Технологии DLP: комплексная защита от утечек данных

По оценкам экспертов, утечки корпоративных данных, происходящие по злому умыслу или недосмотру персонала, выдвигаются на первое место в современных рейтингах ИБ-угроз. Помимо прямых многомиллионных потерь (согласно подсчётам InfoWatch, в 2009 г. в США средние расходы на устранение последствий только одного случая утечки составляли 6,75 млн. долл.) они наносят компаниям трудно оцениваемые в деньгах репутационные ущербы.

Кроме того, защита конфиденциальных данных регламентируется национальным законодательством, а также требованиями отраслевых и международных стандартов. Для российских предприятий жестким стимулом улучшения защиты корпоративной информации от утечек стал федеральный закон “О персональных данных”. Компании финансового сектора нашей страны обязаны следовать стандарту СТО Банка России, а с октября нынешнего года на российских участников международных платёжных систем Visa и MasterCard в полной мере распространяются требования стандарта защиты данных в индустрии электронных платёжных карт PCI DSS. Все эти аспекты делают актуальным анализ состояния рынка средств DLP.

Оптимальный функциональный состав системы DLP

В представлении Gartner к системам DLP относятся ИБ-средства, в которых реализованы технологии, способные различать информационный контент внутри таких объектов, как файлы, электронные письма, сетевые пакеты, программные приложения, системы хранения данных, проходящих процессы хранения, использования и передачи, и динамически применять к ним установленные правила обращения (политики) с данными, начиная от простой регистрации отклонения от политики, и завершая полным блокированием процессов, нарушающих такие правила.

Наши эксперты называют несколько основных признаков, выделяющих DLP в отдельный класс продуктов. Прежде всего DLP-системы анализируют исходящий трафик в отличие от прочих ИБ-средств, работающих со входящим трафиком. В DLP-технологиях различают контентный анализ информационных потоков (анализ символов, слов, предложений и т. д.) и анализ формальных признаков (цифровых отпечатков документов, иначе слепков, а также присвоенных им меток).

Согласно наблюдениям Кирилла Керценбаума, контентный анализ присутствует во всех DLP-продуктах, а технологии анализа слепков и меток взаимозаменяемы, т. е. практически нет DLP-продуктов, которые включали бы в себя одновременно анализ меток и слепков.

DLP-продукты устанавливаются или на уровне сети как шлюзовое решение, или на оконечных устройствах — рабочих станциях и серверах приложений. Соответственно различаются сетевые DLP и хост-DLP. Основное назначение DLP-функционала, устанавливаемого на конечных точках, состоит в защите корпоративной информации от инсайдерских хищений. Функционал мониторинга и анализа данных в сети помогает находить и исправлять некорректные с позиций ИБ бизнес-процессы, обнаруживать и предотвращать прежде всего случайные утечки данных, обеспечивает доказательную базу для аудитов и подтверждения соответствия регулятивным требованиям.

Алексей Раевский указывает на обязательное наличие в DLP-решении архива, в который записываются события (существенные с точки зрения ИБ-политик) с данными, которые передаются по контролируемым каналам, а также служебная информация решения. Именно с помощью этого архива можно проводить расследование инцидентов и анализировать поведение пользователей. Кроме этого, отмечает он, во многих DLP-системах появляются функции шифрования, позволяющие реализовать еще более надежную защиту от утечек.

Вместе с тем, следует признать, что четкого представления о том, какой функционал должна включать в себя система DLP все же не существует. Так, известные аналитические агентства Gartner и Forrester, регулярно публикующие сравнительные отчеты по DLP-технологиям, включая в свои отчеты продукты, пользуются разными критериями. У Gartner, по мнению Кирилла Керценбаума, они более строгие, у Forrester — мягче. В результате в обзорах уважаемых агентств различаются даже списки вендоров.

По мнению Александра Токаренко, DLP — это в немалой степени способ маркетингового брендирования продукции ряда вендоров. Александр Токаренко напоминает, что пока даже не устоялось общепринятое наименование средств защиты от утечек данных. Так, на сайте “DLP-Эксперт” дается несколько разных их наименований. “Все эти термины вроде бы близки, — говорит он. — Но означают они не совсем одно и то же. По такой причине классифицировать DLP-системы не представляется возможным, ведь к ним могут быть отнесены и средства защиты информации от несанкционированного доступа (СЗИ НСД, по классификации Гостехкомиссии/ФСТЭК), наличие которых было предусмотрено еще в 1992 г.”

