На SecurityLab недавно была опубликована статья Goodbye DLP . Статья интересная, про то, что DLP-системы как класс неизбежно теряют актуальность в силу развития технологий передачи данных, "размытию" периметра организации, невозможности использования DLP по прямому назначению (в "разрыв") и о том, что DLP сама несет в себе угрозу для конфиденциальности защищаемой в организации информации. Эти мысли приходили и в мою голову, и с автором согласен в том, что DLP требует существенного развития для того, чтобы быть (оставаться) эффективным средством предотвращения утечек. Но пока не все так печально.
name='more'> Касательно отсутствия собственно предотвращения утечек:"Пройдя по всем подводным камням администраторы DLP систем в итоге приходят к конфигурации «без предотвращения утечек информации», которая ставит DLP-систему в не - DLP режим". Сама по себе DLP включенная в "прозрачном" режиме действительно не предотвратит никаких утечек. Отлов же с помощью нее ряда злодеев общий фон безответсвенности к обеспечению информационной безопасности значительно снизит ( повысит культуру ИБ :). Потому не могу согласиться, что DLP включенная "не в разрыв" не предотвращает утечки - возможно, не предотвращает текущие, зато предотвращает много будущих. Только DLP (как и любым инструментом) необходимо правильно пользоваться.
Хотя режим блокировки у нас не совсем "заброшен" - в небольшом количестве случаев мы его все-таки используем. Проблема в том, что "...средствами DLP можно контролировать некоторые каналы связи, однако далеко не все." Вот это - очень неприятный момент. Каково было мое удивление, когда загрузка файлов с конфиденциальной информацией на один сервис, на который ранее их загрузить в (силу блокировки DLP) было невозможно, стала проходить... Развиваются не только технологии, позволяющие обходить "блок" но и появляется множество невидимых (или не анализируемых) для DLP технологий передачи данных (или несовместимых с включенной DLP-системой, но необходимых для нормального функционирования ряда бизнес-процессов).
С чем-то справляются вендоры, выпуская очередную сборку. С чем-то можно бороться обходными и костыльными решениями (но система костылей, как известно, обладает критической массой, преодоление которой запускает необратимую цепную реакцию). А где-то - принять наличие неконтролируемого канала... В конце концов, всегда есть неконтролируемые каналы - другое дело, что они становятся более доступными, требующими меньших компетенция для использования...
"Производители стараются наделить их другими, полезными, но не свойственными DLP функциями, при этом основной функционал систем потребителю использовать не удается – утечку можно обнаружить, но не предотвратить" Проблемы здесь (с учетом того, что и в "прозрачном" режиме эффект по снижению утечек - значительный) я не вижу. Некоторые современные антивирусы также выполняют несвойственные им функции (например, контроль запуска приложений или шифрование или даже MDM). А современные межсетевые экраны обладают также изначально несвойственным им функционалом (и называются соответственно). Это нормальный (даже правильный) процесс, до тех пор, пока продукт выполняет свою основную функцию.
Выполнение же основной функции постепенно затрудняется. "DLP-системы будут довольствоваться небольшим количеством контролируемых каналов передачи данных или наконец то перейдут на другой уровень и будут находить потенциальных нарушителей и потенциально-конфиденциальную информацию путем анализа неких вторичных признаков?" Кто-то из вендоров декларирует, что у них реализован поиск аномального поведения пользователей (обзывая это BigData-аналитикой). В целом инструмент полезный, но не дает полной картины. Для полноты анализа к текущему функционалу DLP следует добавить еще и анализ обращений к файлам, папкам и записям БД, а также анализ запускаемых приложений и сервисов. Такие продукты уже есть - их интеграция с сегодняшними DLP (или реализация в сегодняшних DLP такого функционала) видится мне правильным направлением развития. Я за всякие "плюшки" типа краулера (хотя пока мне ни один особо не нравится, но его не особо развивают, т.к. показ заказчику краулер не особо интересен... есть у меня мысли по тому как должны выглядеть результат работы краулера, чтобы это положение дел изменилось - как-нибудь соберусь и опубликую).
Что касается DLP-системы как цели атаки: "У меня нет данных о случаях проникновения в корпоративную сеть с целью добраться до DLP-системы, однако насколько она реально защищена?". Действительно, особенно при широком использование краулера и длительном хранение архива, он (архив) становится весьма лакомым кусочком... если еще учесть, что информация в нем отлично классифицирована по типам конфиденциальных данных... Пока про взлом DLP тоже не слышал, но все бывает в первый раз.
Резюмирую. У всех DLP-систем сейчас есть проблемы, они уже справляются не со всеми потребностями. Концептуального "скачка" пока не произошло, механизмы анализа трафика похожи у разных вендоров и не учитывая поведение пользователя как при передаче данных (за исключением некоторых попыток реагирования на необычно большой трафик и т.п.) так и на другие действия, не связанные с передачей данных, но "похожие" на подготовку к такой передаче (возможно, по каналам, которые DLP вообще не контролирует). Возможно, DLP научаться и за пределами корпоративной сети и с личных устройств оценивать поведение пользователя... кто знает, может в некотором будущем будут не только базы кредитных историй, но и исполнительных производств, но и базы активности в интернете. Как в лингвистической антиутопии :)
