Дмитрий Михеев: Так или иначе, все системы DLP идут по пути снижения нагрузки на оператора

Дмитрий Михеев: Так или иначе, все системы DLP идут по пути снижения нагрузки на оператора

Дмитрий  Михеев
эксперт Центра информационной безопасности компании «Инфосистемы Джет». Родился в 1977 году в России. Окончил с отличием социологический факультет МГУ им. М.В. Ломоносова, специализация "социология организаций".

В сфере информационной безопасности и управления информационными активами работает с 2001 года, а в компании «Инфосистемы Джет» – с 2003 года. За прошедшие 9 лет в разное время выполнял в компании задачи инженера поддержки, тестировщика, руководителя отдела тестирования, аналитика и архитектора систем ИБ. В разработке средств и систем защиты информации участвует с 2003 года. Обладает сертификатом Certified Information Systems Security Professional (CISSP).

...

Anti-Malware.ru продолжает разговор с Дмитрием Михеевым, экспертом центра информационной безопасности компании «Инфосистемы Джет». Сегодня мы обсуждаемприменение новых технологий в DLP-решениях. Данное интервью продолжает цикл публикаций по тематике утечек информации и средств защиты для их предотвращения.

Для крупных компаний характерна проблема масштабирования программных решений, которая связана с необходимостью охватить значительное количество компонентов ЛВС или «накрыть» защитой хранилище данных, суммарный объем которого измеряется терабайтами. Как DLP-системы адаптируются к такого рода экстремальным условиям?

Эта проблема действительно существенна. С течением времени, мы вынуждены обрабатывать все большие объемы информации. Если ранее на основании статистики годового архива мы оценивали потенциальный прирост в 15% по объему и количеству, то теперь индивидуальные оценки в зависимости от конкретного заказчика и специфики его деятельности иногда показывают увеличение объемов данных до 50%. Это ставит перед нами серьезные задачи вертикального и горизонтального масштабирования системы. «Дозор-Джет» штатно масштабируется путем добавления узлов в кластеры. В рамках технической поддержки, при необходимости, также отрабатываются задачи по переносу ПО и данных на более мощное оборудование.  Практикуется и привлечение инженеров смежных направлений, к примеру, специалистов по вычислительным комплексам, инженеров поддержки и т.д. Мы имеем опыт переноса многотерабайтных массивов информации на мощности следующего поколения, то есть – миграции данных с минимальным временем их недоступности операторам системы DLP. С точки зрения технических средств самого DLP-решения ничего принципиально нового не изобретено, однако активно испытываются и применяются различные методы оптимизации работы высоконагруженных систем в целом. Кроме того, тщательно отбирается и проверяется соответствующее оборудование. В целях снижения нагрузки также может использоваться управление фильтрами. Очевидно, что в общем потоке сообщений далеко не все из них представляют интерес. Посредством модификации и адаптации политики безопасности можно настроить ее таким образом, чтобы основное внимание системы уделялось именно важным и интересным данным. Словом, варианты разнообразны, и мы их активно используем.

Как и любые злоумышленники, инсайдеры постоянно совершенствуют способы вывода информации за пределы компании. В каком направлении сейчас идет их развитие? Какой способ можно назвать наиболее "молодым", и какие контрмеры принимаются по отношению к нему в "Дозор-Джет"?

Как говорится, «ничто не ново под луной». Злоумышленники уже изобрели и активно используют все возможные способы хищений информации. Каких-либо принципиально новых каналов утечки за последнее время открыто не было. Уже достаточно длительное время существуют одни и те же типы мобильных устройств и инциденты, которые могут с ними произойти, – известны. Кстати, к числу основных проблем, с которыми мы сталкиваемся на данный момент, можно отнести именно физическую утрату смартфонов и планшетов с сохраненными на них данными. Такие события не входят в зону ответственности классической DLP-системы, но в последнее время мы включаем в состав наших решений подсистему контроля мобильных устройств. В соответствии с пожеланиями заказчика мы интегрируем эти решения, предоставляя отделу безопасности возможность отслеживания и (или) уничтожения данных в случае инцидента. Этот способ не «молод», но  относится к числу актуальных.

Западный топ-менеджмент в настоящее время озабочен проблемой контроля мобильных устройств на предприятии. Исходя из Вашей практики, можно ли сказать, что отечественных руководителей столь же сильно беспокоит этот вопрос?

