Автор Анна Евкова
Преподаватель который помогает студентам и школьникам в учёбе.

Принципы построения и функционирования DLP-систем (Мировой DLP-рынок)

Содержание:

Введение

Бурное развитие средств вычислительной техники, автоматизированных информационных систем, появление новых информационных технологий в нашей стране сопровождается, к сожалению, и появлением таких малоприятных явлений, как промышленный шпионаж, компьютерная преступность и, прежде всего, несанкционированный доступ (НСД) к конфиденциальной информации. Этим обуславливается актуальность и значимость проблемы защиты информации.

Острая необходимость в защите информации нашла выражение в создании Государственной системы защиты информации (ГСЗИ). Развивается правовая база информационной безопасности. Приняты и введены в действие законы «О государственной тайне», «Об информации, информатизации и защите информации», «О правовой охране программ для электронных вычислительных машин и баз данных» и др. Целями защиты информации являются: предотвращение ущерба, возникновение которого возможно в результате утери (хищения, утраты, искажения, подделки) информации в любом ее проявлении; реализация адекватных угрозам безопасности информации мер защиты в соответствии с действующими Законами и нормативными документами по безопасности информации (приложение 1), потребностями владельцев (пользователей) информации. «Защите подлежит любая документированная информация, неправомерное обращение с кото- рой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу».

Любое современное предприятие, независимо от вида деятельности и форм собственности, не может сегодня успешно развиваться и вести хозяйственную и иную деятельность без создания надежной системы защиты своей информации, включающейтехнические средства контроля безопасности информации при ее обработке, хранении и передаче в автоматизированных системах (АС), прежде всего, программно-аппаратные.

Что такое DLP-системы?

Общепринятых расшифровок термина DLP несколько: DataLossPrevention, DataLeakPrevention или DataLeakageProtection, что можно перевести на русский как «предотвращение потери данных», «предотвращение утечки данных», «защита от утечки данных». Этот термин получил широкое распространение и закрепился на рынке примерно в 2006 году. А первые DLP‑системы возникли несколько раньше именно как средство предотвращения утечки ценной информации. Они были предназначены для обнаружения и блокирования сетевой передачи информации, опознаваемой по ключевым словам или выражениям и по заранее созданным цифровым «отпечаткам» конфиденциальных документов.

Дальнейшее развитие DLP‑систем определялось инцидентами, с одной стороны, и законодательными актами государств, с другой. Постепенно, потребности по защите от различных видов угроз привели компании к необходимости создания комплексных систем защиты. В настоящее время, развитые DLP‑продукты, кроме непосредственно защиты от утечки данных, обеспечивают защиту от внутренних и даже внешних угроз, учёт рабочего времени сотрудников, контроль всех их действий на рабочих станциях, включая удалённую работу.

При этом, блокирование передачи конфиденциальных данных, каноническая функция DLP-систем, стала отсутствовать в некоторых современных решениях, относимых разработчиками к этому рынку. Такие решения подходят исключительно для мониторинга корпоративной информационной среды, но в результате манипуляции терминологией стали именоваться DLP и относиться в этому рынку в широком понимании.

В настоящее время основной интерес разработчиков DLP-систем сместился в сторону широты охвата потенциальных каналов утечки информации и развитию аналитических инструментов расследования и анализа инцидентов. Новейшие DLP-продукты перехватывают просмотр документов, их печать и копирование на внешние носители, запуск приложений на рабочих станциях и подключение внешних устройств к ним, а современный анализ перехватываемого сетевого трафика позволяет обнаружить утечку даже по некоторым туннелирующим и зашифрованным протоколам.

Помимо развития собственной функциональности, современные DLP‑системы предоставляют широкие возможности по интеграции с различными смежными и даже с конкурирующими продуктами. В качестве примеров можно привести распространённую поддержку протокола ICAP, предоставляемого прокси‑серверами и интеграцию модуля DeviceSniffer, входящего в  «Контур информационной безопасности SearchInform», с LumensionDeviceControl. Дальнейшее развитие DLP‑систем ведет к их интеграции с IDS/IPS-продуктами, SIEM‑решениями, системами документооборота и защите рабочих станций.

DLP‑системы различают по способу обнаружения утечки данных:

  • при использовании (Data-in‑Use) — на рабочем месте пользователя;
  • при передаче (Data-in‑Motion) — в сети компании;
  • при хранении (Data-at‑Rest) — на серверах и рабочих станциях компании.

DLP‑системы могут распознавать критичные документы:

  • по формальным признакам — это надёжно, но требует предварительной регистрации документов в системе;
  • по анализу содержимого — это может давать ложные срабатывания, но позволяет обнаруживать критичную информацию в составе любых документов.

