27 Февраля, 2015

Goodbye DLP

АБЦ
DLP-системы при их создании были предназначены для предотвращения утечек конфиденциальной информации из корпоративной сети организации. На момент создания DLP-систем каналов утечек было на порядки меньше, протоколы сервисов, организующих каналы, были значительно проще, да и мобильные устройства на тот момент не были так функциональны, чтобы их повсеместно использовать. Раньше это были передовые технологии…

Мало у нас в стране организаций достаточного уровня зрелости информационных процессов, где вся информация четко разделена на категории, DLP-система понимает какую конкретно информацию ей надо перехватывать, и в каждый момент времени DLP система идеально настроена в соответствии с меняющейся реальностью бизнес-процессов организации. На практике DLP-система порождает большое количество ложных срабатываний за счет нечеткого представления о конфиденциальной информации и попыток перехватить как можно больше чего-то похожего на такую информацию. Для эффективного определения степени конфиденциальности информации DLP система сначала должна ее перехватить, затем на основании чего-то с использованием имеющихся технологий проанализировать. Перехват информации, уходящей за периметр организации, сильно усложнили используемые мобильные устройства и проприетарные протоколы передачи данных. Для некоторых интернет-сервисов возможность перехвата информации стала практически невозможной ввиду использования современных протоколов защиты, не восприимчивых к атакам «Man in the middle» либо ввиду использования архаичных, но надежных симметричных ключей шифрования. DLP-агенты, которые в теории могут перехватить всё, работают не на всех ОС и не везде их возможно установить. Таким образом, средствами DLP можно контролировать некоторые каналы связи, однако далеко не все.

Технологии анализа информации оказалось развивать значительно проще, да и готовые решения появились на рынке, поэтому разнообразие аналитики в DLP пока привлекает клиентов. Если организация четко понимает, как надо анализировать информацию, количество ложных срабатываний системы DLP можно минимизировать. Каждое срабатывание системы надо обрабатывать вручную и сразу встает вопрос наличия группы операторов. Реалии российских компаний таковы, что мониторинг событий DLP производят специалисты подразделения информационной безопасности. Работа по вычитке передаваемой информации, в том числе и личной, и принятию решений, к сожалению, зачастую доверяется неопытным сотрудникам. Неопытный сотрудник может классифицировать конфиденциальную информацию только по формальным признакам, а из текста документа он вообще может не понять ни слова. В информации может разобраться сотрудник подразделения экономической безопасности, но насколько подобная система ему удобна? ЭБ нужен удобный и простой инструмент для расследований.

Стоит упомянуть еще об агентских технологиях DLP систем – программах, устанавливаемых на рабочих станциях пользователей. Агенты устанавливаются обычно достаточно просто, однако не всегда автоматически через домен Windows и не на все рабочие станции, часть агентов приходится устанавливать вручную. После установки агентов необходимо следить за их работой для предотвращения «зависания» рабочих станций после обновления другого корпоративного ПО или, например, во время теневого копирования большого количества информации.

Пройдя по всем подводным камням администраторы DLP систем в итоге приходят к конфигурации «без предотвращения утечек информации», которая ставит DLP-систему в не - DLP режим:
  •      Установка не в разрыв сети;
  •      Отказ от установки агентов на «критические» рабочие станции и сервера, а также рабочие станции руководителей;
  •      Мониторинг утечки лишь некоторых видов информации ввиду большого количества ложных срабатываний при добавлении правил.
Понимая общую проблему внедрения DLP-систем, производители стараются наделить их другими, полезными, но не свойственными DLP функциями, при этом основной функционал систем потребителю использовать не удается – утечку можно обнаружить, но не предотвратить.

Интеграторы до внедрения DLP должны проделать большую работу для обеспечения условий нормального функционирования DLP-системы. Однако объем такой работы, особенно в компаниях с разнородной информацией и неописанными бизнес-процессами, в компаниях без культуры обращения с конфиденциальной информацией, на порядок выше по трудоемкости и стоимости внедрения DLP.

Некоторые DLP-системы настолько усложнились и трансформировались, расширяя функционал, что непонятно уже «что во что встроено». Некоторые видимые в настоящее время векторы трансформации DLP:
  •      Интеграция со сторонними системами, способными расширить функции DLP-системы;
  •      Поиск конфиденциальных данных в сети организации;
  •      Проведение оперативных мероприятий на АРМ пользователей.
Уже сейчас интернет-сервисы постепенно переходят на достаточно надежные протоколы передачи данных, информацию из которых без наличия агентов на пользовательском устройстве практически невозможно извлечь. А что будет «завтра»?  DLP-системы будут довольствоваться небольшим количеством контролируемых каналов передачи данных или наконец то перейдут на другой уровень и будут находить потенциальных нарушителей и потенциально-конфиденциальную информацию путем анализа неких вторичных признаков?

Всем известно, что основные криптоалгоритмы математически достаточно стойкие ко взлому, однако есть обходные пути – атака на реализацию, ИК-анализ и т.д. Возможно, по аналогии, разработчикам DLP систем стоит рассмотреть вектором развития «Network Forensics», анализируя поведение пользователей в сети и выявляя потенциальных нарушителей по другим признакам. При таком подходе будет реальная возможность превентивно «предотвратить» утечку, а не «обнаружить» постфактум. Через несколько лет все основные сервисы будут использовать протоколы, защищающие информацию пользователей, и системам, подобным DLP, возможно будет работать только с метаданными либо с информацией, предоставленной штатным образом корпоративными сервисами или клиентами интернет-сервисов для анализа. Без серьезной трансформации DLP – тупиковая технология.

Давайте посмотрим, например, на DLP в госорганах с точки зрения среднего параноика. Сейчас мы устанавливаем DLP-системы с активной агентской технологией на компьютеры госслужащих. Даже если сама система проверена и сертифицирована, мы все же потенциально получаем очень удобную точку съема информации и перехвата управления рабочими станциями и серверами. Съема любой информации – и рабочей и личной. А можем получить и инструмент слежки за рабочим пространством сотрудника (микрофон и другие «возможности» DLP). У меня нет данных о случаях проникновения в корпоративную сеть с целью добраться до DLP-системы, однако насколько она реально защищена? Учитывая настоящие внешнеполитические тенденции, есть риски перехвата управления системой DLP, что может повлечь последствия сравнимые с раскрытием и управлением всей информацией, обрабатываемой внутри организации. Ровно те же риски у госкорпораций и системообразующих предприятий.

Внедрение DLP-системы в коммерческий банк, где она прекрасно отловит номера кредиток и другие формализованные данные можно разумно обосновать, но серьезным организациям лучше подумать о других рисках.