Защита от утечек без DLP-системы

“Защититься от утечек информации со 100% вероятностью невозможно в принципе, — утверждает Андрей Никифоров. — Вопрос в том, как достичь оптимального уровня защиты информации, необходимого для обеспечения безопасной работы организации. В некоторых случаях грамотно используемые организационные меры способны существенно снизить вероятность утечки данных из компании”. В какой-то мере это подтверждают и данные опроса читателей PC Week/RE, свидетельствующие о том, что и на российских предприятиях с утечками данных умеют бороться иными, нежели DLP-системы, средствами. Таких среди респондентов оказалось почти 8%. При этом некоторые используют для этого спецсредства, другие сослались на то, что обработка конфиденциальной информации у них ведется в выделенных помещениях на изолированных от сетей компьютерах, а кое-кто отказался от пояснений, сохраняя секрет альтернативной защиты в тайне.

Вместе с тем другие наши эксперты считают, что защита от утечек только лишь административно-организационными методами выглядит надуманной и совершенно неприемлемой на практике и только сочетание технических средств и организационных мер способно дать желаемый эффект. По этой же причине явно не убедительны для практиков заявления некоторых вендоров о возможности обойтись одними лишь техническими средствами.

Так или иначе, но, если встает вопрос о применении технических решений, то не обязательно это должны быть “полноценные” промышленные DLP-продукты. Компания Gartner отмечает появление функции защиты контента от утечек в таких традиционных средствах, как шлюзовая защита электронной почты, платформы защиты конечных точек, устройства Secure Web Gateway. Для подобных средств с ограниченным DLP-функционалом Gartner использует специальный термин — Channel-Specific Solutions (C-DLP) — и считает, что они вполне пригодны для удовлетворения тактических потребностей бизнеса в защите от утечек.

“DLP, как в свое время межсетевой экран или антивирус, перестает быть обособленной технологией и постепенно интегрируется в другие решения по информационной безопасности, — говорит Кирилл Керценбаум. — Это подтверждается в том числе тем, что самостоятельных фирм — разработчиков DLP-решений уже практически не осталось. Большинство из них за последние два-три года куплены другими компаниями, причем даже теми, которые не специализируются исключительно на ИБ. Поэтому во многих ИБ-продуктах в том или ином виде присутствует встроенный DLP-функционал”.

Наталья Зосимовская добавляет, что с утечками можно бороться, комбинируя специфические функции систем класса Security Information and Event Management, Identity&Access Control Management, Information Rights Management и других им подобных. “Однако нужно понимать: чтобы весь этот комплекс выдавал приемлемый результат, придется потратить гораздо больше усилий, чем потребуется для внедрения DLP”, — подчеркивает она.

Окончательный ответ на вопрос о возможности защиты без полнофункционального промышленного DLP-решения, как полагают наши эксперты, все же зависит от характера и зрелости бизнеса предприятия.

Специфика проектов внедрения DLP-решений

Александр Токаренко отмечает, что среди российских заказчиков DLP-решений меньшая часть достигла необходимого уровня зрелости и понимает проблему защиты конфиденциальной информации от внутренних рисков. У таких компаний внедрения DLP обычно бывают комплексными и успешными. Однако большая часть таких проектов в России прошла, по его оценкам, в тех компаниях, которые “повелись” на рекламу, модную тенденцию. Их внедрение не отличается грамотностью и полнотой. “Для этой группы заказчиков свойственно либо ложное ощущение безопасности, либо разочарование от проекта”, — заключил он.

По мнению Алексея Раевского, “типовой портрет” современной компании-заказчика DLP-решения составить сложно: “На рынке DLP-средств сейчас сложилась довольно интересная ситуация. С одной стороны, в связи с тем, что это довольно новый сегмент, консервативные организации не торопятся с внедрением DLP. С другой стороны, DLP-средства в силу своей высокой технологичности и наукоемкости довольно дороги, а любители инноваций (которые обычно являются основными потребителями новых продуктов) не имеют достаточных бюджетов. Поэтому сейчас среди заказчиков DLP встречаются самые разные организации”.

