Возможности современных DLP-систем: как защитить внутренние данные компании от утечек

Возможности современных DLP-систем: как защитить внутренние данные компании от утечек

Системы DLP (Data Leak Prevention) сегодня уже зарекомендовали себя в качестве комплексной защиты конфиденциальных данных компании от утечек. Автоматизация, внедрение машинного обучения, снижение нагрузки на сервер, ускорение работы, гарантируют DLP-системам место в комплексе эффективных ИБ-процессов. На очередном эфире AM Live эксперты по защите информации поговорили об этом классе продуктов.

 

 

 

 

 

  1. Введение
  2. Текущее состояние DLP-систем
    1. 2.1. Этапы эволюции DLP и задачи заказчика
    2. 2.2. Нашумевшие утечки данных последних лет
    3. 2.3. Возможно ли вообще защититься от утечек ценных данных?
    4. 2.4. Кто выступает заказчиком внутри компании?
    5. 2.5. Импортозамещение в контексте DLP
  3. Технические особенности современных DLP
    1. 3.1. Почему заказчик так редко применяет в DLP функцию предотвращения?
    2. 3.2. В каких точках может быть установлена DLP?
    3. 3.3. Новые возможности и функции DLP в 2021 году
    4. 3.4. Как выбрать и сколько стоит DLP-система?
  4. Тренды и прогнозы развития DLP
  5. Ответы на вопросы слушателей
  6. Выводы

Введение

Прямой эфир AM Live, посвящённый системам DLP, состоялся 8 сентября 2021 г. в студии Anti-Malware.ru. Ведущие специалисты по информационной безопасности поговорили о задачах и проблемах заказчика, обсудили уже зрелый и сформировавшийся рынок систем по защите от утечек, затронули юридические аспекты DLP.

Организация работы сотрудников с конфиденциальной информацией компании требует комплексных мер от отдела ИБ. Ускорение цифровизации жизни, дистанционная работа сотрудников, увеличение количества каналов коммуникации — всё это формирует новые векторы атак злоумышленников, целью которых может являться несанкционированный доступ к самым ценным данным компании.

Как именно организована работа по защите от утечек конфиденциальной информации в текущих реалиях? Какие задачи способны решать современные системы DLP помимо собственно защиты от утечек? Каковы нюансы и особенности внедрения DLP в современный процесс обеспечения ИБ?

Также на встрече были затронуты вопросы о текущем состоянии рынка DLP в России и за рубежом. Была дана оценка эффективности и целесообразности интеграции этих систем в инфраструктуру. Чего ждать от вендоров и от последующей эволюции продуктов DLP в области снижения рисков заказчика?

Приглашаем получить ответы на эти и другие вопросы в нашем текстовом обзоре, где мы акцентировали все ключевые моменты эфира.

В обсуждении приняли участие ведущие эксперты по ИБ:

  • Антон Тихонов, технический менеджер решений McAfee Enterprise.
  • Евгений Матюшёнок, директор по продажам «СёрчИнформ».
  • Галина Рябова, директор центра продуктов «Дозор», «Ростелеком-Солар».
  • Алексей Раевский, генеральный директор Zecurion.
  • Олег Никитский, региональный директор Symantec/CA by Broadcom, Mbcom Technologies в регионе «Россия, Украина, Грузия и СНГ».
  • Александр Клевцов, руководитель по развитию продукта InfoWatch Traffic Monitor.

Ведущим трансляции выступил уже знакомый постоянным зрителям Денис Батранков, консультант по новым стратегиям безопасности Palo Alto Networks.

Традиционно к прямому эфиру подключались слушатели: активно задавали вопросы в чате, участвовали в опросах, результаты которых формировали реальную картину понимания обсуждаемой темы.

 

 

Текущее состояние DLP-систем

Встреча началась с краткой ретроспективы. DLP — уже зрелый продукт, который присутствует на рынке ИБ около 20 лет. Спикеры отметили ключевые этапы развития и сфокусировались на проблемах, с которыми обращаются к вендорам.

Этапы эволюции DLP и задачи заказчика

Потребность в DLP-решениях появилась в тот момент, когда компании (банки, корпорации) стали накапливать конфиденциальные персональные данные клиентов и эти данные постепенно начали утекать в открытый доступ.

