Гибридные DLP-системы

Сергей Сурков, директор по развитию "Микроолап Текнолоджис"

Что дает интеграция двух специализированных решений, в частности совмещение в гибридной DLP-системе Network DLP и Endpoint DLP?

Типизация DLP-систем

Чтобы разобраться в типах DLP-систем, нужно определиться с их компонентами, принципами действия, возможностями и назначением.

Основных компонента – два:

- Network DLP обеспечивает анализ всего сетевого трафика на уровне шлюза доступа в Интернет;

- Endpoint DLP – это агенты на рабочих станциях, а иногда и на мобильных устройствах.

Сейчас, когда рынок DLP уже сформировался, разные системы можно разделить на два класса в соответствии с методами их работы :

  • активные системы, предназначенные для предотвращения утечек данных. Метод их работы предполагает наличие четко формализованной политики ИБ в компании, чем, к сожалению, похвастать могут не многие;
  • пассивные системы, которые позволяют идентифицировать инцидент и оповещают заинтересованных лиц, но не предотвращают сами утечки. Это – более распространенная в России практика, так как она значительно ускоряет процесс внедрения DLP-системы, упрощает ее обслуживание и эксплуатацию.

Активные системы устанавливаются «в разрыв» между действиями пользователей и событием утечки информации, что позволяет блокировать передачу конфиденциальной информации, но значительно осложняет их использование. А из-за сложности формирования формализованной ИБ-политики применение активной системы зачастую создает ложную уверенность в надежной защите от утечек.

Пассивные системы не влияют на сетевую инфраструктуру, но меняют принцип работы службы безопасности. При их использовании необходимо накапливать доказательную базу и работать с большими объемами данных.

Endpoint-агенты

Для обнаружения и предотвращения утечек информации предполагается контроль всех основных каналов передачи этой информации.

Некоторые каналы можно контролировать лишь на стороне клиента: это – съемные носители, принтеры, мессенджеры с использованием End-to-End шифрования (Telegram, WhatsApp, Viber). Даже в теории задачу их контроля на сетевом уровне можно решить только с использованием Endpoint-агентов, хотя и это сложно если не реализовать, то поддерживать.

Endpoint DLP отлично справляется с работой в активном режиме, когда необходимо блокировать передачу конфиденциальной информации. Однако повсеместная установка Endpoint-агентов влечет за собой следующие проблемы:

  • Endpoint DLP служит преимущественно для работы под ОС Windows. Если вендор и заявляет о поддержке Mac OS или Linux, то с условием ограничения функциональности;
  • от идеи установки Endpioint-агентов на личных мобильных устройствах (в том числе в рамках BYOD) пользователи не в восторге, а предоставление им рабочих мобильных устройств возможно не всегда;
  • чем больше функционала реализовано на стороне Endpoint DLP, тем выше нагрузка на рабочие станции. Одно оптическое распознавание изображений (OCR) на рабочей станции уже может дать 100% загрузки;
  • для контроля над некоторыми каналами передачи данных на стороне Endpoint DLP необходимо обращаться в оперативную память приложений, внедрять локальный MiTM-Proxy или использовать другие технологии, плохо совместимые (конфликтующие) с работой этих приложений либо ОС в целом;
  • распространение агентов на рабочие станции и ноутбуки пользователей – нетривиальная задача, особенно если не все они включены в состав домена. Отслеживание новых рабочих станций, обновление версий Endpoint-агента на уже имеющихся – крайне непростые задачи администрирования.  

Итак, силами Endpoint DLP можно контролировать большинство каналов передачи данных на тех устройствах, на которых агент будет установлен, что невозможно с использованием любых других компонентов DLP-системы. Однако совокупность «минусов» вынуждает ограничить использование Endpoint DLP зонами особого контроля либо контролем только над теми каналами передачи данных, которые невозможно ни закрыть, ни контролировать другими средствами (End-to-End-шифрование, физические порты).

Network DLP

На рисунке представлена статистика распределения утечек информации по каналам передачи данных, которая не сильно меняется на протяжении нескольких лет. Как видно, большая часть утечек приходится на электронную почту и веб-ресурсы, контролируемые Network DLP.

"источник: Solar JSOC Security flash report

источник: Solar JSOC Security flash report

Если с электронной почтой все более-менее понятно, то состав веб-ресурсов хочется развернуть. В них входят: веб-почта, в том числе веб-интерфейсы корпоративной электронной почты; социальные сети, форумы и блоги; файловые серверы и облачные хранилища; мессенджеры.

