1 Ноября, 2012

Почему я не люблю DLP: причина первая.

Алексей Волков
На самом деле, я давно написал статью с похожим названием, но побаивался ее публиковать - слишком уж откровенной она получилась. Потому что ситуация, связанная с реальным, практическим применением "этих" средств, ассоциируется с каким-то "тайным грехом": все делали, делают или втайне помышляют об "этом", многим "это" понравилось и они хотят продолжать и разнообразить свои занятия, кое-кто даже делится впечатлениями с очень-очень близкими друзьями. Все без исключения знают, что"это" происходит где-то и с кем-то круглосуточно, включая данный конкретный момент времени, но практически никто об "этом" в открытую не говорит. Практически - потому, что занятие "этим", по понятным причинам, не приносит обоюдного удовольствия действующим лицам: всегда счастлива только одна сторона.

Разработчики "этих" средств охотно выступают в роли специализированных тематических магазинов, охотно предлагающих предающимся "тайному греху" согражданам удивительные "штуки" любого функционала и масштаба,охотно рекламируя их внешний вид и возможности, причем делают это в открытую, никого не стесняясь. Оно и понятно - инструмент есть инструмент: выглядит привлекательно и умеет вызывать огоньки возбуждения в глазах потенциальных потребителей.

Именно поэтому я несколько раз начинал, прекращал, переписывал отдельные части, удалял и менял формулировки. Потом на пару месяцев бросил, затем снова перечитал и, как говорится, понял - дабы никоим образом не обидеть ни тех, кто "этим" реально занимается, ни тех, кто "это" продает, "ровно половину слов надо вырезать": и я переписал ее "с нуля". Я ни в коей мере не претендую на роль критика, не собираюсь делать никаких разоблачающих выводов, равно как изобличать кого-то в нарушении Конституции или аморальном поведении. Все, что написано - это личные впечатления автора блога, все примеры взяты из его собственной головы, а любое сходство с реальными людьми является случайным (так что если кто-то вдруг узнает себя - знайте, что это не так).

* * *

Пол-года тому назад я зашел в офис одной компании навестить давних друзей. Пройдя все пункты контроля и отзвонившись о своем прибытии, я заметил странные нотки грусти в голосе закадычного дружбана. "Тебя Лера встретит" - было сказано мне с непередаваемым безразличием. Лера, молодая девчонка лет 20, работавшая в том же отделе, что и пацаны, молча, без тени улыбки открыла двери и кивком головы пригласила меня войти. "Что случилось?" - спросил я ее. "Сейчас увидишь" - после писка считывателя последовал ответ, и со щелчком электромагнитного замка дверной проем кабинета неприветливо распахнул свою пасть.

Картина выглядела удручающе. Первый дружбан - начальник отдела, всегда веселый и блистающий остроумием почти сорокалетний дядька, сидел с каменным лицом, склонившись над зажатым в руках листком бумаги. Второй дружбан - его подчиненный, здоровенный детина тридцати лет, опустив головы кочан сидел напротив, тихонько сползая по креслу под стол - туда, где его никто не смог бы испепелить взглядом. В кабинете витал дух враждебности а воздух, казалось, был ионизирован от недавних разрядов молний.

- Привет всем - осторожно сказал я, - Лерку не поделили или у кого-то сегодня ПМС?
- Здорово, - сказал дружбан-начальник, второй молча протянул холодную и потную ладошку. - Вот, полюбуйся на подставщика. С этими словами второй дружбан вжался в кресло до такой степени что, казалось, хотел поглотить его самим собой.
- А вот и подстава, - продолжил первый, громко хлопнув по столу ладонью с прилепленным к ней злосчастным листком.

Я взял в руки бумагу и увидел на ней логотип с наименованием известного DLP-решения и надписью "Отчет", в подзаголовке которого гордо красовалась фраза "скинь цену закупа". Далее следовали выдержки из почтовой переписки второго дружбана с каким-то мужиком, из которой следовало, что мужик спросил, закупочную цену на какой-то товар, а дружбан что-то ему ответил. Не дав мне дочитать до конца, первый дружбан продолжал:

- СБ-шник прислал сегодня нашему директору. Шороху тут навели - мама не горюй. Петя (так звали директора) рвет и мечет - заставил всех писать объяснительные. Сказал мне выговор и минус 50% премии как начальнику за то, что не смотрю за подчиненными. А этому, с позволения сказать, чудаку - минус 100% и вопрос об увольнении.
- Погоди-ка, погоди-ка,- сказал я, - с чего вдруг? Вы какие-то документы подписывали о неразглашении? С правилами пользования средствами корпоративных коммуникаций знакомились? Перечень сведений, о которых трындеть нельзя, имеется?
- Нет конечно, какой там перечень. Всем и так понятно что можно, а что нельзя. Цену закупа точно говорить нельзя - идиоту понятно. Любому, кроме этого - с этими словами последовал кивок в сторону сидящего напротив существа, которое смело возразить:
- Но я же...
- Да что ты же, - перебил его шеф - ты же заткнулся бы, и так все что мог сделал. Ты пойми - обратился дружбан ко мне, - у нас все на отношении строится, и уволить тебя по собственному желанию можно в раз. Но директора надо очень, очень сильно достать. Этот - опять кивок - достал.
- Ну подожди, подожди, ты же мудрый человек. Да, он что-то нарушил, правда формально - ничего. Какие последствия теперь будут?
- Уволят его нахрен - вот и все последствия.

Второй дружбан начал тихо скулить.

- Хорошо, черт с ним, уволите. А компании-то что будет?
- Не знаю что теперь. Раньше надо было думать, что, когда со своими дружками переписывался. И какой толк от этой бумажки если все теперь обо всем знают?

* * *

Мой друг, сам того не зная, своей последней фразой вывел первую причину моего скептического отношения к практическим реализациям DLP-решений - "стрельба по хвостам". Для того, чтобы понять ее смысл, расшифруем термин DLP: Data Leakage (Loss) Prevention, Предотвращение Утечки (Утери) Данных. Не буду вдаваться в рассуждения о том, что такое "Утеря" и насколько уместен этот термин: ключевое слово здесь - "Предотвращение", то есть буква P. В описанной ситуации друг-босс сетует на отсутствие толка, и это правда: ведь никакого P не было, в лучшем случае произошло D - Detection, то есть обнаружение.

Первое, что лично у меня ассоциируется с терминами Detection-Prevention - слова Intrusion и System, хорошо знакомые всем ИБ-шникам-сетевикам. Суперпопулярные, используемые практически повсеместно системы обнаружения атак различных форматов достаточно быстро завоевали сердца защитников информации, прежде всего своей эффективностью. Всем известен их принцип работы: трафик контролируемого канала "хватается" целиком и "разгребается" апплайенсом во времени, близком к реальному.

IPS никогда не приобрели бы такой бешеной популярности, если бы характер анализируемых данных и глобальность предотвращаемых угроз не позволяли использовать механизм сигнатурного анализа. Все просто: "белые" хакеры, нанятые фирмой-производителем IPS (или создавшие собственную), на различных уровнях модели OSI/ISO изучают трафик, генерируемый известными поделками и распространенными действиями "черных" хакеров, определяют ключевые особенности вредоносного трафика, сопоставляют их с конкретным типом атаки и разрабатывают шаблон - то есть сигнатуру, с большой долей вероятности определяющую наличие аналогичной атаки в "живом" трафике потребителя.

История развития IPS тоже хорошо известна: долгое время они назывались IDS и работали на уровне не выше транспортного. Потом они научились "разгребать" верхние уровни модели OSI/ISO, появились первые IPS, и сравнительно недавно стали появляться различные корреляторы и сетевые комбайны, способные не только построить вектор атаки, но чуть ли не самостоятельно провести технический анализ инцидента. Тем не менее, в подавляющем большинстве случаев, что мне доводилось видеть - мощные, современные и высокопроизводительные устройства, способные прихлопнуть миллион врагов в секунду чуть только один из них начал помышлять о зле, работают в режиме "старых добрых" IDS. Главным "тормозом" прогресса являются потребители трафика, которые панически боятся утери данных в результате неконтролируемого воздействия "автомата" на проходящий сквозь него "боевой" канал. Те же, кто отвечают за работу "автомата", не могут дать стопроцентной гарантии отсутствия подобной ситуации, и предпочитают не спорить: работает, показывает - и хорошо (спасибо что дали денег).

С точки зрения сигнатурного анализа, с DLP ситуация несколько иная: система должна принять решение о наличии "атаки" (то бишь "утечки";) на верхнем уровне модели OSI/ISO, а то и выше - добраться до содержания, сопоставив его с имеющимися "паттернами" попытаться понять его смысл, принять решение о наличие "утечки" и "зарубить" содержащие месседж пакеты до того, как они вышли за пределы контролируемой зоны и попали супостату. Первая проблема заключается именно в понимании смысла содержания - машина, все-таки, не человек, и поэтому пользователь системы должен потратить много сил, средств и смекалки для того, чтобы научить ее хоть какой-то автоматизации.

Любой пилотный проект по внедрению DLP-системы проходит "на ура", если у пользователя есть определенные конфиденциальные документы с известной структурой и общими словами в содержании - например, презентация, содержащая стратегический бизнес-план, формат (да и содержание, по сути) которой каждый сезон не меняется: научить машину распознавать такие данные и выдавать "алерты" - проще пареной репы.

Совсем плохо, когда у потребителя нет ничего. Хотя для интегратора, внедряющего DLP, это хорошо - ведь вместе с лицензиями, оборудованием и настройкой самой системы клиент покупает и кучу организационных мероприятий, включая оценку рисков, разработку перечня защищаемой информации, закрытие каналов, которые DLP не способна контролировать и многое, многое другое, что в совокупности стоит едва ли не больше, чем вся система. Вот только далеко не каждый потребитель располагает таким бюджетом и временем на его освоение.

Однако самый сложный для интегратора случай - когда у пользователя, плюсом к нескольким документам, имеется, например, "Перечень сведений, составляющих коммерческую тайну" где, как правило, приведены нечеткие формулировки вроде "сведения о контрагентах и коммерческой деятельности с ними". Какие могут быть здесь варианты? Первый, самый очевидный - составлять паттерны вроде "скажи цену закупа". Второй - использовать хитроумные поисковые приемы, дающие видимость "эвристического" (по аналогии с антивирусом) анализа контента по принципу "знаю, что здесь что-то есть, но не знаю что", требующий куда больше ресурсов - как людских (настройка системы) так и машинных (время на анализ контента), видимо поэтому случаи применения его в "боевом режиме" мне не встречались - это очень большая редкость.

Ну хорошо - скажете вы, шут с ней, с эвристикой, но документы-то мы сможем ловить и блокировать? Или анализировать контент по примитивным паттернам и блокировать его? Конечно, сможем. Но сразу всплывет вторая проблема - нечеткое определение "доверенной зоны". В случае с IPS, установленной на границе сегмента сети в точке обмена трафиком, все просто: с одного края - потенциальные враги, с другого - потенциальные друзья. В случае с DLP такого не наблюдается: есть источник, есть получатель, есть движение чувствительного контента от первого ко второму, но как определить, санкционированная это операция или нет?

Я полагаю, вы, дорогие читатели, уже поняли, во что упирается пользователь: в разработку матрицы доступа вида "субъект (сотрудник, устройство, адрес, направление)" - "информация", причем последняя должна быть детализирована до такой степени, чтобы количество ложных алертов могло быть снижено до приемлемого уровня. И ладно, если это социальные сети - а почта, а флешки, а принтеры, наконец? Для того, чтобы эту проблему решить, у пользователя есть два варианта: первый - потратить в разы больше денег и времени, второй - нанять армию контролеров, в реальном времени отслеживающих алерты и принимающих решения за систему. Как думаете, по какому пути пойдет пользователь? Конечно же, по пути наименьшего сопротивления - просто-напросто "забьет".

Критики скажут: все это ерунда, ведь может же DLP - другой вопрос, что никто не использует! С технологической точки зрения - безусловно, что-то и может. Но, смею напомнить, что мы рассматриваем практическое применение, а потому - любая неиспользуемая возможность на практике означает ее отсутствие. И даже если бы вендоры разработали чудо-механизм, учитывающий все описанные выше недостатки и позволяющий в режиме реального времени эффективно блокировать утечки, возникает третья проблема - та самая "тайна", о которой я говорил в начале. Тайна, обусловленная практическим отсутствием легальных оснований использования "этих" средств и трудностями легализации материалов, полученных при помощи "этих" средств .

Именно благодаря трем проблемам, имея в своем распоряжении, в общем-то, неплохие решения, безопасники вынуждены "стрелять по хвостам" - за что сами эти решения получают первый, заслуженный "минус один" к их практическому применению. Но не все так плохо: забегая вперед скажу, что в следующих частях этого опуса мы с вами, дорогие читатели, закрыв глаза на некоторые вещи попытаемся отыскать и плюсы, а потом прикинем, к чему эти плюсы приводят. Ну и конечно, я обязательно поведаю о том, что стало с моими "дружбанами", о которых я рассказывал в начале.

Продолжение следует...
или введите имя

CAPTCHA