Следующим эволюционным шагом стало внимание правительств, породившее законодательные акты, а впоследствии — и международные стандарты. Например, в финансовом секторе это — всем известный PCI DSS (Payment Card Industry Data Security Standard — стандарт безопасности данных индустрии платёжных карт), в медицинском — HIPAA (Health Insurance Portability and Accountability Act — акт о мобильности и подотчётности медицинского страхования), и т. д.

Алексей Раевский:

— Третий шаг эволюции DLP — защита от мошенничества в рамках корпорации, когда DLP видит действия сотрудников, контролирует каналы связи, блокирует подозрительные действия. Как результат — рост интереса со стороны бизнеса в последние годы.

Мошенничество как типовую проблему заказчика обозначил Евгений Матюшёнок, добавивший, что всегда были и будут недобросовестные люди, ищущие активы компании, на которых можно заработать.

Фиксируя ключевые проблемы, с которыми заказчик приходит к вендору и которые вендор помогает решать, эксперты отметили:

  • преднамеренные утечки — злонамеренные действия инсайдеров в личных интересах;
  • непреднамеренные утечки — например, случайный инсайд;
  • комплаенс — обеспечение стандартов безопасности при работе с конфиденциальными данными;
  • защиту от внешних угроз — например, от криптолокеров и других вредоносных объектов.

Олег Никитский:

— Непреднамеренные утечки важны, потому что в процессе внедрения DLP сотрудники обучаются и понимают, как именно обращаться с информацией, что в результате снижает для компании риски.

Галина Рябова:

— Если резюмировать, то чаще всего заказчик обращается с классической задачей обеспечить безопасную работу с конфиденциальной информацией.

 

Рисунок 1. Насколько вы знакомы с системами DLP?

Насколько вы знакомы с системами DLP?

 

Более половины респондентов (52 %) уже применяет DLP. Остальные подготовлены: 24 % знают общие принципы, а 17 % уже изучали предмет. Только 7 % ничего не слышали о DLP-решениях до этого эфира.

Нашумевшие утечки данных последних лет

Данные утекают постоянно по всему миру, мы неоднократно сообщали о таких инцидентах в нашей новостной ленте, а также публиковали аналитические обзоры: «Топ 10 крупнейших утечек информации в России», «Крупнейшие мировые утечки данных и взломы 2020 года».

Страдают правительственные структуры (ФБР, ЦРУ), международные организации, банки, онлайн-сервисы и т. д. Для понимания серьёзности и масштабов проблемы были приведены примеры недавних крупных утечек.

  • Uber: имена, адреса, номера телефонов 50 000 000 клиентов и 7 000 000 водителей были похищены и опубликованы в открытом доступе.
  • Сеть магазинов «Красное и Белое»: утечка клиентской базы, 17 000 000 записей продавались по цене 15 000 рублей.
  • Онлайн-школа SkyEng: база с данными 5 000 000 студентов продавалась за 40 000 рублей.
  • Facebook: утекли персональные данные 30 000 000 пользователей.
  • Сеть отелей Marriott: похищена база данных 500 000 000 клиентов.
  • Сервис «РЖД Бонус»: украдено 1 360 000 записей.
  • Паспортные данные людей, которые голосовали за поправки к конституции РФ: утечка 1 000 000 записей.
  • База данных автомобилистов Москвы: 1 000 000 записей опубликованы в общем доступе.

Данные клиентов «Альфа-банка», сотрудников РЖД, пациентов, которые переболели COVID-19, также были украдены и выложены в публичный доступ.

По данным компании InfoWatch, за 2020 год было зарегистрировано 2395 случаев утечки информации ограниченного доступа. В отчёте RiskBased Security сообщается, что в первой половине 2021 года имели место 1767 случаев доступа к конфиденциальной информации, которые привели к утечке более чем 18 млрд записей.

Возможно ли вообще защититься от утечек ценных данных?

Спикеры подчеркнули, что необходимо понимать, с чем именно работает DLP, что защищает. Это не «серебряная пуля», безопасность — всегда комплексный процесс.

Галина Рябова:

— DLP эффективен на каналах цифровых коммуникаций, при отслеживании действий пользователя на рабочей станции, контролирует файловые хранилища. Но DLP не поможет, если жёсткий диск положили в карман и унесли.

