Новые технологии
безопасности

DLP light - только сбор и анализ информации

Развитие информационных технологий подошло к той грани, когда практически все сотрудники коммерческих компаний и государственных учреждений находятся в едином информационном пространстве, для повседневной работы имеют доступ в Интернет, стационарный и корпоративный телефон. Различные интернет-сервисы ежедневно используются как в рабочем процессе, так и в личных целях, а корпоративная связь повышает доступность сотрудников. Ежедневно по корпоративной сети организации, через телефонные линии и интернет проходит информация, в которой может содержаться как внутренняя конфиденциальная информация, так и информация, которая может скорректировать риски экономической безопасности.

Для быстрой реакции на уходящую из корпоративной сети конфиденциальную информацию мы привыкли ставить системы предотвращения утечки данных (DLP-системы). Формально такие системы предотвращают утечку тех данных, которые были заранее определены в системе, однако реально мало кто решиться ставить DLP-систему «в разрыв сети» – высоки риски блокирования потоков информации. Установка не «в разрыв сети» превращает DLP систему в обычную систему слежения за некоторой передаваемой информацией.

Нет у нас в стране идеальных организаций достаточного уровня зрелости информационных процессов, где вся информация четко разделена на категории, DLP-система понимает какую конкретно информацию ей надо перехватывать, и в каждый момент времени DLP система идеально настроена в соответствии с меняющейся реальностью бизнес-процессов организации. На практике DLP-система порождает большое количество ложных срабатываний за счет нечеткого представления о конфиденциальной информации и попыток перехватить как можно больше чего-то похожего на такую информацию. Каждое срабатывание системы надо обрабатывать вручную и сразу встает вопрос наличия группы операторов. Реалии российских компаний таковы, что мониторинг событий DLP или аналогичных систем производят специалисты подразделения информационной безопасности. Работа по вычитке передаваемой информации, в том числе и личной, и принятию решений, к сожалению, зачастую доверяется неопытным сотрудникам. Неопытный сотрудник может классифицировать конфиденциальную информацию только по формальным признакам, а из текста документа он вообще может не понять ни слова. В информации может разобраться сотрудник подразделения экономической безопасности, но насколько подобная система ему удобна? Стоит упомянуть еще об агентских технологиях DLP систем – программах, устанавливаемых на рабочих станциях пользователей. Агенты устанавливаются обычно достаточно просто, однако не всегда автоматически через домен Windows и не на все рабочие станции, часть агентов приходится устанавливать вручную. После установки агентов необходимо следить за их работой для предотвращения «зависания» рабочих станций после обновления другого корпоративного ПО или, например, во время теневого копирования большого количества информации.

Пройдя по всем подводным камням администраторы DLP систем в итоге приходят к конфигурации «без предотвращения утечек информации», которая ставит DLP-систему в не-DLP режим:

  1. Установка не в разрыв сети;
  2. Отказ от установки агентов на «критические» рабочие станции и сервера, а также рабочие станции руководителей;
  3. Мониторинг утечки лишь некоторых видов информации ввиду большого количества ложных срабатываний при добавлении правил.
  4. Набор «студентов» на место операторов системы

Понимая общую проблему внедрения DLP-систем, производители стараются наделить их другими, полезными, но не свойственными DLP функциями, при этом основной функционал систем потребителю использовать не удается – утечку можно обнаружить, но не предотвратить.

Есть другой класс систем, подобных DLP, он изначально позиционируется как системы легального сбора и анализа информации, передающейся по сети. Используя технологию DPI (Deep Packet Inspection) такие системы позволяют восстанавливать данные сотен сетевых сервисов, через которые проходит информация из корпоративной сети с целью зафиксировать кто, как, куда, кому и что за данные пересылал. Информация берется как из открытого корпоративного трафика подключением к SPAN-порту, так и из зашифрованного (SSL) трафика без установки агентов на рабочие станции и сервера, восстановленная информация (письма, чаты, видео, сайты и т.д.) хранится сколь угодно долго и готова к анализу. Для сотрудников информационной безопасности такая система может показаться менее функциональной, чем DLP, ввиду меньшего количества настроек, однако для сотрудников экономической безопасности она более понятна, в ней удобно проводить расследования и выявлять скрытые связи.

Одна из таких систем легального сбора и анализа информации E-Detective (DECISION GROUP INC. Тайвань). Неважно, установлена система DLP в организации или нет, E-Detective будет решать свою задачу – перехватывать и хранить с возможностью анализа большой объем информации, помогать в расследованиях, при этом не требуя постоянной настройки на меняющейся вид информации. E-Detective не имеет агентов на рабочих станциях (за исключением Skype- агента, при необходимости), всю информацию берет из корпоративного трафика, способность расшифровывать SSL трафик делает эту систему самодостаточной для легального перехвата всей доступной информации в корпоративной сети. Простота установки, эксплуатации и использования E-Detective позволяет подразделению экономической безопасности самостоятельно использовать систему в полном объеме ее возможностей, а подразделению информационной безопасности свести к минимуму воздействие системы на IT инфраструктуру и бизнес-процессы компании.

Конечно, при расследовании инцидентов экономической безопасности информации из корпоративного трафика может не хватить для выдвижения обвинения в суде, однако для понимания степени участия сотрудника, например, в мошеннических действиях или в нанесении родной организации ущерба вполне достаточно.

NextBI, 01.2015