Пропустить нельзя блокировать!

Когда речь заходит о DLP-системах, у начитанных «безопасников» первым делом в голове всплывает мысль «блокировать!». Отчасти реакция верна. Аббревиатура DLP (Data Loss Prevention) недаром содержит слово prevention («предотвращение»), указывающее на то, что корнем идеологии таких систем является активное противодействие утечкам информации с применением блокировок сообщений и запрета определенных действий сотрудников компании. Бывалые «безопасники» смотрят на это иначе, ведь им уже доводилось «обжигаться», когда система по ошибке блокировала важное письмо топ-менеджера или на полдня останавливала работу целой группы сотрудников, отказывая им в использовании съемных устройств.

Геополитический подход,
или При чем тут Америка?

Учитывая, что аббревиатура DLP – иностранного происхождения, разумно посмотреть, как используют такие системы сами авторы термина.

США и страны Европы в вопросах ИБ повсеместно применяют рисковую модель. Все бизнес-процессы зарубежных компаний однозначно описаны и исполняются строго «по учебнику». Благодаря этому шефы по информационной безопасности четко понимают, какие инциденты могут возникнуть, с какой вероятностью и что они за собой повлекут.

Кроме того, так называемой «этике» ИБ обучаются все сотрудники компании. Они знают, что делать можно, а чего не следует, какую информацию и как нужно обрабатывать, передавать и хранить. Работников знакомят с внедренной на предприятии DLP-системой и учат взаимодействию с ней. Все это дает специалистам ИБ возможность почти с медицинской точностью настраивать все системы ИБ, в том числе DLP. Любое отклонение действий сотрудника от заданного сценария рассматривается как нарушение и блокируется. И если DLP-система заблокировала действие сотрудника, это означает, что он, как минимум, нарушил описанные в компании бизнес-процессы. А это уже является инцидентом и поводом к рассмотрению.

В российских реалиях все не так однозначно: мало где определен отлаженный набор бизнес-процессов и очень редко выполняются правила работы с информацией (особенно если они требуют от сотрудника поступиться удобством работы или затрачивать на нее дополнительные время и силы). В такой ситуации создать конкретные превентивные меры очень сложно – либо большое число инцидентов будет протекать сквозь пальцы, либо офицер ИБ будет сутками «вручную» сортировать запросы на разрешение прохождения сообщений.

Возникает закономерный вопрос о применимости в России превентивно действующих систем.

Можно, если осторожно...

Разумеется, DLP-система, независимо от страны ее использования, в определенный период функционирования должна «научиться» однозначно определять инциденты и блокировать их в онлайн-режиме. Опытные ИБ-специалисты это понимают, как и сложность сбалансированной настройки системы, а потому требуют от DLP как можно большей гибкости.

Например, комплекс защиты от утечек информации «Дозор-Джет», как истинный представитель семейства DLP, имеет все необходимые «вентили», готовые в нужный момент перекрыть утечку информации. А настраивается их срабатывание очень гибко. Принимая решение о блокировке, комплекс «Дозор-Джет» может ориентироваться как на информацию, которую передают по определенному каналу, так и на сотрудника, ее передающего. В свою очередь, при выборе принципа «опоры на сотрудника» также вычленяются две составляющие: общая информация о человеке (ФИО, принадлежность к группе AD, занимаемая должность и др.) и его интеллектуальный поведенческий анализ.

Контролируй воду, а не трубы

Некоторые зарубежные DLP-системы основаны на том, что контролировать нужно «не трубы, а воду», то есть не каналы передачи данных, а сами данные. Это правильно… Но лишь отчасти.

Удобнее заранее научить систему тому, какие данные имеет смысл блокировать в режиме реального времени. Иначе говоря, установить набор показателей (типы данных, шаблоны документов, тематику сообщений), определяющих активную реакцию системы. Помимо классических цифровых отпечатков в комплексе «Дозор-Джет» используется более гибкий и продвинутый механизм «Шаблоны документов», позволяющий вполне человеческим языком описать документ, который важно контролировать. К примеру, можно указать, какие слова должны содержаться в названии, что содержат заголовок, «тело» и «подвал» документа. Гибкость состоит в том, что офицер ИБ может заранее и не знать о существовании конкретного документа, но если документ имеет определенные признаки конфиденциальности, система будет готова активно среагировать и заблокировать его передачу.

Также система обладает некоторой долей «интеллектуальности». Она самостоятельно проверяет, не мимолетом ли упоминается ключевое слово в тексте, входит ли оно в список наиболее часто встречающихся фраз данного документа.

Кадры – наше все

Подход, подразумевающий контроль именно информации, хорош, но не учитывает некоторых особенностей бизнес-процессов. Например, всем понятно, что зарплатная ведомость является важным документом, и если его скидывает на флешку сотрудник хозяйственного отдела, то дело – явно нечистое. А вот сотрудник бухгалтерии вполне может иметь полномочия для осуществления такой операции.

Интеграция с LDAP-каталогами позволяет учитывать определенные нюансы настроек комплекса «Дозор-Джет». Так, можно прописать правила, которые обеспечат проверку принадлежности отправителей/получателей к тому или иному структурному подразделению или определение позиций, занимаемых ими в штатном расписании. В зависимости от этого удастся индивидуально реагировать на отправку одного и того же документа разными людьми.

Не кочегары мы, не плотники...

Но на деле все не так-то просто: бывалые ИБ-специалисты хотят, чтобы DLP-система имела более сложную логику. При наличии данных ценных классический сценарий таков: человек, вроде бы, занимает «правильную» позицию и распоряжается информацией вполне легитимно, а пересылку приходится блокировать. Например, в случае заказного промышленного шпионажа запрашивают набор данных у «правильного» человека, имеющего законные права доступа к ним. Этот сотрудник записывает «побольше» (все разом и побыстрей), а затем передает информацию заинтересованным лицам.

Комплекс «Дозор-Джет» «отвечает» на подобные ситуации собственной технологией поведенческого анализа. Политику можно настроить так, что система будет реагировать, например, на десятый конфиденциальный документ, скинутый на флешку за сутки (неделю, месяц и др.). Эту логику позволяет реализовать специальный модуль комплекса − «Досье». В нем на каждого сотрудника создается индивидуальная карточка, в которую помимо общей информации заносится статистика по инцидентам. Образно говоря, в такой карточке учитывается «карма» каждого человека – то, насколько часто за определенные периоды времени он так или иначе участвовал в инцидентах, связанных с конфиденциальной информацией.

 

На первый взгляд, жизнь ИБ-специалистов в России и других странах  СНГ несколько сложнее, чем у их зарубежных коллег. Но уже сейчас на рынке есть решение, позволяющее «нашим» спать спокойно. Комплекс «Дозор-Джет» является этаким интернациональным комбайном, вобравшим в себя как лучшие зарубежные практики «высшей безопасности», так и передовые подходы, учитывающие национальные особенности компаний из государств СНГ. Все это позволяет российским ИБ-специалистам полностью раскрыть смысл аббревиатуры DLP на практике с учетом всех конкретных нюансов и тонкостей.


Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.