Построить в компании защиту от утечек возможно, если собрать воедино несколько факторов в контексте DLP:

  • информационная безопасность — прямая работа DLP, контроль операций с конфиденциальными данными;
  • экономическая безопасность — расследования, которые помогает проводить DLP;
  • кадровая безопасность — DLP-системы способны делать выводы по действиям сотрудника в компании.

Александр Клевцов:

— Современные DLP обеспечивают защиту от утечек, но правильнее будет сказать, что это защита от нарушений при работе с информацией, это не только утечки, это комплексная защита.

Для построения надёжной защиты от утечек недостаточно одного внедрения DLP, могут потребоваться изменения процессов и порядков внутри компании.

 

Рисунок 2. Для каких задач вы используете или планируете использовать DLP-систему в первую очередь?

Для каких задач вы используете или планируете использовать DLP-систему в первую очередь?

 

Большая часть респондентов (52 %) видит применение DLP в обнаружении и предотвращении утечек ценных данных. 26 % рассматривает такие системы как универсальные хранилища информации.

Кто выступает заказчиком внутри компании?

Чаще всего это служба безопасности: информационной, экономической и т. д. Бизнес сейчас лучше понимает цену безопасности и всё чаще обращается к вендорам.

Поделился примерами из практического опыта Александр Клевцов. Вот один из этих примеров: в компании не было отдела ИБ, а был отдел рисков, который и выступал заказчиком внутри компании по рискам в ИБ.

Эксперты в итоге обсуждения выделили основных заказчиков:

  • отдел ИБ;
  • отдел рисков;
  • владелец (бизнес).

По сути неважно, кто будет выступать заказчиком, конечной целью будет безопасность. «В целом, статистически чаще это отдел ИБ», — подвела итог Галина Рябова.

Импортозамещение в контексте DLP

В России — зрелый конкурентный рынок DLP, на котором представлены очень сильные решения, заявили специалисты. Также растёт и зрелость заказчиков, задачи усложняются, становятся более специфическими; западные вендоры не могут закрыть эти потребности, их позиции слабеют.

Не всегда какие-то внутренние ограничения способствуют импортозамещению. Любые необходимые доработки продукта в результате импортозамещения добавляют конкурентных преимуществ и независимости.

Любая страна стремится к использованию «родных» решений, особенно в ключевых секторах экономики, и вытесняет зарубежные аналоги тем или иным путём.

Технические особенности современных DLP

Во втором блоке встречи специалисты постепенно стали затрагивать технические вопросы, делиться сценариями и примерами из опыта.

Почему заказчик так редко применяет в DLP функцию предотвращения?

Спикеры отметили, что все крупные заказчики применяют эту функцию. Для эффективного предотвращения необходима, с одной стороны, зрелость ИБ-процессов в компании, а с другой стороны, технологическая зрелость самого DLP-решения.

Примерно 10 % заказчиков, по оценке Галины Рябовой, использует функцию предотвращения в продукте, и в основном это — банковский сектор.

Александр Клевцов оценил частоту применения функции предотвращения среди заказчиков несколько позитивнее: чуть более чем 20 %.

В каких точках может быть установлена DLP?

По итогам обсуждения специалисты обозначили следующие точки установки DLP:

  • агенты: сетевые (серверы, шлюзы), хостовые;
  • интеграция с облачными сервисами.

«Мы защищаем не только каналы коммуникации и связи, но прежде всего ценные данные», — подчеркнул Антон Тихонов.

В целом неважно, где будет инфраструктура заказчика: в облаке или локально; защита коммуникационных каналов будет в основе. Это больше технологический вопрос и всё зависит от конкретных целей заказчика.

Практическим кейсом поделился Олег Никитский: когда DLP определяет угрозу открытого доступа к конфиденциальному файлу в облаке, доступ к такому файлу блокируется через определённое время, что помогает избежать разрыва бизнес-процессов.

Суть применения DLP-меток в качестве вспомогательного инструмента пояснил Евгений Матюшёнок: мы индивидуализируем политики по определённой классификации (контент, теги, группы и т. д.), а затем помечаем через интерфейс защищаемые файлы. Метки имеют недостаток: часто они не наследуются и при движении файла могут потеряться.