Повторюсь, тема контроля мобильных устройств не нова, хотя и активно развивается в России в течение нескольких последних лет. Какого-либо исключительного успеха в части их контроля я в своей практике по DLP пока не наблюдаю. У нас есть опыт внедрений с учетом пожеланий заказчика по защите мобильных устройств, но, как правило, это результат не столько внедрения традиционной DLP-системы, сколько – ее интеграции со средствами контроля мобильных устройств. В связи с ограничениями и невозможностью установки полнофункционального агента, единственный канал, который на этом направлении полностью контролируется, – это сетевое взаимодействие. Соответственно, стандартным решением является организация сетевого взаимодействия мобильных устройств в рамках периметра компании через контролируемый сегмент, где DLP-система сможет наблюдать за ними. В случае же их выхода за периметр и использования средств связи, не принадлежащих компании, актуальной становится деятельность систем контроля мобильных устройств с соответствующими профилями. По этому направлению, в частности, мы обладаем успешным опытом работы с планшетами Apple и устройствами на платформе Android.

Что касается беспокойства, то - да, этот вопрос волнует отечественных руководителей, поскольку именно топ-менеджеры и другие высокопоставленные сотрудники, наряду с инженерами, входят в зону основного риска с точки зрения защиты мобильных устройств. Первые – в силу того, что оперативно обзаводятся новыми телефонами и планшетами, а вторые – за счет того, что среди них много пользователей Mac OS как UNIX-системы. Помимо этого, обозначенные группы пользователей обычно имеют доступ к конфиденциальной информации. Логично, что это в совокупности с использованием систем, несовершенных с точки зрения безопасности, не может не вызывать беспокойства.

Традиционно DLP-система реализует комплекс мер по организационной защите информации. В какой мере возможна ее интеграция с системами инженерно-технической защиты? Насколько эффективным и перспективным, на Ваш взгляд, мог бы быть такой гибрид?

У нас есть опыт объединения в одном решении систем контроля и управления доступом и DLP. Но, как правило, это не заслуга DLP, а этап большого интеграционного проекта. Такие решения создаются и приносят определенную пользу. Однако в основном в них работает именно оборудование СКУД или SSO, в то время как DLP играет вспомогательную роль. Тем не менее, корреляция событий и агрегация данных от этих компонентов позволяет получать интересные результаты. Например, – подтверждать, что сетевое событие от того или иного адреса действительно инициировано конкретным сотрудником, который вошел на территорию (или вышел с нее) в определенное время. Соответственно, мы имеем больше информации для анализа и для расследования инцидентов. Но это, как уже было сказано, является возможностями не традиционной DLP-системы, а комплекса мер, в рамках которого технические средства DLP объединены с другими компонентами защиты. В целом же эта задача интересна с практической точки зрения, и мы умеем её решать.

Новое популярное веяние в хранении и обработке информации – «облачные» технологии. Какие новые проблемы и задачи ставят они перед системой защиты от утечек? Каким Вам видится будущее размещение DLP – полностью в «облаке», полностью на предприятии, или в виде некоего гибрида?

На мой взгляд, «облака» не привнесли никаких радикальных изменений с точки зрения безопасности, поскольку не нова сама их идея. Определенные перемены, безусловно, будут иметь место. Например, уже сейчас есть попытки использования DLP как сервиса, хотя в этом случае существует ряд опасений со стороны заказчиков относительно передачи данных постороннему поставщику за пределы периметра безопасности. Сегодня существуют как приверженцы «облачного» подхода, так и их оппоненты. Но, в большинстве случаев, их «спор» не имеет непосредственного отношения к собственно техническим средствам хранения, обработки и защиты информации: техника сейчас позволяет построить и «облачные» решения, и локальные. Решение задачи в основном сводится к вопросам стоимости владения, надежности, соотношения цены и качества и т.п. Пока рано говорить об «облачных» DLP, и они, скорее всего, не будут полностью располагаться в соответствующей среде, поскольку определенные информационные ресурсы и активы в любом случае необходимо будет размещать локально (либо по требованиям скорости доступа, либо в силу объема размещаемых данных). В принципе, системы, которые работают в «облаке», достаточно хорошо развиты, хотя и не являются чем-то революционным, и у них есть свои клиенты. С течением времени количество подобных приложений будет возрастать, но какого-либо явно передового решения я в этой сфере пока не вижу.

Некоторые производители предлагают использовать в борьбе с утечками потенциал экспертных систем и искусственного интеллекта. Как Вы оцениваете перспективы самообучающихся DLP-решений? Сможет ли DLP когда-либо стать полностью автономной?

В систему «Дозор-Джет» средства полуавтоматического анализа были внедрены еще в 2002 году. Тогда мы использовали байесовский классификатор. Не так давно Symantec подготовил прототип самообучающейся системы, также некоторое время назад аналогичными изысканиями занимался и InfoWatch, разработавший систему для анализа текстов. В связи с этим можно упомянуть и механизм WebSense Natural Language Processing. Так или иначе, все системы DLP идут по пути снижения нагрузки на оператора. Это означает, что как можно большее количество действий должно выполняться в автоматическом режиме. В силу этого экспертные системы из самых разных областей, несомненно, будут развиваться. Сейчас сложно сказать к чему это приведет. Но определенно можно утверждать, что DLP-системы не станут полностью автономными. Причины этого в том, что DLP-системы работают со слабоструктурированными данными, и экспертные алгоритмы характеризуются значительным количеством допускаемых ошибок первого и второго рода. Иными словами, что-либо критически важное системы могут посчитать несущественным, а не слишком значимое – чрезвычайно важным. Впрочем, как один из методов анализа данных этот подход будет развиваться и далее. В настоящее время  довольно много подобных разработок  – начиная от автоматического определения контекста и заканчивая семантическими сетями, которые осуществляют попытки анализа конкретных предложений. На основе этих данных формируется решение о соответствии документа эталону или, предположим, о потенциальной опасности тематики переписки. Некоторые алгоритмы пришли в эту сферу из борьбы со спамом. Они также успешно работают и имеют потенциал для того, чтобы впоследствии стать стандартом. Сложно сказать, когда это произойдет, но, я думаю, что соответствующие события не заставят себя долго ждать. Впрочем, это не вопрос следующего года или, допустим, двух лет, то есть – это  не самая близкая перспектива.

Комментируя обзор современных технологий обнаружения утечек, подготовленный нашими аналитиками, Вы упоминали о перспективах интеграции с системами контроля бизнес-процессов, а также автоматизации расчета степеней критичности данных. Не могли бы Вы рассказать об этом направлении развития более подробно?

Очевидно, что цель DLP-системы – не поимка конкретного нарушителя или оперативное предоставление информации об инциденте или его попытке, а  обеспечение безопасности бизнеса. Интеграция с системами, которые предназначены для работы с бизнес-процессами, подразумевает анализ содержимого, извлечение грифов документов, адресов и имен клиентов. И мы активно работаем в этом направлении, стремясь к расширению возможностей для упорядочивания неструктурированных массивов данных, которые нам приходится анализировать. Этот процесс включает в себя выявление связей между объектами в автоматическом режиме: при объединении нескольких систем, работающих с информацией, обрабатывать ее становится гораздо проще. Я полагаю, что эта тема будет вызывать существенный интерес, поскольку её реализация с точки зрения вычислительных ресурсов несложна, установление связей происходит быстро, а получаемый результат – полезен и эффективен.

Для развития и совершенствования технологий DLP (лингвистических, к примеру) необходимы соответствующие научные изыскания. Сотрудничаете ли вы с какими-либо организациями (академиями, университетами и т.п.), или же ведете исследования самостоятельно? Какое направление исследовательской работы является на данный момент наиболее приоритетным для компании?

На данный момент каких-либо специфических изысканий в явной форме мы не заказываем, но стараемся брать на работу специалистов, которые ведут эти исследования в рамках своей научной деятельности. В компании довольно высок уровень научной активности. Наши сотрудники пишут статьи и книги, и мы стремимся им в этом помогать. На основании статистики «Дозор-Джет», в частности, было выполнено и успешно защищено несколько диссертационных исследований. Кроме того, у нас работают выпускники ведущих вузов, и они активно влияют на деятельность системы с точки зрения определения кодировок, работы с текстами, контекстами и т.д. Все это – результат активности наших сотрудников, которые принесли в компанию свой лингвистический и математический опыт. Впрочем, ранее подобные исследования заказывались, и я не вижу причин не сотрудничать с теми или иными организациями или исследовательскими группами в дальнейшем. Что касается приоритетов, то в настоящее время мы изучаем возможности распределенного поиска и глубокой работы с языком – определения контекста, значимых элементов текста и т. д.

Спасибо и с пожеланиями дальнейших успехов!