Новые технологии
безопасности

Вопросы DLP

DLP-системы при их создании были предназначены для предотвращения утечек конфиденциальной информации из корпоративной сети организации. На момент создания DLP-систем каналов утечек было на порядки меньше, протоколы сервисов, организующих каналы, были значительно проще, да и мобильные устройства на тот момент не были так функциональны, чтобы их повсеместно использовать.

Для 200х-2010 годов это были передовые технологии, однако уже в 2012 году Наталья Касперская (InfoWatch) на конференции DLP-Russia признала скорую трансформацию систем DLP.

Для эффективного определения степени конфиденциальности информации DLP система сначала должна ее перехватить, затем на основании чего-то с использованием имеющихся технологий проанализировать. Перехват информации, уходящей за периметр организации сильно усложнили используемые мобильные устройства и проприетарные протоколы передачи данных. Для некоторых интернет-сервисов возможность перехвата информации стала практически невозможной ввиду использования современных протоколов защиты, не восприимчивых к атакам «Man in the middle» либо ввиду использования архаичных, но надежных симметричных ключей шифрования. DLP-агенты, которые в теории могут перехватить все, работают не на всех ОС и не везде их возможно установить. Таким образом, средствами DLP можно контролировать некоторые каналы связи, однако далеко не все. Технологии анализа информации оказалось развивать значительно проще, да и готовые решения появились на рынке, поэтому разнообразие аналитики в DLP привлекает клиентов. Если организация четко понимает, как надо анализировать информацию, количество ложных срабатываний системы DLP можно минимизировать. Но даже в этом случае DLP предпочитают не ставить «в разрыв» во избежание риска блокирования передачи важной информации, при этом утечка данных происходит и DLP система превращается в систему расследования инцидентов, что ей не свойственно. Интеграторы до внедрения DLP должны проделать большую работу для возможности нормального функционирования системы. Однако объем этой работы, особенно в компаниях с разнородной информацией и неописанными бизнес-процессами, в компаниях без культуры обращения с конфиденциальной информацией, на порядок выше по трудоемкости и стоимости внедрения DLP.

Некоторые DLP-системы настолько усложнились и трансформировались, расширяя функционал, что непонятно «что во что встроено». Видимые в настоящее время векторы трансформации DLP:

• Интеграция со сторонними системами, способными расширить функции DLP-системы;
• Поиск конфиденциальных данных в сети организации;
• Проведение оперативных мероприятий на АРМ пользователей.

Уже сейчас интернет-сервисы постепенно переходят на достаточно надежные протоколы передачи данных, информацию из которых без наличия агентов на пользовательском устройстве практически невозможно извлечь. А что будет «завтра»? DLP-системы будут довольствоваться небольшим количеством контролируемых каналов передачи данных или перейдут на другой уровень и будут находить потенциальных нарушителей и потенциально-конфиденциальную информацию путем анализа неких вторичных признаков?

Всем известно, что основные криптоалгоритмы математически достаточно стойкие ко взлому, однако есть обходные пути – атака на реализацию, ИК-анализ и т.д. Возможно, по аналогии, разработчикам DLP систем стоит рассмотреть вектором развития «Network Forensics», анализируя поведение пользователей в сети и выявляя потенциальных нарушителей по другим признакам. При таком подходе будет реальная возможность превентивно «предотвратить» утечку, а не «обнаружить» постфактум. Через несколько лет все основные сервисы будут использовать протоколы, защищающие информацию пользователей, и системам, подобным DLP, возможно будет работать только с метаданными либо с информацией, предоставленной штатным образом корпоративными сервисами для анализа (так, например, DLP работают со Skype).

Давайте посмотрим, например, на DLP в госорганах с точки зрения параноика. Сейчас мы устанавливаем DLP-системы с активной агентской технологией на компьютеры госслужащих. Даже если сама система проверена и сертифицирована, мы все же потенциально получаем очень удобную точку съема информации и перехвата управления рабочими станциями и серверами. Съема любой информации – и рабочей и личной. А можем получить и инструмент слежки за рабочим пространством сотрудника (микрофон и другие «возможности» DLP). Нет данных о случаях проникновения в корпоративную сеть с целью добраться до DLP-системы, однако получить доступ к управлению этими системами не сложнее, чем получить доступ к серверу или домену под ОС Windows. Учитывая настоящие внешнеполитические тенденции, есть риски перехвата управления системой DLP, что может повлечь последствия сравнимые с раскрытием всей информации, обрабатываемой внутри организации. Ровно те же риски у госкорпораций и системообразующих предприятий. И пока значимые организации будут работать на зарубежных ОС, нам придется принимать эти и другие риски.

NextBI, 02.2015