 

Рисунок 3. В чём слабость современных DLP-систем?

В чём слабость современных DLP-систем?

 

Слушатели выделили высокую стоимость DLP-систем (26 %), ограниченное применение в облаках (24 %) и «другие» проблемы (25 %). 13 % считают, что DLP вообще не блокирует утечки.

Новые возможности и функции DLP в 2021 году

Спикеры поделились нововведениями в своих решениях, которые ориентированы на заказчика. Прозвучали следующие функции, технологические решения и возможности:

  • агрегация паролей к корпоративным ресурсам (простой пароль — серьёзная уязвимость);
  • технология веб-изоляции подозрительных пользователей;
  • функции CASB (Cloud Access Security Broker — брокер безопасного доступа в облако);
  • технология «Мультидозор» — построение единой DLP-системы из территориально распределённых инсталляций;
  • Staff Control — контроль продуктивности пользователей;
  • технология защиты от фотографирования экрана;
  • репутационный фильтр пользователей;
  • автоматическое обнаружение графических отпечатков (подпись директора, печать организации и т. д.);
  • универсальный перехватчик.

Некоторые ноу-хау по работе универсального перехватчика вендор не раскрыл, но отметил расширение возможностей продукта за счёт серьёзного усиления модуля машинного обучения.

Алексей Раевский:

— На мой взгляд, решения DLP постепенно будут впитывать в себя многие функции CASB.

Также вендоры отметили повышение быстродействия и снижение нагрузки за счёт применения машинного обучения, усиление UBA-модулей для прогнозирования и предотвращения угрозы утечек.

На Западе многие технологии уже внедрены в решения DLP; если выпускаются релизы, то это — небольшие улучшения, отметил Антон Тихонов.

В рамках тренда контейнеризации необходимо контролировать среды оркестровки и хранилища, где эти среды расположены.

На вопрос о мультиязычной поддержке спикеры ответили, что она уже давно реализована как в интерфейсе, так и в программном коде (работа с тегами, метками, именами и т. д.).

Как выбрать и сколько стоит DLP-система?

Прежде всего заказчику нужно понять, какие проблемы он хочет решить при помощи DLP. И здесь вендор должен помочь сформулировать проблемы: это обоюдное взаимодействие, где важен соответствующий уровень квалификации экспертов с обеих сторон.

Резюме обсуждения спикеров можно свести в следующий чек-лист, который поможет выбрать искомый DLP:

  • каналы — какие именно каналы коммуникации требуется защищать;
  • внедрение и распространение — насколько сложно внедрить решение;
  • предварительно настроенные шаблоны — наборы политик, правил, сценариев, которые доступны на старте;
  • наличие классификатора;
  • взаимодействие с вендором (диалог, поддержка, обучение и т. д.);
  • отказоустойчивость, ресурсы и производительность — требования к «железу» и ПО, как система справляется с нагрузкой;
  • автоматизация — для самостоятельной поддержки и решения последующих задач;
  • «пилот» — попробовать реализовать реальный кейс, оценить возможности, максимально погрузиться в продукт.

При вопросе о примерной стоимости DLP-системы специалисты традиционно вежливо уклонились от ответа.

 

Рисунок 4. Какие направления в развитии DLP вы считаете наиболее перспективными?

Какие направления в развитии DLP вы считаете наиболее перспективными?

 

Большая часть респондентов (25 %) видит перспективы для DLP в контроле облачных сервисов. 20 % считают перспективой обнаружение аномалий, 17 % — контроль удалённых сотрудников. По 13 % голосов получили профилирование пользователей и вариант «Другое». Контроль хранения данных важен для 12 %.

Тренды и прогнозы развития DLP

Цифровизация приводит к тому, что ценных данных становится больше, эти данные консолидируются, риски увеличиваются. Куда эти данные идут, там и должна стоять защита. Одна из задач DLP будущего — автоматизация и глубокая интеграция в бизнес-процессы.

Ещё один тренд — интеграция DLP с CASB, потому что на данный момент эти решения разделены. С другой стороны, CASB тоже постепенно приобретает функции DLP. Будет формироваться конвергенция облачных и локальных решений.