С задачей контроля над веб-ресурсами и электронной почтой отлично справляется компонент Network DLP, который присутствует в большинстве DLP-решений, но, к сожалению, не сильно развивается. Из «плюсов» Network DLP отметим следующие:

  • контроль над всеми типами ОС и устройств, в том числе над трафиком мобильных устройств;
  • контроль над новыми устройствами в сети, на которых Endpoint-агент еще не установлен;
  • исключение влияния на рабочие станции и мобильные устройства пользователей.

К «минусам» Network DLP относятся следующие:

  • если DLP-система установлена «в разрыв» доступа в Интернет, то ошибки в политике безопасности, проблемы с оборудованием или ПО DLP-системы приводят к полной или частичной блокировке действий организации;
  • все больше веб-сервисов уходят в сторону SSL/TLS-шифрования, исключая возможность анализа событий.

В последнем случае возможны два решения:

  1. интеграция с продуктами для вскрытия SSL/TLS-трафика. Самая популярная технология – подмена сертификатов, Man-in-the-Middle, но такое решение необходимо устанавливать «в разрыв», что сложно сделать в крупных компаниях из-за повышения риска нарушения бизнес-процессов. Также стоит учитывать возможности бюджета, поскольку в качественные продукты такого класса включено большое количество дополнительных функций, зачастую лишних для данных целей, за которые также приходится платить. Наконец, решения данного класса не позволяют решать проблемы Certificate Pinning и End-to-End-шифрования, оставляя бесконтрольными самые популярные современные коммуникационные приложения и облачные хранилища;
  2. контроль  шифрованного трафика на стороне Endpoint. Такое решение имеет два существенных минуса:

- для качественного анализа основных веб-сервисов необходимо иметь большой набор детекторов. А с ростом этого набора неумолимо растут требования к производительности, что весьма критично на рабочих станциях;

- веб-сервисы регулярно меняют свои API, в результате чего необходимо регулярно обновлять агенты (вспомним про сложность администрирования, особенно на недоменных рабочих станциях).

Итак, связка решения по дешифрации SSL/TLS и Network DLP сослужит хорошую службу, надежно закрыв большинство каналов передачи данных, причем для всех типов устройств и любых ОС, не только для доменных Windows-машин. При этом снимется бОльшая часть нагрузки на Endpoint DLP, установленные на рабочих станциях. Однако как единственный компонент DLP-системы рассматривать невозможно.

Гибридные DLP-системы

Идея интеграции качественных продуктов, лидеров рынка в узких областях, и создания на их базе функционального решения, удовлетворяющего современным потребностям, не нова, ей больше 10 лет. В Интернете можно найти множество сравнительных обзоров отечественных и импортных DLP-систем, показывающих более-менее одинаковую функциональность. Это позволяет сделать вывод, что разница в DLP-системах сводится к смещению функциональности между ее компонентами. У большинства DLP-систем функционал смещен если не полностью, то по большей части в сторону Endpoint-агентов, что значительно усложняет их использование.

Очевидно, что появление на рынке гибридных полнофункциональных DLP-систем, позволяющих добиваться равных уровня и эффективности контроля при любом сценарии применения (и при контроле на уровне рабочих станций, и при перехвате трафика на уровне сетевых серверов или шлюзов), – дело обозримого будущего. Идея гибридной DLP-системы заключается в оптимальной интеграции двух или более продуктов классов Network DLP и Endpoint DLP таким образом, чтобы эффективно использовать сильные стороны Network DLP, контролируя большинство каналов передачи данных, собирая доказательную базу, обнаруживая ИБ-инциденты и не создавая повышенную нагрузку на рабочие станции.

При этом Endpoint DLP устанавливается на все рабочие станции, но с минимально необходимым функционалом, дополняющим Network DLP (например, съемные носители, принтеры и приложения с Certificate Pinning или End-to-End шифрованием). Online/Offline-политики Endpoint-агентов позволяют включать полную функциональность в случае выхода пользователя с ноутбуком или мобильным устройством за пределы корпоративной сети. Желательно, чтобы имелся единый интерфейс если не настройки, то хотя бы просмотра результатов работы систем.

Такое решение особенно актуально сейчас, когда пользователи уже имеют опыт работы с классическими DLP-системами и все чаще сталкиваются с необходимостью интеграции ИБ-продуктов разных классов. Ярким примером является повальная интеграция DLP и SIEM, однако из-за сложности формирования гибкой политики безопасности в DLP-системе и множества ложных срабатываний это – скорее, дань моде, чем упрощение процесса работы с инцидентами.

Использование лучших практик Network DLP и Endpoint DLP в едином решении позволит значительно повысить количество и качество отслеживаемых событий. При использовании раздельных решений разных классов появляется возможность создания тонкой политики безопасности, что ведет к снижению числа ложных срабатываний и повышению точности выявления инцидентов, а это – уже автоматизация и снижение необходимого времени работы с DLP-системой.

Тэги: 
Оцените материал:
Total votes: 6

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.