Интервью с Афанасьевым Антоном о технологии DLP

– Какие решения по защите конфиденциальной информации представлены на современном рынке информационной безопасности?

– Рынок ИБ на сегодняшний день предоставляет множество различных решений для защиты конфиденциальных данных. Особой популярностью и большим спросом пользуются DLP-системы – решения по контролю выхода конфиденциальной информации за периметр компании. На рынке присутствует множество игроков, предоставляющих различные продукты. DLP-системы разрабатываются как российскими специалистами, так и их коллегами из стран СНГ. На российском рынке также представлены зарубежные производители и зарубежные технологии, которые пользуются спросом. Разрабатываемых сегодня DLP-систем не хватает для того, чтобы определить и защитить весь требуемый объем конфиденциальной информации. В большинстве случаев это связано с тем, что DLP-системы обозначены и предназначены для контроля информации, выходящей за периметр компании, но не всегда способны решать сторонние сопутствующие задачи.

– Что собой представляет «Технология DLP» и на что она направлена?

– Технологии DLP – это компоненты или модули анализа информации, которая передается по самым распространенным каналам передачи данных, таким как съемные носители, печать, корпоративная почта, любые вариации, связанные с веб-направлением (с отправкой данных через протокол HTTP). Также в современном мире существуют такие распространенные каналы передачи данных, как MSN Messenger, Microsoft Lync, Skype, ICQ и т. д. Со временем появляются все новые каналы выхода конфиденциальной информации, такие как «облачные» календари, которые становятся популярными у сотрудников компаний, «Яндекс.Диск», Dropbox и многие другие. Производители DLP-систем активно развиваются, стремясь увеличить количество каналов, которые они могут контролировать.

– Какие еще уровни защиты существуют сегодня? Имеются ли аналоги DLP-систем?

– На практике с помощью DLP-системы нельзя контролировать всю конфиденциальную информацию, поэтому существуют отдельные классы продуктов, которые позволяют защитить компанию от рисков утечки конфиденциальных данных. Самым существенным риском для каждой организации являются привилегированные пользователи, обладающие расширенными правами доступа на компьютере, серверах или в других системах. Сотрудники компании реализуют поставленные им задачи, часто имея доступ к конфиденциальной информации, что в случае недобросовестности или невнимательности пользователя повышает риск ее распространения или утечки. Ввиду этого наиболее активное развитие на современном этапе получают решения, связанные с защитой баз данных, поскольку именно они являются одним из наименее охваченных направлений в области защиты конфиденциальной информации. В качестве примера можно рассмотреть компанию, имеющую собственную базу данных SQL, в которой содержится конфиденциальная информация. Пользователь, обладающий привилегированными правами доступа, может получить выгрузку этих данных, используя вполне легальные средства и легальные инструменты, которые компания сама предоставила ему для работы. После выгрузки информации из базы отслеживать ее распространение становится сложно. Ввиду этого разрабатываются определенные системы, которые позволяют анализировать запросы, обращенные к базам данных, и, исходя из этого, определять – какую информацию из базы данных пользователь намерен получить. Если пользователь намеревается выгрузить большой массив данных, содержащий конфиденциальную информацию, система может оповестить об этом офицера безопасности либо запретить пользователю проведение такой операции. Подобная работа системы обеспечивает защищенность на уровне сетей и представляет собой отдельный класс продуктов, никак не связанный с DLP-системами. Такого рода системы позволяют защитить как саму базу данных, так и информацию, хранящуюся в ней.

– Какие сегодня существуют варианты защиты конфиденциальной информации, которая хранится на внутренних ресурсах компании?

– Потребность в защите часто появляется у организаций, которые хранят конфиденциальную информацию на файловых ресурсах (файловые сервера, порталы и т. д.). В таком случае службе ИБ или людям, которые отвечают за сохранение конфиденциальности информации, нужно понимать, что происходит на местах хранения данных, кто к ним обращается, кто с ними работает, как с ними работают в конкретный момент времени, что конкретно пользователь открывает. DLP-системы сегодня не имеют возможности анализировать такого рода информацию и предоставлять соответствующую информацию службе ИБ. Именно поэтому на рынке ИБ существует смежный класс продуктов, который позволяет анализировать то, что происходит на файловом ресурсе, отслеживать модель поведения пользователя. Если по каким-то параметрам она противоречит его обычному поведению, система выдает оповещение. Таким образом, если человек работает за компьютером и обращается за день к 20 файлам, хранящимся на файловом ресурсе, тогда, например, аномальным будет считаться такое поведение, при котором пользователь в течение короткого промежутка времени обратился сразу к 100 файлам. Это позволяет сделать вывод о том, что пользователь моментально открывает и просматривает файлы или копирует их. Этого достаточно для того, чтобы офицер безопасности акцентировал свое внимание на действиях пользователя. Реализация такого рода функционала – это следующий этап для производителей в разработке DLP-систем.

– Как защитить конфиденциальную информацию, если привилегированными правами доступа к информационным системам обладают сотрудники внешних организаций?

– В большинстве случаев многие компании предоставляют партнерам или клиентам удаленный доступ к своим информационным системам. Компании пользуются технической поддержкой от разного рода интеграторов, от производителей программного обеспечения. Они предоставляют повышенные привилегии доступа в свою корпоративную среду, что создает дополнительные проблемы контроля за действиями внешних пользователей. Для защиты информации компании приходится отвечать на ряд вопросов: что пользователь делает в тот или иной момент времени, к каким системам он обращается, какие действия производит. Для контроля за пользователями, анализа их действий, понимания того, чьи действия привели к тем или иным ошибкам и в какой момент времени, а также для контроля за рисками, связанными со всеми несанкционированными действиями пользователей, обладающих повышенными привилегиями доступа к информационным ресурсам и к серверам, на российский рынок выходит отдельный класс систем информационной безопасности, который начинает активно пользоваться спросом. Основными заказчиками таких систем являются банки, которые осуществляют поиск определенного рода средств защиты, подбирая их под свои нужды с целью минимизации всевозможных рисков, связанных с утечкой конфиденциальных данных.

– Существуют ли сегодня решения, которые могут работать в связке с DLP-системами?

– С большинством DLP-систем интегрируется система Information Rights Management – система контроля доступа к информации. На российском рынке широкое распространение получили системы Rights Management (Microsoft) и LiveCycle (Adobe). В настоящее время появляются и другие производители, которые разрабатывают системы, позволяющие контролировать доступ пользователей к информации. В большинстве случаев работа систем основана на принципе шифрования, «запечатывания» конфиденциального документа ключом или сертификатом пользователя. В случае если он оказывается за пределами защищаемого периметра, его невозможно открыть и ознакомиться с его содержанием. Система Information Rights Management также ограничивает распространение информации между сотрудниками внутри компании, так как передать информацию внутри компании можно различными способами, а внутреннюю утечку данных DLP-системы не всегда в состоянии предотвратить. Такого рода системы приобретают все большую популярность и активно используются в работе в связке с DLP-системами, так как «узкое» место Information Right Management состоит в том, что «автор» документа собственноручно должен ограничить доступ к создаваемому документу, т.е. распределить права: кому можно открывать документ, кому можно печатать документ, кому можно вносить в него правки и т. д.

По материалам каталога программных решений Softline direct.