. Да, в нашей системе есть модуль, предна- значенный для контроля неко- торых каналов и протоколов передачи, по которым ценные данные могут "утечь" за пределы компании. Но мы считаем под- ход Рerimeter-Based Security устаревшим, и в основе нашего решения лежит идея Data-Cen- tric Security. Программный ком- плекс Perimetrix SafeSpace ско- рее можно отнести к классу EDRM-решений. Основные ограничения DLP- систем связаны с невозмож- ностью отслеживания всех кана- лов утечки и обработки всех форматов данных. Самое слож- ное при внедрении DLP – это определение данных, которые необходимо защищать, и всех возможных каналов утечки. Кроме того, необходимо ограничивать использование программ/протоколов/типов данных, которые не обрабаты- ваются DLP-решением. Если же требуется передать конфиденциальные данные "за периметр" организации, напри- мер партнерам, то как отсле- дить, что они не "утекут" от партнера? Тут и возникает необходимость в IRM/EDRM- решениях. IRM (Information Rights Management) позволяет удаленно контролировать использование данных. За счет шифрования файлов удается предотвратить неавторизован- ный доступ, а с помощью кли- ентских приложений удается ограничить возможные дей- ствия над документами. Но использование IRM ограничи- вается поддержкой на уровне пользовательских приложений. Системы EDRM (Enterprise Digital Rights Management) поз- воляют контролировать доступ к данным: все документы шиф- руются, при этом ключи для расшифровки находятся на сер- вере и для получения доступа к ключам/серверу необходимо пройти аутентификацию. Что касается клиентских приложе- ний (MS Word, Adobe Acrobat Reader и т.д.), то они работают под управлением агента EDRM, который гарантирует права использования документов. Классическим примером необходимости использования EDRM является защита кон- структорской документации. Допустим, к таким данным имеет доступ ограниченное число пользователей – кон- структоров. Риск утечки может возникнуть в связи с тем, что нет средств контроля действий пользователей, которым разре- шен доступ к такой информа- ции. Ситуация: в связи с про- изводственной необходимостью сотрудник конструкторского бюро копирует конфиденциаль- ные данные на свой рабочий компьютер, а затем пересылает по электронной почте коллеге. Это вполне допустимо и являет- ся частью соответствующего бизнес-процесса. Однако в результате таких действий дан- ные могут попасть к тем поль- зователям, которые не имеют соответствующих полномочий, или даже к злоумышленникам. Благодаря использованию EDRM неавторизованные поль- зователи не смогут получить доступ к защищаемой инфор- мации, при этом все попытки доступа протоколируются. Контроль над движением информации конфиденциально- го характера осуществляется и в том случае, если данные нахо- дятся "за периметром", а доступ к ним может быть централизо- ванно отменен в любой момент. Таким образом, совместное использование технологий DLP и EDRM очень и очень оправ- данно. DLP – хорошее решение для мониторинга коммуникаций, опознавания содержимого кон- фиденциального характера с последующим оповещением или блокировкой передачи дан- ных. EDRM – для обеспечения безопасного документооборота, в который вовлечено ограни- ченное число ответственных сотрудников организации и, воз- можно, внешних контрагентов. – Чего ждать от разра- ботчиков DLP-систем в обозримом будущем, куда движется отрасль? – С учетом сегодняшнего ландшафта угроз информа- ционной безопасности очевид- но, что требуется совместное применение технологий DLP и EDRM в рамках подхода Data- Centric Security. Первые интегрированные решения нового класса (IRM/EDRM + DLP) создавались из продуктов разных разработ- чиков, поэтому большого раз- вития и популярности они не получили. Сегодня мировые вендоры идут по пути, когда одна компа- ния приобретает другую с целью интеграции в единый продукт. Последний пример такого явле- ния – приобретение Symantec португальской компании Watch- ful Software с целью создания Symantec Information Centric Tag- ging и последующей реализации подхода Data-Centric Security из следующего набора решений: l Symantec Information Centric Tagging; l Symantec Data Loss Prevention; l Symantec Information Centric Encryption; l Symantec Validation and ID Protection Service. Далее, на наш взгляд, вендо- ры задумаются об интеграции DLP/EDRM, контроля привиле- гированных пользователей PIM и решений класса IDM в один продукт. Такой подход позволит эффек- тивнее решать следующие зада- чи службы безопасности: l защита от утечек конфиден- циальной информации; l борьба с вредительством; l борьба с проявлениями сабо- тажа; 46 • ТЕХНОЛОГИИ Использование решений российских DLP-вендоров может быть полезно для расследования инцидентов, установления нелояльных и склонных к злоупотреб- лениям сотрудников и прочих мероприятий, проводи- мых, как правило, службой экономической безопас- ности. Наличие в компании "архива коммуникаций сотрудников" предоставляет возможности для раз- личного рода аналитической работы.