Системы защиты от утечек данных: как они внедряются
руководитель блока DLP компании Инфосекьюрити
Использование систем предотвращения утечек данных становится всё более общепринятой практикой не только среди крупных компаний и организаций, но и в среднем бизнесе. О системах DLP и существующих практиках их внедрения рассказывает Анна Попова, руководитель блока DLP компании Инфосекьюрити.
Более 90% наших заказчиков - это крупные компании, ведущие игроки в своих отраслях. Для таких клиентов актуальны все виды рисков - репутационные, финансовые, юридические. Например, утечка базы клиентов коммерческого банка влечет:
- нарушение закона о банковской деятельности;
- нарушение закона о персональных данных;
- риск оттока клиентов к конкурентам, которые будут их переманивать;
- ущерб имиджу банка.
И этот пример вполне жизненный. Среди наших клиентов был банк, переживший отток сотен и тысяч клиентов. После «слива» клиентской базы конкуренты обзвонили вкладчиков, у которых заканчивался срок депозита и пригласили их переходить к себе на выгодные условия. Ситуация абсолютно реальная и вполне объяснимая - любая компания заинтересована в новых клиентах, и воспользоваться для этого чужой клиентской базой - простой и удобный способ укрепить свое положение на рынке.
Еще одной причиной внедрять и использовать DLP становится соответствие требованиям регуляторов, которые касаются банковских, кредитных, финансовых организаций и многих других отраслей. Защищать данные от утечек предписывают многие законодательные акты, в том числе закон о банковской деятельности, закон о коммерческой тайне, закон о защите критической информационной инфраструктуры. В этих законах четко прописано, какие данные подлежат защите и как они должны храниться и передаваться. Хотя аббревиатура DLP не упоминается в тексте законов прямо, требования по защите вполне однозначно трактуются как предотвращение утечек данных.
Первое необходимое условие для внедрения системы защиты от утечек - наличие в компании пакета документации - актуального перечня данных, которые подлежат защите: здесь должны быть перечислены конкретные активы и объекты. Документация может называться «Перечень сведений, составляющих коммерческую тайну» или как-то иначе, и в ней должно быть подробно описано, кто имеет право доступа к тем или иным данным, на основании каких документов, как этот доступ выдается и отзывается, что именно можно делать с данными и что нельзя, по каким каналам связи их можно передавать и т.д. Именно эта документация лежит в основе системы защиты от утечек. Кроме персональных данных и клиентских баз к критической информации, которая не должна покидать корпоративную сеть, может относиться широкий круг данных, например договора, финансовая отчетность, конструкторская документация и т.п. В каждой компании может оказаться уникальный набор данных, которые требует защиты от утечек.
Казалось бы, самый простой и эффективный способ - перекрыть вообще все каналы, по которым теоретически возможен слив данных. Однако такой подход невозможен с точки зрения бизнеса, так как любые бизнес-процессы требуют передачи данных по каналам связи. В реальной жизни требуется найти баланс открытости и защищенности и, конечно, контролировать в строгом соответствии с политиками каналы передачи данных: почту, мессенджеры, службу печати, и все остальное. Именно это и делают системы класса DLP.
Prevention в аббревиатуре DLP означает предотвращение. Однако на практике DLP-системы российского производства могут действовать в двух режимах: наблюдения и блокировки. Первый режим позволяет выявлять инциденты утечки, а второй - блокировать их.
Итак, мы внедряем систему DLP в компании, например, с 50 тыс пользователей. Первое, о чем надо задуматься - какое количество потенциально опасных событий будет регистрировать такая система. Если у нас нет возможности анализировать тысячи событий в день - систему надо настроить так, чтобы событий были не тысячи, а сотни - для этого уменьшаем количество триггеров, смягчаем условия генерации оповещений об опасных событиях.
Еще один полезный механизм для предотвращения перегрузки событиями - профилирование сотрудников и их распределение по группам риска. Пользователь, совершающий подозрительные действия, попадает в особую группу, и за ним устанавливается более пристальное наблюдение, вплоть до обследования вручную снимков экрана, логов клавиатуры, чтение переписки и т.д. Наш опыт показывает, что на 10-15 тыс пользователей примерно 200 человек попадает в такую подозрительную группу. Конечно состав этой группы должен динамически обновляться.
Вообще, чем больше «сырых» событий собирает система, тем больше аналитического ресурса требуется на обработку этой информации. Приведу долгосрочный пример: около 8 лет мы обслуживали DLP в компании с 20 тыс сотрудников. Обработкой событий занимались 15 аналитиков, причем уровень аналитики был очень глубокий. Кстати, дело упростила длительность проекта - за первый год аналитики разобрались, какие сотрудники и с какой информацией работают, и впоследствии наблюдение шло в более спокойном режиме.
Приходится сталкиваться и с неудачными примерами. Если в компании численностью 100 тыс сотрудников аналитикой DLP занимается 1-2 человека, они должны будут работать круглосуточно, и все равно не справятся. К сожалению, такие неэффективные внедрения бывают, и дорогая система DLP не дает того результата, которого от нее ждут.
Гарантированно получить ожидаемый результат поможет подход «DLP как сервис». Речь идет о команде аналитиков и инженеров, которые полностью берут на себя сопровождение DLP системы и аналитическую обработку информации, которую она генерирует. Эта команда работает в тесном взаимодействии со службой безопасности и руководством заказчика, отчитывается перед ними и может выполнять е конкретные поручения, связанные с расследованием инцидентов. Таким образом мы помогаем заказчикам получить ожидаемую отдачу от внедрения DLP и освобождаем их от необходимости содержать собственных аналитиков.
Функционально DLP как сервис по всем признакам очень напоминает SOC, отличие состоит в том, что центром такого центра реагирования является не SIEM а DLP-система. Его даже иногда называют SOC DLP.
Существующие системы DLP принципиально различаются подходом - наблюдение или блокировка. Кроме того системы могут быть по-разному реализованы. Одни вендоры разрабатывают DLP в формате web-приложения, другие - выглядят как толстый клиент, третьи - как тонкий. Еще один важный фактор - полнота покрытия каналов передачи данных. Например, один вендор объявляет о поддержке своим продуктом мессенджера telegram, и остальные оказываются по telegram в положении догоняющих. Вообще производители различных систем DLP смотрят, развивая свои продукты, не только друг на друга, но и на реальные потребности своих клиентов и многое дорабатывают по их запросу.
На российском рынке присутствует уже множество систем отечественного производства -4-5 игроков могут похвастаться большими инсталляциями на десятки тысяч человек.
У Softline и Инфосекьюрити нет любимой системы DLP. Мы хорошо знаем разные системы и можем предложить выбор, причем по любому продукту наша экспертиза соответствует экспертизе вендоров. Также мы готовы в интересах клиента работать с любой системой, которая у него уже есть.
Возможность регистрировать любые действия пользователей позволяют применять DLP-системы не только для предотвращения утечек, но и для решения ряда других задач. Такие побочные эффекты очень интересны нашим заказчикам. Мониторинг производительности труда, отношений в коллективе, поведенческий анализ позволяют руководству и службам безопасности объективно оценивать эффективность работы сотрудников, выявлять людей, склонных к противоправной деятельности, вести оперативно-разыскную работу.
Среди наших заказчиков множество крупных компаний, лидеров в своих отраслях. Это Банк Точка, инвестиционная компания Sova Capital, производственный Кама-Холдинг и десятки других организаций, которых мы не можем упоминать.