Со временем, изменились и характер угроз, и состав заказчиков и покупателей DLP‑систем. Современный рынок предъявляет к этим системам следующие требования:

  • поддержка нескольких способов обнаружения утечки данных (Datain‑Use, Data -in‑Motion, Data-at‑Rest);
  • поддержка всех популярных сетевых протоколов передачи данных: HTTP, SMTP, FTP, OSCAR, XMPP, MMP, MSN, YMSG, Skype, различных P2P‑протоколов;
  • наличие встроенного справочника веб-сайтов и корректная обработка передаваемого на них трафика (веб-почта, социальные сети, форумы, блоги, сайты поиска работы и т.д.);
  • желательна поддержка туннелирующих протоколов: VLAN, MPLS, PPPoE, и им подобных;
  • прозрачный контроль защищенных SSL/TLS протоколов: HTTPS, FTPS, SMTPS и других;
  • поддержка протоколов VoIP‑телефонии: SIP, SDP, H.323, T.38, MGCP, SKINNY и других;
  • наличие гибридного анализа — поддержки нескольких методов распознавания ценной информации: по формальным признакам, по ключевым словам, по совпадению содержимого с регулярным выражением, на основе морфологического анализа;
  • желательна возможность избирательного блокирования передачи критически важной  информации по любому контролируемому каналу в режиме реального времени;
  • избирательного блокирования (для отдельных пользователей, групп или устройств);
  • желательна возможность контроля действий пользователя над критичными документами: просмотр, печать, копирование на внешние носители; желательна возможность контролировать сетевые протоколы работы с почтовыми серверами MicrosoftExchange (MAPI), IBM LotusNotes, Kerio, MicrosoftLync и т.д. для анализа и блокировки сообщений в реальном времени по протоколам: (MAPI, S/MIME, NNTP, SIP и т.д.);
  • желателен перехват, запись и распознавание голосового трафика: Skype, IP-телефония, MicrosoftLync;
  • наличие модуля распознавания графики (OCR) и анализа содержимого;
  • поддержка анализа документов на нескольких языках;
  • ведение подробных архивов и журналов для удобства расследования инцидентов;
  • желательно наличие развитых средств анализа событий и их связей;
  • возможность построения различной отчётности, включая графические отчеты.

Благодаря новым тенденциям в развитии информационных технологий, становятся востребованными и новые функции DLP‑продуктов. С широким распространением виртуализации в корпоративных информационных системах появилась необходимость её поддержки и в DLP‑решениях. Повсеместное использование мобильных устройств как инструмента ведения бизнеса послужило стимулом для возникновения мобильного DLP. Создание как корпоративных так и публичных «облаков» потребовало их защиты, в том числе и DLP‑системами. И, как логичное продолжение, привело к появлению «облачных» сервисов информационной безопасности (securityas a service — SECaaS).

Принцип функционирования DLP-систем

Современная система защиты от утечки информации, как правило, является распределённым программно‑аппаратным комплексом, состоящим из большого числа модулей различного назначения. Часть модулей функционирует на выделенных серверах, часть — на рабочих станциях сотрудников компании, часть — на рабочих местах сотрудников службы безопасности.

Выделенные сервера могут потребоваться для таких модулей как база данных и, иногда, для модулей анализа информации. Эти модули, по сути, являются ядром и без них не обходится ни одна DLP‑система.

База данных необходима для хранения информации, начиная от правил контроля и подробной информации об инцидентах и заканчивая всеми документами, попавшими в поле зрения системы за определённый период. В некоторых случаях, система даже может хранить копию всего сетевого трафика компании, перехваченного в течение заданного периода времени.

Модули анализа информации отвечают за анализ текстов, извлечённых другими модулями из различных источников: сетевой трафик, документы на любых устройствах хранения информации в пределах компании. В некоторых системах есть возможность извлечения текста из изображений и распознавание перехваченных голосовых сообщений. Все анализируемые тексты сопоставляются с заранее заданными правилами и отмечаются соответствующим образом при обнаружении совпадения.

Для контроля действий сотрудников на их рабочие станции могут быть установлены специальные агенты. Такой агент должен быть защищён от вмешательства пользователя в свою работу (на практике это не всегда так) и может вести как пассивное наблюдение за его действиями, так и активно препятствовать тем из них, которые пользователю запрещены политикой безопасности компании. Перечень контролируемых действий может ограничиваться входом/выходом пользователя из системы и подключением USB‑устройств, а может включать перехват и блокировку сетевых протоколов, теневое копирование документов на любые внешние носители, печать документов на локальные и сетевые принтеры, передачу информации по Wi‑Fi и Bluetooth и много другое. Некоторые DLP-системы способны записывать все нажатия на клавиатуре (key‑logging) и сохранять копий экрана (screen‑shots), но это выходит за рамки общепринятых практик.

Обычно, в составе DLP-системы присутствует модуль управления, предназначенный для  мониторинга работы системы и её администрирования. Этот модуль позволяет следить за работоспособностью всех других модулей системы и производить их настройку.

Для удобства работы аналитика службы безопасности в DLP-системе может быть отдельный модуль, позволяющий настраивать политику безопасности компании, отслеживать её нарушения, проводить их детальное расследование и формировать необходимую отчётность. Как ни странно, при прочих равных именно возможности анализа инцидентов, проведения полноценного расследования и отчетность выходят на первый план по важности в современной DLP-системе.

Типовая схема функционирования современных DLP-систем:

../../../Downloads/image001.png

Рис.1

Можно выделить 3 основных подсистемы DLP-систем: 

1) Средства перехвата информации, передаваемой по внешним каналам (за пределы защищаемой автоматизированной системы). К данной категории относятся драйверы для контроля вывода информации на печать, драйвера для контроля подключаемых устройств, межсетевые экраны, контролирующие сетевой трафик и т.д. 

2) Категоризатор, составляющий ядро DLP-системы. Его работа заключается в анализе передаваемой информации, в результате которого однозначно определяется категория (степень конфиденциальности информации). Процесс определения категории и конфиденциальности информации на основе смысловой близости принято называть категоризацией информации

3) Средства реагирования и регистрации. На основании определенной категоризатором степени конфиденциальности DLP-система реагирует в соответствии с системными настройками - производится блокирование передачи конфиденциальной информации, либо производится оповещение (сигнализация) администратора безопасности о несанкционированной передаче (утечке) информации.

Типовая схема работы категоризатора DLP-системы:

../../../Downloads/image002.png

Рис.2

Выделим основные элементы категоризатора: 

1) Словари категорий предметной области предназначены для категорирования информации по нахождению в анализируемом тексте определенного количества слов из словаря определенной категории. При создании словарей необходимо привлечение специалистов по лингвистическому анализу. 

2) Анализатор - ключевой элемент категоризатора, проводящий поиск в анализируемом тексте ключевых слов по словарям для определения принадлежности к той или иной категории. Современные DLP-системы предлагают для повышения эффективности поиска ввод весовых коэффициентов для отдельных ключевых слов в словаре. При анализе используются статистические и вероятностные методы. Как правило, используется метод Байеса для подсчета вероятности того, что анализируемый текст относится к определенной категории. Чаще всего анализ сводится, в лучшем случае, к поиску в тексте ключевых слов по тематическому словарю и категорированию с помощью байесовского метода по заранее установленным весовым коэффициентам. 

3) Обработчик результатов предназначен для обработки и вывода результатов работы категоризатора информации. Выделение данного элемента обусловлено тем, что возможна ситуация, когда анализируемый текст будет отнесен сразу к нескольким категориям. В этом случае обработчик результатов и должен обеспечить гибкую логику работы в зависимости от пользовательских настроек.

Оценку эффективности будем производить по следующим критериям: 

  1. количество ложных срабатываний или ложных тревог (ошибки первого рода); 
  2. пропущенные (необнаруженные) утечки информации (ошибки второго рода); 
  3. трудоемкость (быстродействие) DLP-системы. 

Высокое количество ложных срабатываний - главная проблема описанной выше схемы. Это связано со сложностями при работе с отдельными словами естественного языка. Зачастую отдельные слова могут затрагивать совершенно разные категории информации. Чаще всего администратору DLP-систем приходится вручную разбирать огромное количество информации, по ошибке попавшей в защищаемые информационные категории. Метод Байеса, часто применяемый в данной схеме, также приводит к ложным срабатываниям. При его применении исходят из независимости появления слов в тексте, что в корне неверно. 

Количество необнаруженных утечек для данной схемы теоретически должно быть небольшим, но при некорректной настройке словарей категорий оно может резко возрасти (например, администратор DLP-системы может «облегчить» себе работу и уменьшить количество ложных срабатываний, удалив значительное количество слов из словаря категории). 

Таким образом, при приемлемой трудоемкости описанная выше типовая DLP-система дает недопустимый высокий процент ошибок и в целом является (оказывается) неэффективной. Основная причина этого - высокая размерность задачи категорирования. 

Анализ показал, что наиболее перспективное направление повышения эффективности таких систем - использование семантической информации, имеющейся в тексте. Предлагается двухступенчатая обработка информации. На первом шаге производится категоризация на основе тезауруса текста. В случае если анализ текста с применением тезаурусов дает отрицательный результат, то дальнейший анализ не производится. 

На следующем шаге, в процессе работы генератор создает онтологию анализируемого текста и передает ее анализатору, который производит процедуру сравнения с онтологией предметной области. 

Предлагаемый метод позволяет существенно снизить размерность задачи (а, соответственно, и ее трудоемкость) и создавать на его основе DLP-системы, эффективно использующие семантику текста для поиска в нем защищаемой информации.

Основная проблема внедрения - это, как правило, отсутствие классификации данных. Поэтому на первом этапе внедрения система DLP должна проработать в организации в режиме мониторинга до полугода. В этом режиме на базе преднастроенных в соответствии с типом предприятия (промышленные предприятия, медицинские или образовательные учреждения) политик безопасности система может помочь выявить места хранения и способы обработки и передачи конфиденциальной информации.

Для финансовых организаций, которые на текущий момент являются основными потребителями DLP-решений, проблема с классификацией данных нивелируется уже имеющимися в наличии достаточно качественными преднастроенными политиками, предоставляемыми производителями DLP-решений.

После принятия решения о завершении этапа мониторинга, система переводится в режим либо уведомления пользователей и сотрудника безопасности, и/или в режим блокирования передачи конфиденциальной информации.

Когда система DLP работает в режиме мониторинга, то количество ложных срабатываний в силу отсутствия адаптации политик может насчитывать тысячи. Постепенно применяемые политики безопасности настраиваются в соответствии с реальными потребностями и возможностями организации таким образом, чтобы уже в режиме уведомления, а в дальнейшем и блокировки, количество ложных срабатываний не было "зашкаливающим" и система реагировала только на конфиденциальную информацию. 

Таким образом, полный цикл внедрения решения может занять около года в случае крупной организации. 

Метод повышения эффективности DLP-систем

По сравнению с известными методами использование онтологий дает следующие преимущества: 

1) масштабируемость - количество документов в базе защищаемой информации не существенно влияет на время работы алгоритма; 

2) сокращение «концептуального несоответствия», т.к. онтология является инструментом, работающим приближенно к человеческому способу мышления; 

3) упрощение повторного использования знаний - использование уже определенных в других онтологиях понятий, соответственно возможно использовать уже существующие для данной предметной области онтологий; 

4) «семантическая эффективность» - при сравнении семантики текста и онтологии предметной области возможно добиться наибольшей точности в категорировании и существенно снизить количество ложных срабатываний; 

5) готовый набор средств для создания (использования существующих) онтологий и задания правил анализа - существующие редакторы онтологий (например, Protege) предоставляют удобный инструментарий для создания и редактирования онтологий предметной области. 

Основным недостатком применения онтологий является значительная ресурсоемкость (трудоемкость системы). 

Для снижения трудоемкости целесообразно использовать категоризацию по словарям (тезаурусам) смысловых категорий, предложенную и описанную ниже. 

Рассмотрим предлагаемую схему онтологического категоризатора:

../../../Downloads/image003.png

Рис.3

Выделим основные элементы категоризатора: 

1) Генератор онтологии анализируемого текста (документа). Генератор в автоматическом режиме разбирает анализируемый текст и строит онтологию, отражающую семантику текста. Заметим, что построение онтологии должно вестись по тем же правилам, что и построение онтологии предметной области; 

2) Анализатор - проводит сравнение между онтологией анализируемого текста и онтологией предметной областью для определения принадлежности той или иной категории. Для ускорения анализа используются тезаурусы категорий, определяющие, к какой категории точно не относится анализируемый текст. Подробно алгоритм работы анализатора будет описан ниже. 

3) Обработчик результатов предназначен для обработки и вывода результатов работы онтологического категоризатора. 

4) Онтология анализируемого текста создается для дальнейшего семантического анализа текста. 

5) Онтология предметной области создается до ввода в эксплуатацию DLP-системы. В ее создании принимают участие специалисты предприятия, где будет внедряться DLP-система - эксперты по информационной безопасности и специалисты по защищаемым предметным областям. Для создания онтологии используется тот же алгоритм, который применяется для автоматической генерации онтологии анализируемого текста. Разница в том, что создание онтологии предметной области - более сложный и трудоемкий процесс, требующий ручного ввода и участия группы экспертов. Правила, заданные в процессе создания онтологии предметной области, будут применяться затем в автоматической генерации. Наборы правил должны однозначно определять условия отношения к той или иной категории. Онтологии, как правило, определяются триплетами: 

[A, p, B] , где A - субъект, p - предикат, B- объект. 

В качестве триплета можно привести пример. В анализируемом тексте содержатся сведения о некоем изделии С456, в частности приводится его состав. В процессе автоматической генерации онтологии текста появляются триплеты вида [«Изделие С456», contains, «часть Х»]. Если в онтологии предметной области будет обозначено, что данная информация является конфиденциальной, то DLP-система должна отреагировать соответственно. 

6) Тезаурусы категорий. Для каждой из категорий информации до начала работы системы должен быть создан специальный словарь терминов (групп терминов) - так называемый тезаурус категории, который должен определить возможность отнесения текста к данной категории. Соответственно, если по тезаурусу определяется, что текст не относится к какой-либо категории, дальше в алгоритме категория не рассматривается. Тезаурусы также используются при создании онтологии анализируемого текста. 

Одна из основных особенностей предлагаемого метода - совместное использование онтологий и тезаурусов. Это необходимо для достижения основной цели метода - снижение при анализе количества ошибок и трудоемкости. 

Для уменьшения вероятности появления ошибок второго рода предлагается применить тезаурусы категорий, определяющие набор категорий, к которым может быть отнесен текст. Затем, для каждой из категорий, определенных выше, проводится сравнение онтологий текста и предметной области. Эта процедура предназначена для устранения ошибок первого рода. Последовательность применения онтологических методов связана с двумя факторами: 

1) Быстродействие обработки информации с использованием словарей существенно выше, чем при сравнении онтологий; 

2) Использование одних только тезаурусов приводит к большому количеству ошибок первого рода, т.е. к ложным срабатываниям. 

Интеграция работы DLP-системы в единый алгоритм с использованием онтологий и тезаурусов позволяет существенно увеличить скорость работы системы и снизить вероятность появления ошибок. 

Рассмотрим более подробно алгоритм работы анализатора: 

1) Осуществляется поиск терминов тезауруса каждой категории в анализируемом тексте. Предположим, что общее количество категорий равно k. В процессе поиска по тезаурусам установлено, что текст может соответствовать n категориям. Соответственно будем считать, что оставшимся k-n категориям текст не соответствует. Таким образом, в случае k=n уже на данном этапе алгоритм может быть остановлен и принимается решение об отсутствии конфиденциальной информации. 

2) По оставшимся n категориям проводится сравнение онтологии текста и той части онтологии, которая соответствует категории с 1 до n, т.е. процедура сравнения проводится n раз. Сравнение подразумевает запросы по каждому из правил онтологии предметной области, заданного для данной категории. При обнаружении совпадений происходит сопоставление текста соответствующей категории. 

3) После завершения работы (завершения анализа по всем категориям) полученные результаты отправляются на обработку. 

Предлагаемый метод позволяет существенно снизить размерность задачи (а, соответственно, и ее трудоемкость) и создавать на его основе DLP-системы, эффективно использующие семантику текста для поиска в нем защищаемой информации.

Мировой DLP-рынок

Рынок DLP‑систем начал формироваться уже в этом веке. Как было сказано в начале статьи, само понятие «DLP» распространилось примерно в 2006 году. Наибольшее число компаний, создававших DLP‑системы, возникло в США. Там был наибольший спрос на эти решения и благоприятная обстановка для создания и развития такого бизнеса.

Почти все компании, начинавшие создание DLP-систем и добившиеся в этом заметных успехов, были куплены или поглощены, а их продукты и технологии интегрированы в более крупные информационные системы. Например, Symantec приобрела компанию Vontu (2007), Websense — компанию PortAuthorityTechnologiesInc. (2007), EMC Corp. приобрела компанию RSA Security (2006), а McAfee поглотила целый ряд компаний: Onigma (2006), SafeBootHolding B.V. (2007), Reconnex (2008), TrustDigital (2010), tenCube (2010).

В настоящее время, ведущими мировыми производителями DLP‑систем являются: SymantecCorp., RSA (подразделение EMC Corp.), VerdasysInc, WebsenseInc. (в 2013 куплена частной компанией VistaEquityPartners), McAfee (в 2011 куплена компанией Intel). Заметную роль на рынке играют компании FidelisCybersecuritySolutions (в 2012 куплена компанией GeneralDynamics), CA Technologies и GTB Technologies. Наглядной иллюстрацией их позиций на рынке, в одном из разрезов, может служить магический квадрант аналитической компании Gartner на конец 2013 года (рисунок 4).

../../../Downloads/Magic-Quadrant-for-Content-Aware-Data-Loss-Prevention-G00253215%5B1%5D.png

Рис.4

В России рынок DLP‑систем стал формироваться почти одновременно с мировым, но со своими особенностями. Происходило это постепенно, по мере возникновения инцидентов и попыток с ними бороться. Первым в России в 2000 году начала разрабатывать DLP-решение компания «ИнфосистемыДжет» (сначала это был почтовый архив). Чуть позже в 2003 году был основан InfoWatch, как дочерняя компания «Лаборатории Касперского». Именно решения этих двух компаний и задали ориентиры для остальных игроков. В их число, чуть позже, вошли компании Perimetrix, SearchInform, DeviceLock, SecureIT (в 2011 переименованная в Zecurion). По мере создания государством законодательных актов, касающихся защиты информации (ГК РФ статья 857 «Банковская тайна», 395-1-ФЗ «О банках и банковской деятельности», 98-ФЗ «О коммерческой тайне», 143-ФЗ «Об актах гражданского состояния», 152-ФЗ «О персональных данных», и другие, всего около 50 видов тайн), возрастала потребность в инструментах защиты и рос спрос на DLP‑системы. И через несколько лет на рынок пришла «вторая волна» разработчиков: Falcongaze, «МФИ Софт», Trafica. Стоит отметить, что все эти компании имели наработки в области DLP намного ранее, но стали заменты на рынке относительно недавно. Например, компания «МФИ Софт» начала разработку своего DLP-решения еще в 2005 году, а заявила о себе на рынке только в 2011 году.

Ещё позже, российский рынок стал интересен и иностранным компаниям. В 2007-2008 годах у нас стали доступны продукты Symanteс, Websense и McAfee. Совсем недавно, в 2012, на наш рынок вывела свои решения компания GTB Technologies. Другие лидеры мирового рынка тоже не оставляют попыток прийти на российский рынок, но пока без заметных результатов. В последние годы российский DLP‑рынок демонстрирует стабильный рост  (свыше 40% ежегодно) в течение нескольких лет, что привлекает новых инвесторов и разработчиков. Как пример, можно назвать компанию Iteranet, с 2008 года разрабатывающую элементы DLP‑системы для внутренних целей, потом для корпоративных заказчиков. В в настоящий момент компания предлагает своё решение BusinessGuardian российским и зарубежным покупателям.

Сейчас российский рынок DLP‑систем ещё находится на стадии формирования и далёк от насыщения. Хотя, как было сказано выше, у заказчиков уже возникло понимание их потребностей и сформировался устойчивый список требований к DLP‑системам.

Сравнения DLP- систем

В качестве участников были выбраны наиболее популярные (по версии аналитического центра Anti-Malware.ru на середину 2013 года) на российском рынке информационной безопасности DLP-системы компаний InfoWatch, McAfee, Symantec, Websense, Zecurion и «ИнфосистемДжет».

Для анализа использовались коммерчески доступные на момент подготовки обзора версии DLP-систем, а также документация и открытые обзоры продуктов.

Критерии сравнения DLP-систем выбирались, исходя из потребностей компаний различного размера и разных отраслей. Под основной задачей DLP-систем подразумевается предотвращение утечек конфиденциальной информации по различным каналам.

Два основных режима работы DLP-систем – активный и пассивный. Активный – обычно основной режим работы, при котором происходит блокировка действий, нарушающих политики безопасности, например отправка конфиденциальной информации на внешний почтовый ящик. Пассивный режим чаще всего используется на этапе настройки системы для проверки и корректировки настроек, когда высока доля ложных срабатываний. В этом случае нарушения политик фиксируются, но ограничения на перемещение информации не налагаются (таблица 1).

../../../Downloads/Windows_IT_Pro_RE_52_(5704).jpg

Таблица 1

В данном аспекте все рассматриваемые системы оказались равнозначны. Каждая из DLP умеет работать как в активном, так и в пассивном режимах, что дает заказчику определенную свободу. Не все компании готовы начать эксплуатацию DLP сразу в режиме блокировки – это чревато нарушением бизнес-процессов, недовольством со стороны сотрудников контролируемых отделов и претензиями (в том числе обоснованными) со стороны руководства.

Технологии детектирования позволяют классифицировать информацию, которая передается по электронным каналам и выявлять конфиденциальные сведения. На сегодня существует несколько базовых технологий и их разновидностей, сходных по сути, но различных по реализации. Каждая из технологий имеет как преимущества, так и недостатки. Кроме того, разные типы технологий подходят для анализа информации различных классов. Поэтому производители DLP-решений стараются интегрировать в свои продукты максимальное количество технологий (см. таблицу 2).

../../../Downloads/Windows_IT_Pro_RE_53-2_(7265).jpg

Таблица 2

В целом, продукты предоставляют большое количество технологий, позволяющих при должной настройке обеспечить высокий процент распознавания конфиденциальной информации. DLP McAfee, Symantec и Websense довольно слабо адаптированы для российского рынка и не могут предложить пользователям поддержку «языковых» технологий – морфологии, анализа транслита и замаскированного текста.

Каждый канал передачи данных – это потенциальный канал утечек. Даже один открытый канал может свести на нет все усилия службы информационной безопасности, контролирующей информационные потоки. Именно поэтому так важно блокировать неиспользуемые сотрудниками для работы каналы, а оставшиеся контролировать с помощью систем предотвращения утечек.

Несмотря на то, что лучшие современные DLP-системы способны контролировать большое количество сетевых каналов (см. таблицу 3), ненужные каналы целесообразно блокировать. К примеру, если сотрудник работает на компьютере только с внутренней базой данных, имеет смысл вообще отключить ему доступ в Интернет.

../../../Downloads/Windows_IT_Pro_RE_54-2_(3770).jpg

Таблица 3

Аналогичные выводы справедливы и для локальных каналов утечки. Правда, в этом случае бывает сложнее заблокировать отдельные каналы, поскольку порты часто используются и для подключения периферии, устройств ввода-вывода и т. д.

Особую роль для предотвращения утечек через локальные порты, мобильные накопители и устройства играет шифрование. Средства шифрования достаточно просты в эксплуатации, их использование может быть прозрачным для пользователя. Но в то же время шифрование позволяет исключить целый класс утечек, связанных с несанкционированным доступом к информации и утерей мобильных накопителей.

Ситуация с контролем локальных агентов в целом хуже, чем с сетевыми каналами (см. таблицу 4). Успешно контролируются всеми продуктами только USB-устройства и локальные принтеры. Также, несмотря на отмеченную выше важность шифрования, такая возможность присутствует только в отдельных продуктах, а функция принудительного шифрования на основе контентного анализа присутствует только в Zecurion DLP.

../../../Downloads/Windows_IT_Pro_RE_54-3_(4928).jpg

Таблица 4

Для предотвращения утечек важно не только распознавание конфиденциальных данных в процессе передачи, но и ограничение распространения информации в корпоративной среде. Для этого в состав DLP-систем производители включают инструменты, способные выявлять и классифицировать информацию, хранящуюся на серверах и рабочих станциях в сети (см. таблицу 5). Данные, которые нарушают политики информационной безопасности, должны быть удалены или перемещены в безопасное хранилище.

../../../Downloads/Windows_IT_Pro_RE_55-2_(271).jpg

Таблица 5

Для выявления конфиденциальной информации на узлах корпоративной сети используются те же самые технологии, что и для контроля утечек по электронным каналам. Главное отличие – архитектурное. Если для предотвращения утечки анализируется сетевой трафик или файловые операции, то для обнаружения несанкционированных копий конфиденциальных данных исследуется хранимая информация – содержимое рабочих станций и серверов сети.

Из рассматриваемых DLP-систем только InfoWatch и «Дозор-Джет» игнорируют использование средств выявления мест хранения информации. Это не является критичной функцией для предотвращения утечки по электронным каналам, но существенно ограничивает возможности DLP-систем в отношении проактивного предотвращения утечек. К примеру, когда конфиденциальный документ находится в пределах корпоративной сети, это не является утечкой информации. Однако если место хранения этого документа не регламентировано, если о местонахождении этого документа не знают владельцы информации и офицеры безопасности, это может привести к утечке. Возможен несанкционированный доступ к информации или к документу не будут применены соответствующие правила безопасности.

Такие характеристики как удобство использования и управления могут быть не менее важными, чем технические возможности решений. Ведь действительно сложный продукт будет трудно внедрить, проект отнимет больше времени, сил и, соответственно, финансов. Уже внедренная DLP-система требует к себе внимания со стороны технических специалистов. Без должного обслуживания, регулярного аудита и корректировки настроек качество распознавания конфиденциальной информации будет со временем сильно падать.

Интерфейс управления на родном для сотрудника службы безопасности языке – первый шаг для упрощения работы с DLP-системой. Он позволит не только облегчить понимание, за что отвечает та или иная настройка, но и значительно ускорит процесс конфигурирования большого количества параметров, которые необходимо настроить для корректной работы системы. Английский язык может быть полезен даже для русскоговорящих администраторов для однозначной трактовки специфических технических понятий (см. таблицу 6).

../../../Downloads/Windows_IT_Pro_RE_55-3_(277).jpg

Таблица 6

Большинство решений предусматривают вполне удобное управление из единой (для всех компонентов) консоли c веб-интерфейсом (см. таблицу 7). Исключение составляют российские InfoWatch (отсутствует единая консоль) и Zecurion (нет веб-интерфейса). При этом оба производителя уже анонсировали появление веб-консоли в своих будущих продуктах. Отсутствие же единой консоли у InfoWatch обусловлено различной технологической основой продуктов. Разработка собственного агентского решения была на несколько лет прекращена, а нынешний EndPointSecurity является преемником продукта EgoSecure (ранее известного как cynapspro) стороннего разработчика, приобретенного компанией в 2012 году.

../../../Downloads/Windows_IT_Pro_RE_55-4_(965).jpg

Таблица 7

Еще один момент, который можно отнести к недостаткам решения InfoWatch, состоит в том, что для настройки и управления флагманским DLP-продуктом InfoWatchTrafficMonitor необходимо знание специального скриптового языка LUA, что усложняет эксплуатацию системы. Тем не менее, для большинства технических специалистов перспектива повышения собственного профессионального уровня и изучение дополнительного, пусть и не слишком ходового языка должна быть воспринята позитивно.

Разделение ролей администратора системы необходимо для минимизации рисков предотвращения появления суперпользователя с неограниченными правами и других махинаций с использованием DLP.

Архив DLP – это база данных, в которой аккумулируются и хранятся события и объекты (файлы, письма, http-запросы и т. д.), фиксируемые датчиками системы в процессе ее работы. Собранная в базе информация может применяться для различных целей, в том числе для анализа действий пользователей, для сохранения копий критически важных документов, в качестве основы для расследования инцидентов ИБ. Кроме того, база всех событий чрезвычайно полезна на этапе внедрения DLP-системы, поскольку помогает проанализировать поведение компонентов DLP-системы (к примеру, выяснить, почему блокируются те или иные операции) и осуществить корректировку настроек безопасности (см. таблицу 8).

../../../Downloads/Windows_IT_Pro_RE_55-5_(5540).jpg

Таблица 8

В данном случае мы видим принципиальное архитектурное различие между российскими и западными DLP. Последние вообще не ведут архив. В этом случае сама DLP становится более простой для обслуживания (отсутствует необходимость вести, хранить, резервировать и изучать огромный массив данных), но никак не для эксплуатации. Ведь архив событий помогает настраивать систему. Архив помогает понять, почему произошла блокировка передачи информации, проверить, сработало ли правило корректно, внести в настройки системы необходимые исправления. Также следует заметить, что DLP-системы нуждаются не только в первичной настройке при внедрении, но и в регулярном «тюнинге» в процессе эксплуатации. Система, которая не поддерживается должным образом, не доводится техническими специалистами, будет много терять в качестве распознавания информации. В результате возрастет и количество инцидентов, и количество ложных срабатываний.

Отчетность – немаловажная часть любой деятельности. Информационная безопасность – не исключение. Отчеты в DLP-системах выполняют сразу несколько функций. Во-первых, краткие и понятные отчеты позволяют руководителям служб ИБ оперативно контролировать состояние защищенности информации, не вдаваясь в детали. Во-вторых, подробные отчеты помогают офицерам безопасности корректировать политики безопасности и настройки систем. В-третьих, наглядные отчеты всегда можно показать топ-менеджерам компании для демонстрации результатов работы DLP-системы и самих специалистов по ИБ (см. таблицу 9).

../../../Downloads/Windows_IT_Pro_RE_56-3_(2700).jpg

Таблица 9

Почти все конкурирующие решения, рассмотренные в обзоре, предлагают и графические, удобные топ-менеджерам и руководителям служб ИБ, и табличные, более подходящие техническим специалистам, отчеты. Графические отчеты отсутствуют только в DLP InfoWatch, за что им и была снижена оценка.

Вопрос о необходимости сертификации для средств обеспечения информационной безопасности и DLP в частности является открытым, и в рамках профессиональных сообществ эксперты часто спорят на эту тему. Обобщая мнения сторон, следует признать, что сама по себе сертификация не дает серьезных конкурентных преимуществ. В то же время, существует некоторое количество заказчиков, прежде всего, госорганизаций, для которых наличие того или иного сертификата является обязательным.

Кроме того, существующий порядок сертификации плохо соотносится с циклом разработки программных продуктов. В результате потребители оказываются перед выбором: купить уже устаревшую, но сертифицированную версию продукта или актуальную, но не прошедшую сертификацию. Стандартный выход в этой ситуации – приобретение сертифицированного продукта «на полку» и использование нового продукта в реальной среде (см. таблицу 10).

../../../Downloads/Windows_IT_Pro_RE_56-4_(4043).jpg

Таблица 10

Результаты сравнения

Обобщим впечатления от рассмотренных DLP-решений. В целом, все участники произвели благоприятное впечатление и могут использоваться для предотвращения утечек информации. Различия продуктов позволяют конкретизировать область их применения.

DLP-система InfoWatch может быть рекомендована организациям, для которых принципиально важно наличие сертификата ФСТЭК. Впрочем, последняя сертифицированная версия InfoWatchTrafficMonitor проходила испытания еще в конце 2010 года, а срок действия сертификата истекает в конце 2013 года. Агентские решения на базе InfoWatchEndPointSecurity (известного также как EgoSecure) больше подходят предприятиям малого бизнеса и могут использоваться отдельно от TrafficMonitor. Совместное использование TrafficMonitor и EndPointSecurity может вызвать проблемы с масштабированием в условиях крупных компаний.

Продукты западных производителей (McAfee, Symantec, Websense), по данным независимых аналитических агентств, значительно менее популярны, нежели российские. Причина — в низком уровне локализации. Причем дело даже не в сложности интерфейса или отсутствии документации на русском языке. Особенности технологий распознавания конфиденциальной информации, преднастроенные шаблоны и правила «заточены» под использование DLP в западных странах и нацелены на выполнение западных же нормативных требований. В результате в России качество распознавания информации оказывается заметно хуже, а выполнение требований иностранных стандартов зачастую неактуально. При этом сами по себе продукты вовсе не плохие, но специфика применения DLP-систем на российском рынке вряд ли позволит им в обозримом будущем стать более популярными, чем отечественные разработки.

Zecurion DLP отличается хорошей масштабируемостью (единственная российская DLP-система с подтвержденным внедрением на более чем 10 тыс. рабочих мест) и высокой технологической зрелостью. Однако удивляет отсутствие веб-консоли, что помогло бы упростить управление корпоративным решением, нацеленным на различные сегменты рынка. Среди сильных сторон Zecurion DLP – высокое качество распознавания конфиденциальной информации и полная линейка продуктов для предотвращения утечек, включая защиту на шлюзе, рабочих станциях и серверах, выявление мест хранения информации и инструменты для шифрования данных.

DLP-система «Дозор-Джет», один из пионеров отечественного рынка DLP, широко распространена среди российских компаний и продолжает наращивать клиентскую базу за счет обширных связей системного интегратора «ИнфосистемыДжет», по совместительству и разработчика DLP. Хотя технологически DLP несколько отстает от более мощных собратьев, ее использование может быть оправдано во многих компаниях. Кроме того, в отличие от иностранных решений, «Дозор Джет» позволяет вести архив всех событий и файлов.

Заключение

Дальнейшее развитие DLP-продуктов идёт в направлении укрупнения и интеграции с продуктами смежных областей: контроль персонала, защита от внешних угроз, другие сегменты информационной безопасности. При этом, почти все компании работают над созданием облегчённых версий своих продуктов для малого и среднего бизнеса, где простота разворачивания DLP‑системы и удобство её использования важнее сложного и мощного функционала. Также, продолжается развитие DLP для мобильных устройств, поддержки технологий виртуализации и SECaaS в «облаках». С учётом всего сказанного, можно предположить, что бурное развитие мирового, и особенно российского DLP‑рынков, привлечёт и новые инвестиции и новые компании. А это, в свою очередь, должно привести к дальнейшему росту количества и качества предлагаемых DLP‑продуктов и услуг.

Список литературы

  1. Кумунжиев К.В., Зверев И.Н. МЕТОД ПОВЫШЕНИЯ ЭФФЕКТИВНОСТИ DLP-СИСТЕМЫ ПРИ СЕМАНТИЧЕСКОМ АНАЛИЗЕ И КАТЕГОРИЗАЦИИ ИНФОРМАЦИИ // Современные проблемы науки и образования. – 2014. – № 5.;
    URL: https://www.science-education.ru/ru/article/view?id=14741 (дата обращения: 25.10.2019).
  2. «Сравнение систем защиты от утечек (DLP)». Александр Панасенко. 
  3. «Каналы утечек конфиденциальной информации». Марат Давлетханов.
  4. Системы DLP - Who? What? Where? How? URL:http://www.topsbi.ru/default.asp?artID=1675 (дата обращения: 25.10.2019)
  5. Системы защиты от утечек (DLP). http://www.infokube.ru/index.php/products/categories/category/dlp (дата обращения 25.10.2019)