Предотвращаем утечки или делаем вид?

Предотвращаем утечки или делаем вид?

Сегодня наблюдается много маркетингового шума вокруг темы утечек данных и специализированных продуктов, призванных эти утечки предотвращать (DLP). Однако много так называемых DLP-решений на российском рынке не способны технически предотвращать утечки, а могут лишь предоставить инструментарий расследования инцидентов, построения отчетов и поиска по переданным данным. В статье мы рассмотрим конкретные примеры, когда продукты, называемые DLP, не выполняют базовые функции для предотвращения утечек данных.

 

 

  1. Что маркетологи пытаются выдать за контроль?
  2. Подмена понятий
  3. Если пользователь отключит DLP на своем компьютере
  4. Каковы же выводы?

 

Что маркетологи пытаются выдать за контроль?

Во всех DLP-решениях декларируется контроль электронной почты, печати документов, веб-почты, облачных хранилищ данных, мессенджеров, социальных сетей и локальных носителей информации (USB-флешек и т. п.).

В большинстве представленных на российском рынке DLP-продуктов заявленное слово «контроль» следует понимать как функцию перехвата и архивирования перемещаемых данных (сообщений и файлов) без возможности их анализа в реальном масштабе времени для принятия решения о блокировании (или разрешении) непосредственно в момент совершения пользователем действия с данными. Т.е. если в пересылаемых файлах обнаружилась критичная информация, которая не должна покинуть периметр компании, вы об этом узнаете постфактум — когда данные уже будут переданы. Следует отметить, что некоторые DLP-продукты все же позволяют полноценно контролировать данные для отдельных каналов, чаще всего для электронной почты, оставляя все остальные пути утечки информации на откуп последующему расследованию инцидента. Приведем пример: файл, содержащий номера кредитных карт, пытаются переслать внешнему адресату по электронной почте, DLP-система обнаруживает вхождение номеров карт в файле-вложении и блокирует письмо, тогда пользователь без всяких проблем отправляет этот же файл через Skype, о чем данная DLP-система сообщит службе безопасности уже после того, как файл покинет периметр.

Отдельно следует отметить тот факт, что даже функции архивирования (теневого копирования) данных во многих DLP-продуктах являются не полными. Скажем, перехват файлов в мессенджерах типа Telegram или Skype работает, а сообщений в этих же мессенджерах — нет.

Некоторые DLP-решения умудряются пропускать мимо себя файлы, упакованные в архив. И даже если заявлен контроль внутри архива, он легко обходится в случае большого (более 10) количества файлов в этом архиве.

Часто DLP-продукты не способны перехватывать и сохранять почту в DLP-архив, если используются «не совсем стандартные» почтовые клиенты, такие как Mozilla Thunderbird. Это означает, что такие решения не контролируют почтовые протоколы (SMTP, MAPI, IMAP и т.д.) как таковые, а заточены на конкретные приложения (например, MS Outlook).

Существует много решений, в которых заявлен контроль веб-ресурсов (веб-почта, облачные хранилища данных, социальные сети и т. д.) только для поддерживаемых браузеров (например, Internet Explorer, Chrome и т. д.). Любой другой HTTP-агент, не указанный в списке поддерживаемых, сможет осуществлять неконтролируемые действия с веб-сервисами. Отдельно хочется отметить, что часто бывает достаточно изменить локальную папку синхронизации файлов у приложения облачного хранилища (например, Dropbox), чтобы установленное средство предотвращения утечек перестало это облачное хранилище контролировать.

Что касается контроля печати документов, то тут все ровно то же самое — контроль печати на деле оказывается «контролем», т. е. сохранением копии печатаемого документа в архив для последующего анализа, без возможности блокирования на лету.

 

Подмена понятий

Речь идет о ситуациях, когда наблюдение за действиями пользователей (User Activity Monitoring, UAM) выдается за средство предотвращения утечек информации. Решения класса UAM записывают всю активность пользователей на компьютере (снимки экранов, запущенные приложения, клавиатурный ввод и т. д.) и позволяют впоследствии анализировать продуктивность работы или собрать доказательства по тому или иному инциденту. Но опять же, весь этот анализ принципиально не способен технически остановить утечку данных, а служит лишь доказательной базой по уже свершившемуся факту утечки.

 

Если пользователь отключит DLP на своем компьютере

Немаловажный аспект — способность DLP-продукта противодействовать попыткам пользователя помешать его нормальной работе. Проще говоря, может ли пользователь отключить DLP-агент на своем компьютере, особенно учитывая тот факт, что наличие прав локального администратора у пользователя — это очень частая ситуация в реальной практике. В некоторых DLP-продуктах заявляется возможность противодействовать таким пользователям.

Часто защита обходится путем отключения (перевод в состояние disabled) служб DLP-агента штатными средствами администрирования Windows и удалением его драйверов. Более «продвинутые» DLP легко отключаются при помощи доступных бесплатных утилит, таких как GMER и FileASSASSIN.

 

Каковы же выводы?

Все просто. Читая красивые описания разных DLP-продуктов на сайтах, листовках и в «независимых» обзорах, не забывайте, что работа маркетологов — написать много красивых слов ради привлечения внимания, а не расписывать в деталях технические особенности продукта и уж тем более его слабости. Доверяя — проверяй, это главный принцип при изучении возможностей ИБ-решений. Требуйте возможности провести собственное независимое тестирование без участия разработчика или интегратора, анализируйте не только сильные стороны решения, но и его недостатки: ведь не исключено, что именно пропущенный из-за веры в красивую брошюру недостаток в итоге станет причиной утечки данных в вашей компании, и тогда вам придется делать вид, что вы предотвращали утечки.

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru