В последнее время продукты, направленные на предотвращение утечек информации, или, по‑другому, DLP (от Data Loss Prevention, предотвращение потери данных), внедряют очень многие компании, как за рубежом, так и в России. Это решения разного уровня. Среди них есть как сложные и дорогие системы, которые непросто внедрить, так и практически коробочные продукты, нуждающиеся в минимальной настройке. Но есть между ними нечто общее: внедрение их — еще не панацея от утечек информации и ущерба, который с ними связан. И об этом говорили многие участники конференции DLP Russia 2010, которая проходила в середине октября 2010 г. в Москве.
Многое объясняется тем, что данный сегмент рынка еще не достиг должного уровня зрелости. Эти решения появились не так давно, и рынок только начинает складываться. По мнению Gartner, например, переход в фазу зрелости наступит не раньше конца 2011 — начала 2012 г. И это выражается хотя бы тем, что до сих пор не существует количественных оценок окупаемости таких решений. Впрочем, справедливости ради отметим, что это относится к любым проектам в области внедрения технических средств, направленных на поддержание информационной безопасности. Большая часть специалистов в данной области признают, что ROI такого проекта рассчитать крайне сложно. В итоге для выделения средств на такой проект многие рекомендуют использовать в качестве аргумента возможные регуляторные риски, если они есть, или реально имевшие место инциденты.
Еще одна проблема — в разных типах компаний перечень конфиденциальной информации различается, причем кардинально. Даже в банковском и страховом сегментах одного финансового сектора пересечение не слишком велико. Как правило, в каждой организации существует перечень конфиденциальной информации. Однако, как отметил в своем выступлении на конференции DLP Russia 2010 бизнес-консультант по безопасности компании Cisco Systems Алексей Лукацкий, они определяют лишь направление, но не содержание этой самой информации. В итоге процесс настройки DLP‑системы может превратиться в сложную, а иногда практически неразрешимую задачу. Необходимо создание отраслевых классификаторов, а за решение этой задачи, насколько известно, пока никто не брался.
Положение усугубляется и тем, что становятся популярны новые каналы связи, отслеживать которые в полной мере невозможно. А DLP‑системы до сих пор остаются ориентированными на защиту файлов, а не информации. IP-телефония, голосовая и видеопочта, видеоконференцсвязь, вебинары в этот подход вписываются очень плохо, а если быть совсем честным — скорее никак. Через все эти каналы, естественно, возможны утечки информации, но отслеживать их в автоматическом режиме на нынешнем уровне развития технологий невозможно, что бы ни говорили вендоры. Ведь надежных систем распознавания голоса и образов, даже статичных, не говоря уже о видео, тем более не слишком высокого качества, пока не существует. Не говоря уже о том, чтобы вычленить оттуда признаки возможной утечки, что само по себе непросто, как уже было сказано выше. Но ведь таким вот образом могут «уйти», например, запись важных переговоров, совещания руководства компании, где, естественно, обсуждается бизнес-критичная информация, от разглашения которой может быть громадный ущерб. Единственно возможный тут вариант — ручной контроль трафика, но это крайне трудоемко и нивелирует многие, если не все преимущества данных видов связи. Как показывают прогнозы на самое ближайшее будущее, одно только видео будет занимать порядка 90 % всего интернет-трафика, в том числе и корпоративного. Но и сейчас отсутствие интеллектуальных систем распознавания образов позволяет важной информации легко «утекать» в виде графических файлов. А это могут быть любые документы, тем более что некоторые их типы именно так и хранятся в электронном виде, к примеру, чертежи, которые весьма широко востребованы.
В итоге DLP‑системы обладают низкой эффективностью на фронте борьбы со злонамеренными, сознательными утечками информации. На это обратили внимание, в частности, Джо Стюарт, директор подразделения исследований вредоносных программ компании SecureWorks, и Тарик Мустафа, президент и основатель компании nexTier Networks в своих выступлениях на конференции DLP Russia 2010. А на такие приходится, по некоторым оценкам, до 60 % от общего количества утечек. Согласно отчету по итогам глобального исследования утечек данных в 2009 г., проведенному InfoWatch, удельный вес умышленных утечек составляет 51 %. И все потому, что эту систему не так уж сложно обойти, чем, естественно, пользуются злоумышленники.
Большую проблему, в том числе и в плане утечек информации, представляют мобильные устройства. Проблемам обеспечения их безопасности мы посвятили отдельную статью в настоящем номере. А само использование порождает массу проблем, связанных и с обеспечением сохранности информации на них самих, и с таким явлением, как размытие периметра защиты корпоративной сети. Причем далеко не всегда они легко решаемы. По данным ScanSafe, являющейся подразделением Cisco Systems, мобильные корпоративные пользователи проводят в VPN лишь 17 % всего времени в Интернете. Оставшееся никто не контролирует. Далеко не для всех мобильных платформ существуют клиентские модули DLP‑систем. К тому же, даже если такие модули и есть, их очень легко обойти. Также вне зоны действия DLP-решений оказывается протоколы, используемые для синхронизации ПК с карманными помощниками, например, Microsoft ActiveSync или Apple iTunes.
Модные нынче облачные вычисления тоже являются потенциальным каналом утечки информации, который к тому же не слишком хорошо контролируется или вообще не контролируется. Да и при более привычном и чаще используемом аутсорсинге все точно так же. Уже бывало так, что сотрудники этих компаний пытались поправить свое материальное благополучие за счет краж данных компаний-клиентов. А DLP-решения исходят из того, что вся информация хранится внутри организации. В случае облачных вычислений, кроме того, часто используются нестандартные протоколы, которые в принципе не могут контролироваться системами защиты от утечек. Причем вся информация уходит в стороннюю компанию, и уровень защиты данных там проконтролировать невозможно. Да и просто неизвестно, защищены ли эти данные вообще.
И все еще более усугубляется, когда к «облачным» ресурсам обращаются пользователи мобильных устройств. Этот трафик оказывается вне средств защиты, включая как традиционные средства защиты периметра, так и DLP. А во многих компаниях значительная часть конфиденциальной информации (иногда и вся), находится именно в «облаке», и у мобильных пользователей взаимодействие с такими ресурсами практически не защищено. При получении физического доступа к этому мобильному устройству вся информация может оказаться у злоумышленников. Также «облачные» сервисы часто используют нестандартные протоколы обмена информацией, которые также вне зоны контроля традиционных DLP‑систем. А они используются, к примеру, системами резервного копирования, что также дает весьма большие потенциальные возможности для краж информации.
Хотя появляются «облачные» DLP-решения, использование которых позволяет решить данную проблему. Но пока их очень немного, и это, по большому счету, стартапы. Другой возможный вариант — перенаправление интернет-трафика через средства защиты периметра сети, но это сопряжено с ростом расходов на оплату возросшего трафика.
Другая проблема состоит в результате деятельности вредоносных программ. А некоторые из них направлены на кражу информации из компаний. Еще в начале «нулевых годов» один из почтовых «червей» рассылал по почте не только себя самого, что типично для программ такого класса, но и произвольные документы наиболее распространенных форматов (plain text, HTML, PDF, приложений Microsft Office, ряд графических) с локальных дисков ПК. И в их числе вполне могли оказываться бизнес-критичные. Например, к автору этих строк таким вот образом попали несколько бухгалтерских отчетов и даже тендерная документация. И подобные случаи были довольно массовыми в течение нескольких месяцев этой эпидемия. Сейчас злоумышленники перестали бить по площадям, переключаясь на целенаправленные атаки, направленные на кражу денежных средств или идентификационных данных кредитных карт. Именно на это направлены многие «популярные» сейчас вредоносы, например BlackEnergy 2.0 или Origami Trojan. А для противодействия им одной только DLP‑системы недостаточно, необходимо также наличие других систем защиты: прокси, файерволов, систем контентной фильтрации, способных отслеживать не только исходящий, но и входящий трафик, систем идентификации и ряда других. DLP‑система — лишь один из эшелонов защиты данных, причем далеко не всегда ключевой. Например, семейство BlackEnergy, помимо краж информации, направлено и на проведение атак DDOS, которые широко используются не только по своему прямому назначению в целях давления на конкурента или вымогательства, но и как отвлекающий маневр при кражах данных извне.
К слову, интеграция DLP‑систем с другими техническими решениями по защите информации идет далеко не так уж хорошо. Это обычная «детская болезнь» молодых технологий. С антивирусными средствами, например, в свое время было точно так же. Движение в этом направлении началось, такие средства начинают появляться, но пока взаимодействие между DLP и другими системами находится на недостаточном уровне или даже попросту отсутствует. А это влечет в том числе и многие проблемы из числа описанных выше, просто потому, что для их решения требуется наличие своего рода интеллекта на основе анализа корреляции событий, информация о которых поступает из различных систем или устройств. Имеющиеся же средства корреляции событий показали себя очень хорошо, и их внедрение позволяет решить многие проблемы, с которыми иными способами справиться просто невозможно. Так, удавалось предотвратить распространение вредоносного ПО, неизвестного антивирусным средствам, или не допустить вторжений в корпоративную сеть, которые проходили с использованием сценариев, незнакомых системам IDS / IPS.
При этом использование DLP‑систем может доставлять неудобства, в ряде случаев серьезные. Целый ряд специалистов в области безопасности, причем по обе стороны баррикад — со стороны как заказчика, так и вендора или интегратора, — приводили примеры того, когда проект был остановлен из‑за того, что из‑за ложных срабатываний по назначению не доходила почта, вследствие чего компания теряла миллионные заказы, или просто имело место существенное замедление работы систем. С современными системами такое происходит реже, но все равно случается.
Не всегда соблюдается и известный принцип: «Пользователь должен знать, что его контролируют». Иначе работа DLP‑системы будет восприниматься просто как внесение дополнительных сложностей и неудобств и вызывать одно лишь недовольство. Ну а сам тот факт, что работа контролируется, существенно повышает уровень дисциплины сотрудников при работе с информацией.
Вместе с тем, по мнению очень многих экспертов, преобладают все же неумышленные утечки. Это вообще вопрос в высшей степени дискуссионный. Тем более что очень многие утечки по целому ряду причин (например, возможные потери репутации, ничтожный ущерб; в конце концов, они могли просто остаться незамеченными) не становятся достоянием гласности, и соответственно информацию о них невозможно проанализировать. А DLP‑системы очень хорошо предотвращают неумышленные утечки. Так что их внедрение скорее полезно.