Что же касается того, кто становится заказчиком DLP-проектов внутри компании, то, как отмечает Андрей Никифоров, “в отличие от заказчиков систем безопасности — департамента или службы безопасности организации — DLP-решениями в первую очередь интересуется топ-менеджмент и руководители бизнес-подразделений компании”.

Согласно наблюдениям Руслана Хафизуллина, в коммерческом секторе о защите активов, в том числе информационных, думают в первую очередь собственники. Поэтому инициативы по внедрению DLP зачастую исходят именно от владельцев бизнеса или инвесторов. В госсекторе, по его мнению, активность может исходить от кого угодно, начиная с сетевого инженера (который по должностной инструкции обязан обеспечить режим конфиденциальности) и заканчивая директором (который случайно узнал, что на CD/DVD-развалах снова появились диски с данными о физических лицах подчиненной организации). “Поэтому работать с госзаказчиками обычно тяжелее. Каждый проект имеет совершенно уникальные особенности”, — заключает Руслан Хафизуллин.

Для успешного внедрения системы защиты от внутренних рисков (к которым относится класс DLP-продуктов), по мнению Александра Токаренко, необходим определенный уровень зрелости компании и понимание комплексного характера такой защиты: “DLP — весьма полезный инструмент. Но это лишь один из инструментов целого комплекса средств и мер. Очень важно правильно его использовать и не возлагать на него ложных надежд”.

О комплексности назначения DLP-решений говорит и Наталья Зосимовская, отметившая, что они не должны рассматриваться как средство защиты в чистом виде. “Это во многом бизнес-ориентированная технология, направленная в том числе и на обучение персонала компании работе с информацией ограниченного доступа. Её эффективная работа требует участия и заинтересованности в проекте не только технических специалистов ИТ- и ИБ-служб, но и представителей бизнес-подразделений, кадровой службы и т. д.”, — полагает она.

В компании Gartner считают, что DLP-система не должна быть “прозрачной” для конечных пользователей, а наоборот, она преднамеренно должна работать так, чтобы заставлять персонал соблюдать установленные правила обращения с данными. В этом состоит принципиальное отличие DLP от других ИБ-средств. Это одновременно порождает особенности внедрения DLP-решений.

Учитывая “непрозрачность” решения DLP, важно не превратить его в орудие преступления против частных прав сотрудников. На это обращает внимание Александр Токаренко, чьё мнение разделяют и другие эксперты.

Наши эксперты утверждают, что сегодня не существует коробочных DLP-решений и практически ни одного DLP-продукта заказчик не может внедрить самостоятельно. По их наблюдениям, проекты, в которых ИТ-департаменты, а тем более ИБ-службы внедряли подобные решения своими силами, единичны. Как правило, к подобным проектам привлекаются компании-интеграторы. В отличие от многих других ИБ-продуктов, в проектах внедрения DLP до 80% времени занимают исследования и аудиты заказчика (порой не имеющие ничего общего с ИТ), и только 20% занимает сама инсталляция и настройка продукта.

“Много времени и ресурсов уходит на классификацию информации, на анализ хранилищ данных, присвоение классов конфиденциальности и т. п. Этот этап можно назвать полноценным аудитом процессов оборота информации в компании. Если внедрение DLP-решения в среднем занимает три-четыре месяца, то примерно два с половиной — три месяца уходит на упомянутый анализ и только в последние две-три недели специалисты устанавливают и настраивают программное обеспечение”, — утверждает Кирилл Керценбаум.

Алексей Раевский призывает тщательно анализировать все свойства DLP-продукта и его применимость в каждом конкретном случае. Игнорирование этой работы, утверждает он, часто приводит к проблемам. В качестве примера он приводит несколько DLP-проектов в крупных российских компаниях, в которых внедрялись иностранные продукты. В результате заказчики столкнулись с неполной или некорректной поддержкой русского языка в процедурах контентного анализа, без чего использование DLP просто лишено смысла.

По мнению Максима Крючкова, процесс развертывания DLP-решения к настоящему времени хорошо структурирован и включает следующие мероприятия:

• аудит заказчика и его инфраструктуры;
• разработку регламентов по управлению информацией в компании;
• инструктирование сотрудников заказчика;
• разработку регламентов ответственности за утерю информации;
• непосредственно внедрение DLP-системы.

DLP и регулятивные требования

Именно регулятивные требования, в которых заложены нормы по охране конфиденциальной информации, как подчеркивает Кирилл Керценбаум, стали основным двигателем внедрений DLP в странах Северной Америки и Западной Европы. Что же касается нашей страны, то малое в сравнении со странами упомянутых регионов количество таких внедрений связано, по мнению Кирилла, в первую очередь с тем, что ни один здешний нормативный акт, относящийся к области ИБ, либо вообще не требует борьбы с утечками конфиденциальных данных, либо лишь вскользь рекомендует эти средства (а не обязывает к их использованию).

Определенным стимулятором у нас выступил международный стандарт PCI DSS. А вот российских стандартов, регламентирующих использование продуктов DLP, как считает Кирилл Керценбаум, сегодня не существует. “Закон “О защите персональных данных” не содержит даже намека на требование использовать DLP. А он один из немногих является обязательным к исполнению. В текущей версии стандарта Банка России тоже нет прямых ссылок на эти технологии. Ожидается, что в следующей версии они будут, но стандарт пока имеет лишь рекомендательный, а не обязательный характер для российских банков”, — говорит он.

В результате можно сказать, что регулятивные требования безусловно влияют на популярность DLP, но России это пока касается в очень малой степени. И тот отмечаемый экспертами небольшой интерес к продуктам DLP вызван скорее реальной заботой предприятий о сохранности своих данных, нежели стараниями регуляторов. В то же время, по мнению Кирилла Керценбаума, ссылающегося на опыт других стран, только сочетание доброй воли и проработанных законодательных актов позволяет обеспечить высокий уровень защиты информации.

Состояние рынка средств DLP

Мировой рынок. Как сообщают в своем июньском аналитическом исследовании текущего года эксперты из компании Gartner, рынок DLP (Data Loss Prevention — такой термин использует Gartner) претерпел существенные изменения. Они отмечают замедление процесса консолидации в вендорской среде и разделение промышленных DLP-продуктов на две дополняющие друг друга категории: системы высокопроизводительные и высококачественные (high-end) и недорогие продукты начального (low-end) уровня. В результате, как полагают в Gartner, DLP-фукционал становится более доступным для предприятий самых разных размеров и уровня потребностей в защите от утечек данных.

Аналитики из Gartner полагают, что примерно 70% предприятий к настоящему времени созрели для внедрения полнофункциональных DLP-систем. Они им нужны для того, чтобы выполнять требования регуляторов к защите определенного вида информации, для защиты таких каналов, как электронная почта, портативные вычислительные и коммуникационные устройства, сменные носители информации.

Как отмечает Gartner, рынок DLP-продуктов стабильно растет, и экономический кризис его затронул минимально. В следующем году его объем достигнет 400 млн. долл.

На рисунке в формате магического квадранта Gartner представлены ведущие поставщики промышленных DLP-продуктов. Список лидеров (в порядке ранжирования, установленном Gartner) таков: McAfee, RSA (EMC), Symantec, Websense. Что касается изменений в составе вендоров, представленных в магическом квадранте на июнь 2010 г., то Gartner уведомляет о появлении нового игрока — компании Vericept, поглотившей другого игрока, Trustwave, который по указанной причине покинул магический квадрант.

Российская специфика. Характеризуя состояние рынка DLP в России, Руслан Хафизуллин обращает внимание на то, что хотя он и вышел из младенческого возраста, всё же сохранил при этом основные детские болезни, в первую очередь неструктурированность и непрозрачность. Он отмечает также отсутствие единых критериев оценки эффективности DLP-продуктов, по сути базирующихся на одинаковых технологиях. А Андрей Никифоров указывает на пока еще очень низкую информированность о данных системах среди потенциальных потребителей.