Следующим эволюционным шагом эксперты назвали трансформацию DLP в систему защиты от угроз более широкого спектра. По их словам, мы вплотную подошли к чему-то более масштабному, это будет эволюция в систему нового поколения.

 

Рисунок 5. Каково ваше мнение относительно DLP после эфира?

Каково ваше мнение относительно DLP после эфира?

 

Правильно выбрали DLP-решение 37 % участников опроса. Появился интерес к продукту у 43 % зрителей: 25 % готовы тестировать, 18 % — пока не готовы.

5 % захотели поменять свой текущий DLP на другой, а 8 % так и не разобрались, какие риски помогают закрыть системы предотвращения утечек данных.

Ответы на вопросы слушателей

Были ли у присутствующих вендоров когда-нибудь зафиксированы крупные утечки, которые привели к «посадкам» или увольнениям?

Никто бы не использовал DLP-системы столько лет, не развивал бы этот продукт, если бы он не блокировал утечки. DLP помогает и в расследованиях. Полученные в результате расследования данные могут быть использованы в суде как доказательная база, подтвердили эксперты.

Евгений Матюшёнок:

— Чтобы мошенника посадить, необходимы доказательства материального ущерба, а DLP этот ущерб по своей сути предотвращает. У нас были кейсы, например, в Екатеринбурге, в открытых источниках можно ознакомиться.

Антон Тихонов:

— Основная задача нашего DLP-решения — предотвратить подобные события, которые приведут к расследованиям. За более чем 10 лет опыта у нас были и «посадки», и расследования, но это не какой-то критерий выбора или показатель качества.

Алексей Раевский отметил кейс, когда собранные DLP-системой данные использовались в суде как доказательство преступления, и подчеркнул важность юридического сопровождения. Также, по его словам, бывают и «тихие» увольнения.

Александр Клевцов рассказал о том, как их заказчик однажды раскрыл с помощью данных DLP мошенничество, организованное группой лиц. Дело было доведено до уголовного преследования.

Олег Никитский не выделил кейсы из опыта, но подчеркнул, что основная задача компании — предотвратить такие инциденты, минимизировать риски.

Как быстро выпускаются обновления продукта в экстренных случаях, например когда вышла новая версия браузера?

Это — известная проблема, с которой сталкиваются все вендоры. Каждый вендор разрабатывает собственное решение, которое позволяет исключить такие ситуации. Качественный зрелый продукт должен быть устойчив к подобным обновлениям.

В другом случае реализуется поддержка «same-day-support», когда вендор предоставляет актуальную версию в тот же день, когда установлены обновления, например, операционной системы заказчика.

Какими могут быть рекомендации для заказчика по законному использованию собираемых DLP данных в поощрении и наказании сотрудников?

Вопрос весьма важен и требует решения, потому что никак не регламентирован, подчеркнули эксперты.

Самое важное, чтобы сотрудник понимал, что вся информация, с которой он работает, принадлежит компании. DLP мониторит только рабочую активность человека на рабочем месте и не более того.

Выводы

Эфир показал, что современные DLP-системы, которые сформировались за последние 15–20 лет, помогают эффективно закрыть риски связанные с утечками ценных данных. Защита от утечек — это комплекс мер, это надлежащие порядки внутри компании, работа службы безопасности в целом, это не только работа отдела ИБ.

Для максимально эффективного применения DLP важна зрелость не только выбранного решения, но и самого заказчика.

Системы DLP на рынке РФ очень сильны и конкурентоспособны. Западный рынок созрел чуть раньше, и многие западные решения поддерживают несколько больше дополнительных функций, чем отечественные. Однако некоторые специфические проблемы заказчика из РФ способны решить только отечественные продукты.

Автоматизация, глубокая интеграция в процессы ИБ, усиление модулей машинного обучения (для прогнозирования угроз, для ускорения работы продукта в целом, снижения нагрузки на «железо» и т. д.), интеграция с облачными сервисами, поддержка функции CASB — важные направления развития DLP.

Подписывайтесь на наш канал, участвуйте в опросах и дискуссиях, задавайте вопросы спикерам в чате, получайте актуальную информацию по самым современным направлениям в информационной безопасности на AM Live!

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru