Итоги круглого стола "Защита от инсайдеров"

[Александр Шабанов 120]

Коллеги, предлагаю ознакомиться с итогами круглого стола "Защита от инсайдеров", проведенного Сnews.

На мероприятие обсуждались следующие вопросы:

- можно ли защититься от инсайдера?

- как избежать утечек информации?

- не преувеличен ли масштаб проблемы?

- какие способы защиты действительно эффективны?

Принимали участие и выступали с докладами:

- Александр Михайлов, Associates Distribution. "Решения Websense для защиты от инсайдеров"

- Вадим Ференец, CNews. "Инсайдеры – ночной кошмар корпораций и госструктур"

- Рустэм Хайретдинов, Infowatch. "Пять типичных ошибок при внедрении систем противодействия инсайдерам"

- Вениамин Левцов, LETA IT-company. "Обзор методов контроля за перемещением конфиденциальных данных"

- Алексей Доля, Perimetrix. "Контентная фильтрация – вчерашний день"

- Александр Ковалев, "Праймтек". "Программный комплекс "Инсайдер"

- Алексей Раевский, SecurIT. "Zserver Suite и Zlock - современные решения для защиты от инсайдеров"

- Алексей Лесных, "СмартЛайн Инк". "Отражая новые угрозы: мобильная консьюмеризация корпоративных ИТ и инсайдерский фактор"

- Владимир Дудченко, SoftBCom. "Аудит доступа к базам данных: его роль в обеспечении безопасности баз данных и методы реализации"

- Михаил Левашов, КБ "Союзный". "Проблема "инсайдеров" - дешево, но "сердито"

Полная версия отчета о проведенном мероприятии на Cnews.

На мой взгляд наиболее интересные презентации подготовили Рустэм Хайретдинов, Вениамин Левцов, Владимир Дудченко.

Также был интересный и актуальный вопрос "Есть ли, на ваш взгляд, будущее у контентной фильтрации?", который задавался некоторым участникам в рамках интервью:

Александр Ковалев: "Основная задача контентной фильтрации - возможность контроля и накладывание ограничений на технические каналы, по которым происходит утечка информации. Однако данный механизм не позволяет гарантировать стопроцентное обнаружение информации, которая содержит конфиденциальные данные. Например, если инсайдер перед отправкой сообщения замаскирует его под видом графического или музыкального файла при помощи методов стеганографии, то средства контекстного анализа окажутся практически бессильными. Будущее, конечно, есть, но в совокупности со средствами аудита, которые смогут выявить процесс подготовки отправки сообщения с конфиденциальными данными."

Алексей Раевский: "Безусловно, контентная фильтрация – это довольно важная составляющая многих систем, в том числе тех, которые решают проблемы утечек информации. Однако надо понимать, что такие средства работают по эвристическим алгоритмам, результат сильно зависит от правильной настройки и всегда имеет какую-то отличную от нуля погрешность. Исходя из этого, можно сказать, что в будущем средства контентной фильтрации в деле борьбы с утечками конфиденциальной информации, скорее всего, будут играть вспомогательную роль."

Рустэм Хайретдинов: "Смотря что вы подразумеваете под этим. Анализом стоп-слов как базой для принятия решения ведущие производители перестали заниматься еще в конце 90-х годов прошлого века, и эта технология, безусловно, свое отжила, хотя и входит в разных видах в большинство решений UTM.

Если же под термином “контентная фильтрация” подразумевать многофакторный анализ содержимого контейнера (файла или протокола): морфологический и семантический анализ текста, поиск стандартных шаблонов (номеров паспортов, кредитных карт, корсчетов, ИНН и др.), сравнение с цифровыми отпечатками, использование антиплагиатных технологий, то она сейчас развивается существенно быстрее других. Алгоритмы многоуровневого анализа текста наукоемки, поэтому их реализация не под силу неспециализированным компаниям, которые выбирают более простой в реализации метод исследования атрибутов или программных меток. Конкуренции между схемами фильтрации нет, лидеры DLP-рынка используют обе - сначала фильтрацию по меткам и/или атрибутам, а только затем передают отсеянные файлы на контентный анализ. Наш опыт показывает, что технологии меток отлично позволяют отсекать утечки по неосторожности и тем самым не загружать ядро контентной фильтрации. Против намеренно вредительских действий контентная фильтрация более эффективна, т.к. злоумышленнику не придет в голову посылать меченые файлы, чаще их содержимое копируется в непомеченный контейнер, а его затем уже пытаются электронным каналом вывести за пределы информационной системы (послать по почте, скопировать на сменный носитель и т.д.)."

Прогноз развития рынка DLP от Leta IT-Company на 2007-2010гг:

[Сергей Ильин 1538]

Интересное мероприятие получилось, представительный состав участников и интересные доклады.

Прогноз развития рынка DLP от Leta IT-Company на 2007-2010гг:

Это оценка рынка России? В презентации Вениамина Левцова такого графика я не нашел.

[Александр Шабанов 120]

Это оценка рынка России? В презентации Вениамина Левцова такого графика я не нашел.

Да, это по рынку России, в презентации Левцова его нет, он есть в отчете по мероприятию на Cnews, а также на сайте Леты, только он сейчас не работает почему-то

[Рустэм Хайретдинов 30]

Коллеги, предлагаю ознакомиться с итогами круглого стола "Защита от инсайдеров", проведенного Сnews.

Взяли криптографию, аудит баз данных, управление мобильными устройствами, защищенный документооборот, удаленное администрирование, фильтрацию контента. Свалили в кучу, назвали ее "DLP - рынком России", дали его размер, в котором дважды считаются продажи Инфовотч - сначала собственно Инфовотч (цифру продаж где-то взяли, для меня удивительную ), потом продажи лицензий Инфовотч у Леты и Крока. Если все эти продукты считать DLP-рынкоми суммировать вендоров с дилерами, то можно и 100 миллионов емкость насчитать.

Мы за последние полгода принимали участие в европейских обзорах IDC "DLP Vendor's Outline" и Forrester "ILP-Wave". Там были и интервью аналитиков с заказчиками, и интреактивная web-трансляция самих решений, и опросники по десять страниц. Что стоило тому же CNews все это сделать, благо всех игроков и большинство заказчиков можно на метро объехать? Разве бы кто-нибудь из вендоров отказался бы дать данные и показать продукт?

Лете и Левцову - отдельное спасибо. Это единственные интеграторы на рынке, сфокусированные на проблеме, и они сравнивают различные решения между собой не столько с позиции "скока процентов ловит", а насколько удобно и эффективно этим пользоваться. И хотя они традиционно мультивендорны, да и нас продают не очень много , подвижническую их деятельность я высоко ценю.

Нет на этом рынке экспертизы и аналитики, факт. Давайте с этим что-то делать. Кроме нас с вами этим некому заняться. Заказчики, имеющие опыт решения проблем с утечками, в эти форумы не пишут и на круглые столы не ходят. Аналитикам в России пока не до нас - бюджеты небольшие по сравнению с другими рынками. Давайте скинемся на нормальное исследование силами, например Anti-Malware.ru. Сколько можно все из пальца высасывать...

[Сергей Ильин 1538]

Я уже давно думаю на тему первого открытого и действительно качественного исследования рынка DLP. В этом году надо будет провести.

[Прибочий Михаил 20]

Удачи! Дело обещает быть нелегким

Тема сейчас модная, к DLP подмазыватся все кому не лень, рынок не устаканился, оценить его будет ой как непросто.

[Рустэм Хайретдинов 30]

Удачи! Дело обещает быть нелегким

Тема сейчас модная, к DLP подмазыватся все кому не лень, рынок не устаканился, оценить его будет ой как непросто.

Михаил, не отлынивай . Forrester в отчете ILP-Wave за 2007 год назвал 12 вендоров DLP по основному признаку: защищаются более двух каналов единой технологией (метки, фингепринты, лингвистика или любые их комбинации). Остальные технологии (шифрование, управление портами, хранение контента, поисковик) относятся к сопутствующим и признаками ILP не являются. Список получился такой (цитата):

"Vendors in 3 main areas:

1) Large technology and storage vendors which provide ILP

2) Large security players which provide ILP

3) Pure play ILP vendors

Participants (tentative): Code Green, InfoWatch, McAfee - Onigma, Orchestria, Reconnex, RSA/EMC - Tablus, Symantec - Vontu, Trend Micro - Provilla, Verdasys, Vericept, Websense - PortAuthority, Workshare" (конец цитаты)

Чистых ILP-вендоров из этого списка в России представлен только один (если у вас есть информация о продажах в России Orchestria, Code Green, Verdasys, Reconnex, Vericept или Workshare в России - сообщите, пожалуйста, мне). Насколько мне известно, RSA, TrendMicro и Symantec в России DLP-решений тоже пока не продавали (поправьте меня, если я не прав).

Мое предложение - взять трех вендоров, McAfee, WebSense и InfoWatch, пригласить для чистоты эксперимента Дозор-Джет и всем вендорам предоставить независимым аудиторам под NDA финансовую информацию и информацию о заказчиках (название, контактное лицо, сколько и каких каналов, сколько защищаемых точек). По моим данным, в прошлом году было небольще сотни оплаченных проектов по внедрению продуктов упомянутых вендоров, поэтому информации будет немного. Интересен ведь рынок, а не количество бесплатных инсталляций и пилотных проектов. Мы это делали для Forrester, поэтому у нас все готово.