Согласно данным опроса, проведенного еженедельником PC Week/RE, среди работающих в России компаний более 44% не используют в настоящее время и вообще не планируют внедрять DLP-системы. В то же время 32% собираются развернуть у себя DLP, однако исключительно российского производства; причём 23% опрошенных компаний собираются сделать это в ближайшие два года.

Свою позицию в отношении к технологиям DLP российские предприятия объясняют следующим образом. Для 25% стоимость DLP-решений превышает величину потенциальных финансовых рисков, связанных с утечками данных. А у 6% респондентов есть претензии к современному функционалу DLP-решений: он их не устраивает.

Не в последнюю очередь свой скепсис российские корпоративные пользователи в отношении DLP мотивируют тем, что в их компаниях либо вообще нет утечек, либо ущерб от них незначителен для бизнеса. Так, 47% участников опроса не зарегистрировали у себя ни одной утечки, а примерно 34% заявляют, что проблема утечки данных для них не актуальна. У 23% утечки были, но, к счастью, ущерб от них признан пострадавшими как незначительный. Для 17% утечки прошли без какого-либо ущерба. И лишь незначительному количеству (3%) опрошенных утечки данных нанесли, по их признаниям, значительный ущерб. Немногим более 10% респондентов просто затруднились ответить на вопрос о том, были ли зарегистрированы в их компаниях утечки данных.

Перспективы развития DLP

По мнению Кирилла Керценбаума, большинство изменений, которые ожидаются в технологиях DLP, скорее всего будет проходить уже не в рамках самостоятельных промышленных DLP-продуктов, а в интегрированных ИБ-решениях, частью которых становится и DLP-функционал. Кирилл считает, что в ближайшие два-три года такие продукты сохранятся и как самостоятельные, но они, как и прежде, останутся прерогативой крупных компаний. Интегрированный инструментарий DLP будет упрощаться и развиваться в сторону максимальной автоматизации использования.

Технологии DLP, работающие на методах “отпечатков” и “меток”, все еще сложны для большинства компаний. Они требуют, особенно на этапе внедрения, большого количества ручных операций, связанных с классификацией данных. С учетом экспоненциального роста объёмов корпоративных данных, как полагает Кирилл Керценбаум, через пару лет станет невозможно проводить классификацию в адекватные сроки. Поэтому многие заказчики сегодня готовы ограничиться решениями, которые обеспечивают такие базовые функции, как отслеживание перемещения конкретных форматов данных. В результате, по мнению Кирилла, основными тенденциями развития DLP станут интеграция, упрощение и автоматизация.

Алексей Раевский видит логичным создание в рамках DLP средств интеллектуального анализа поведения пользователей и прогнозирования инцидентов с опорой на базы данных DLP-систем, в которых хранится информация о событиях, происходящих с конфиденциальными данными.

Наталья Зосимовская считает, что DLP-системы будут и дальше расширять спектр охваченных каналов утечек и источников и распространят свое влияние на мобильные ИКТ-устройства, все шире используемые в бизнесе.

Андрей Никифоров считает, что наиболее интересным и перспективным направлением в развитии систем DLP должна стать поддержка инфраструктуры с размытыми границами, частными случаями которой являются облачные приложения и мобильные пользователи.

Опыт Руслана Хафизуллина показывает, что не решенную до сих пор проблему для ИБ представляет корпоративный голосовой трафик, который, как он говорит, можно запрещать, блокировать, но не контролировать, тем более в режиме онлайн. Он считает, что эту проблему ИБ-вендорам следует решать в ближайшее время.

Как отмечает Gartner, крупные DLP-вендоры сегодня сосредотачиваются на встраивании DLP в общую структуру корпоративной ИБ. К 2012-му вендоры DLP-систем класса Enterprise обеспечат свои продукты интерфейсами для прикладного программирования (API), чтобы расширить возможности управления политиками обнаружения утечек и обмена данными между различными компонентами корпоративных систем ИБ. Отмечается, что реагируя на современные тенденции в ИТ, такие вендоры, как Symantec, Trustwave и Websense, включили в свои DLP-продукты функционал, поддерживающий защиту от утечек в облачной модели использования ИТ и модели SaaS.