Журнал "Information Security/ Информационная безопасность" #5, 2021

Методы, основанные на анализе контекста трафика даже лучшими в отрасли DLP-системами, часто при- водят к ложным срабатыва- ниям. Подход, основанный на пофайловом анализе, кото- рый используют большин- ство DLP-систем, сдается под натиском петабайтов неструктурированной информации. Цифровая трансформа- ция настолько увеличила объемы хранимой и обраба- тываемой информации, что методы защиты, требующие ручного труда, просто пасуют. Основным средством борьбы с этим типом угроз стали DLP-систе- мы (Data Leak Prevention), глав- ная задача которых – фильтра- ция всего исходящего из защи- щаемой ИТ-инфраструктуры трафика и выявление в нем признаков утечки конфиденци- альных данных. Еще одна важ- ная задача DLP – соответствие требованиям отраслевых стан- дартов и законодательства, в том числе 152-ФЗ, 98-ФЗ, GDPR, PCI DSS, HIPPA. Подобные системы нейтра- лизации внутренних угроз раз- виваются уже более 20 лет и достигли определенного совершенства. При этом мето- ды, основанные на анализе контекста трафика даже луч- шими в отрасли DLP-система- ми, часто приводят к ложным срабатываниям. Это вылива- ется в постоянную гонку за контролем все большего числа каналов передачи информа- ции и необходимость беско- нечно совершенствовать пра- вила фильтрации, что в конеч- ном итоге приводит к допол- нительной нагрузке для ИТ- бюджета компании. Кроме того, подход, основанный на пофайловом анализе, который используют большинство DLP- систем, сдается под натиском петабайтов неструктурирован- ной информации: такая систе- ма начинает генерировать сотни оповещений, которые чрезвычайно сложно приори- тизировать. Несмотря на все усилия, коли- чество утечек данных растет. Только в США стало известно о более чем 1 тыс. подобных случаев за 2020 г., что вдвое выше показателя 2010 г. И это всего лишь часть проблемы, которую смогли разглядеть СМИ. Результаты исследований Varonis говорят, что в среднем каждый сотрудник крупной организации имеет доступ к 17 млн документов, а в 41% компаний более 1 тыс. конфи- денциальных файлов находятся в распоряжении любого работ- ника. Все это указывает на необходимость внедрения дополнительных средств защи- ты, которые помогли бы карди- нально повысить эффектив- ность DLP-систем, а то и вовсе заменить их. Найти данные Для организации эффектив- ной защиты от утечек конфи- денциальных данных прежде всего необходимо четко пред- ставлять, где они находятся. Для этого можно применить специальные системы класси- фикации, которые проанали- зируют весь информационный массив организации как в локальных хранилищах, так и в облаке (DCAP. – Прим. ред.). Подобные решения выполняют определение важ- ности документа на основе правил и моделей, позволяю- щих, например, отыскать все файлы, для которых должны быть выполнены требования GDPR или аналогичные. Кроме того, правильная классификация подразумевает использование набора регу- лярных выражений, минус- слов, механизма сопоставле- ния с учетом "близости". Однажды проведенный полный анализ в дальнейшем должен обновляться на основе данных, полученных из журнала регист- рации активностей в файловой системе. Понять данные Качественно проведенный анализ информационного мас- сива организации сам по себе не приведет к повышению уров- ня его защищенности. Резуль- таты этого этапа работы необходимо визуализировать и представить в удобном для мониторинга и контроля виде. Мы рекомендуем использовать дашборды для отслеживания ключевых индикаторов риска данных. Помимо этого, инструмент должен обеспечивать види- мость прав доступа к данным (с учетом наследования), нали- чия учетных записей с широки- ми правами и нестойкими паро- лями, а также подозрительных соединений по VPN. Предпоч- тительно, чтобы визуализация всех этих данных могла быть упорядочена как по цепочке "данные – пользователь", так и в обратном порядке. Автоматизировать защиту Цифровая трансформация настолько увеличила объемы хранимой и обрабатываемой информации, что методы защи- ты, требующие ручного труда, просто пасуют. Здесь на помощь могут прийти средства автоматизации, которые спо- собны снижать риски в короткий срок благодаря массовой кор- ректировке прав доступа к кон- фиденциальным данным. Для удобства предварительного моделирования вносимых изме- нений средства автоматизации должны иметь режим песочни- цы, помогающий заранее понять, как отзыв ненужных прав скажется на работе орга- низации. Второй важной задачей, тре- бующей автоматизации, являет- 44 • УПРАВЛЕНИЕ DLP: один в поле не воин? а ранних этапах развития компьютерных и сетевых технологий задачи информационной безопасности в основном строились вокруг предотвращения проникновения злоумышленника внутрь защищаемого периметра ИТ-инфраструктуры. Однако достаточно быстро пришло понимание, что не менее важным является и обеспечение защиты информации от утечек, инициированных непосредственно внутри периметра организации. Причем эти утечки могут носить как злонамеренный характер, так и случайный – вызванный небрежностью сотрудников. Н Александр Коновалов, технический директор Varonis Systems в России