Если эту информацию дадут другие вендоры, а аудиторы ее проверят, получим рынок продавцов. Дальше можно приблизительно оценить рынок покупателя - стандартные скидки интеграторам известны. Доли вендоров на рынке покупателя станут понятны.

Очень хочется обойтись абсолютными легко проверяемыми цифрами, без "экспертных оценок", поскольку уровень экспертизы просто ужасен.

Михаил, давайте честно посчитаемся, это пойдет на пользу всему рынку, а значит и нам с тобой . WebSense в Forrester-e в 2007 году опять в правом верхнем углу, давай и в России это покажем.

Техническая экспертиза решений - вопрос более сложный, Forrester проводил его заочно, через web-презентации. Развернуть параллельно четыре стенда в центре компетенции какой-нибудь российской серверной компании можно договориться. Там можно будет посчитать производительность и точность срабатывания на реальном траффике. Даже если не удастся договориться об общих тестах, просто демонстрация особенностей продуктов на своих тестах тоже пойдет всем на пользу. Пока DLP решения покупают энтузиасты, но это не будет длиться бесконечно. К тому же продажи - анализ прошлого, а технологии - анализ будущего.

А если совместить все это с выступлениями пользователей (у всех есть спикеры-заказчики), получится целый DLP-конгресс с презентацией результатов исследования . Кстати, домен dlp-congress.ru еще свободен?

[А.Щеглов 6]

Вообще-то очень странно, что задачу защиты от инсайдерских атак в целом, и в частности, защиту от утечек,

напрямую связывают с решениями DLP.

Ведь решения DLP - это лишь один из способов решения задачи, причем основанный на применении механизмов контроля, в том числе, контентного анализа. На мой взгляд, есть куда более действенные меры, принципиально предотвращающие саму возможность утечки информации с компьютера, где она обрабатывается.

Почему же круглые столы с весьма широким позиционированием "Защита от инсайдеров" превращаются в сравнение вариантов реализации DLP - в сравнении между собою неких частных решений этой задачи защиты, реализующих один и тот же подход к защите? Не понимание проблемы или хороший PR?

[alexgr 556]

разговор с реальным банкиром - так вышло, что на предыдущем "круглом столе" он сидел рядом - показал, что это не так. Он как раз хотел где-то получить методику оценку мотивации нарушителя

[Рустэм Хайретдинов 30]

Почему же круглые столы с весьма широким позиционированием "Защита от инсайдеров" превращаются в сравнение вариантов реализации DLP - в сравнении между собою неких частных решений этой задачи защиты, реализующих один и тот же подход к защите? Не понимание проблемы или хороший PR?

Вы, видимо, попадаете на круглые столы, которые спонсируются соответствующими производителями. Хорошо, что за деньги производителей сотрудники ИБ имеют возможность пообщаться. Сейчас много таких мероприятий, только на следующей неделе меня пригласили на три. Мне как раз кажется, что на них DLP обсуждается непропорционально мало .

Мы проблему понимаем, да и руководители служб ИБ знают о всех подходах к защите, соответственно, на таких мероприятиях обсуждаются разные темы - от применения законов до реального опыта внедрения конкретных продуктов, и не только DLP. Тут и HIPS, и шифрование, и управление доступом к ресурсам. На CSO Summit-е 25 марта был отдельный стол, посвященный кадровой работе и повышению осведомленности сотрудников, что большинство сотрудников ИБ считают неотъемлемой частью борьбы с утечками.

Сейчас, кстати, как альтернативу (!) DLP для борьбы с утечками часто обсуждают DRM-решения, в том числе и Microsoft RMS и российские разработки, типа Security Studio. Это означает, что однозначного решения никто не придумал - вот рынок и пробует все подрят, в меру бюджета и любопытства.

Непонимание вызывает и термин "инсайдер", каждый его понимает по своему. Кто-то под ним подразумевают любого нарушителя внутри компании, от сисадмина до топ-менеджера, с соответствующим разбросом методов противодействия. Кстати, в законодательстве "инсайдер" - это тот, кто имеет по служебной надобности информацию, которую использует в корыстных целях, например, для игры на бирже. DLP-шники просто узурпировали этот термин .

[Прибочий Михаил 20]

Forrester в отчете ILP-Wave за 2007 год назвал 12 вендоров DLP по основному признаку: защищаются более двух каналов единой технологией (метки, фингепринты, лингвистика или любые их комбинации). Остальные технологии (шифрование, управление портами, хранение контента, поисковик) относятся к сопутствующим и признаками ILP не являются.

Рустэм, спасибо за публикацию ссылки на информацию! К DLP в России сейчас подмазываются все кому не лень, и часто приходится сталкиваться с тем, что клиент уверен, что уже внедрил DLP, поставив какую-нибудь криптуху. Мы об этом год как кричим. Давайте хором, чтобы быть услышанными?

Чистых ILP-вендоров из этого списка в России представлен только один

Почему один? Не три?

Насколько мне известно, RSA, TrendMicro и Symantec в России DLP-решений тоже пока не продавали (поправьте меня, если я не прав).

Ничего не слышал о российских продажах. Насколько я знаю, еще продукты из тестирования не выходили (про RSA могу ошибаться). Возможно, на IDC на следующей неделе что то новое расскажут?

[Прибочий Михаил 20]

Мое предложение - взять трех вендоров, McAfee, WebSense и InfoWatch, пригласить для чистоты эксперимента Дозор-Джет и всем вендорам предоставить независимым аудиторам под NDA финансовую информацию и информацию о заказчиках (название, контактное лицо, сколько и каких каналов, сколько защищаемых точек).

Согласен, что это познавательно. Но кроме InfoWatch сейчас это никому не интересно - напрягаться, аудироваться... На российском рынке все, кроме вас и Дозор-Джета меньше года. Свои результаты захочется озвучить чуть-чуть позже, когда к очередному десятку заказчиков добавятся доходы от продления клиентов прошлого года. А сейчас все силы - не на аудит под NDA, а на собственный рост!

Думаю, так посчитают конкуренты InfoWatch.

Техническая экспертиза решений - вопрос более сложный, Forrester проводил его заочно, через web-презентации. Развернуть параллельно четыре стенда в центре компетенции какой-нибудь российской серверной компании можно договориться. Там можно будет посчитать производительность и точность срабатывания на реальном траффике. Даже если не удастся договориться об общих тестах, просто демонстрация особенностей продуктов на своих тестах тоже пойдет всем на пользу.

А вот это классная идея! Обеими руками за. Единственное, методика тестирования станет однозначным камнем преткновения. Но попробовать однозначно надо!

[alexgr 556]

Это был Левашов - пересмотрел список и вспомнил.

[Вадим Волков 176]

Сейчас, кстати, как альтернативу (!) DLP для борьбы с утечками часто обсуждают DRM-решения, в том числе и Microsoft RMS и российские разработки, типа Security Studio.

А термин DRM разве к применим к Security Studio?

Если продвигают как альтернативу и полную замену DLP, то наверное все-таки лукавят. Тот же Security Studio больше конкурирует с DeviceLock или Панцирем. И прекрасно может сосуществовать с DLP-решениями. Я бы даже их совмещал - если у заказчика хватит денег на DLP

[Рустэм Хайретдинов 30]

Почему один? Не три?

Никого не хотел обидеть. Имелось ввиду "Из чистых ILP-производителей".

Forrester относит Code Green, Infowatch, Orchestria, Verdasys и Vericept и т.д. к "Pure ILP vendor", a McAffee, RSA, TrendMicro, Symantec, WebSense к "Security vendors with ILP products". В понимании Forrester - WebSense не чистый ILP-производитель, т.к. основной доход он получает от продаж систем защиты Web-трафика (особенно после покупки Surf Control). Это же касается и антивирусного до мозга костей McAffee. Это вопрос классификации, не более того.

Кстати, в отчете IDC за 2007 год этот рынок еще более сегментирован - он разделен на Content Filtering, куда попали мы с вами, и Mark-Based (не уверен в точности написания), в который попали решения на метках. Слава Богу, на этот рынок стали обращать внимание.

[Рустэм Хайретдинов 30]

А термин DRM разве к применим к Security Studio?

Если продвигают как альтернативу и полную замену DLP, то наверное все-таки лукавят. Тот же Security Studio больше конкурирует с DeviceLock или Панцирем. И прекрасно может сосуществовать с DLP-решениями. Я бы даже их совмещал - если у заказчика хватит денег на DLP

По-моему, термин DRM означает, что документ содержит в своем формате аттрибут, указывающий на права пользователей, а OS, приложения или специальные сервисы следят за их соблюдением. Это как раз принцип работы Security Studio, сам производитель говорит о возможной конкуренции с Microsoft RMS и позиционирует его в первую очередь на предприятия, которым нужна функциональность MS RMS с отчественной сертификацией.

Решения DRM и DLP вполне могут сосуществовать и даже интегрироваться. Мы специально встраивали детектор меток RMS и сейчас планируем то же самое делать с Security Studio, чтобы не грузить контентный фильтр, а отсекать все по меткам. Беда в том, что любой производитель пытается позиционировать продукт как "Средство защиты от утечек", а заказчик слышит "Единственное средство защиты от утечек". Конкуренция не в продуктах, она в головах ...