Новости

DLP – вопросы идеологии

DLP – вопросы идеологии

15.06.2010 02:19

Сергей Хайрук

CIO-World

Российский рынок DLP медленно, но верно прибавляет в объеме. По данным аналитиков портала Anti-Malware.ru, кризисный 2009 год показал 8.1% прироста по сравнению с 2008-м - это 15,3 млн долл., распределенные между считанным количеством игроков. Но, в отличие от антивирусного рынка, взрывного роста вендоры так и не дождались. Более того, проекты, ориентированные исключительно на DLP (яркий пример - Perimetrix) оказались несостоятельными. В компании InfoWatch (32,7% рынка, по данным Anti-Malware.ru) не скрывают, что концепция DLP в ее классическом понимании оказалась невостребованной.

«В отличие от решений по защите инфраструктуры, антивирусов, например, DLP- решение нельзя внедрять без изрядной доли консалтинга. К тому же достаточно сложно измерить результат, поэтому рынок чистых продуктов DLP в мире растет гораздо медленнее, чем предполагали аналитики ранее. Однако задача защиты данных от утечки и других внутренних угроз по-прежнему остра. Поэтому сегодня большинство DLP-продуктов интегрируется с другими средствами защиты, системами проведения расследований, а также со средствами мониторинга инфраструктуры, системами электронного документооборота, решениями по защите контента (DRM и шифрования). Некоторые производители СЭД и UTM в свою очередь встроили в свои решения DLP-модули, лицензировав их у известных производителей. Полагаю, что эта тенденция сохранится в ближайшем будущем. Именно по этой причине «Лаборатория Касперского» и InfoWatch планируют расширение взаимовыгодного сотрудничества», - отмечает Ольга Горшкова, PR-менеджер InfoWatch.

Причины столь невысокой динамики спроса на решения DLP во многом очевидны. По сути, вендоры не предлагают ничего нового, в том или ином виде защитный функционал, близкий идеологически решениям DLP, присутствует во многих продуктах, давно представленных на рынке. Ставка делается на комплексный подход, когда разрозненные средства защиты работают совместно, порождая синергию.

Михаил Чернышев, технический консультант McAfee в России и СНГ: «Не секрет, что отдельные компоненты систем (DLP – прим. Ред.), такие как шифрование или контроль сменных носителей уже давно присутствуют на рынке и успели распространиться практически повсеместно, однако эти решения в чистом виде не предоставляют возможности осуществлять упреждающую защиту от случайной или злонамеренной утечки информации... Существует острая необходимость обеспечить комплексную защиту конфиденциальных данных, не нарушая при этом нормальных бизнес-процессов компании».

Представители интеграторов, призванные решать эту задачу, видят в кроссфункциональности современных ИБ-технолгий только положительные стороны: «...развитие «традиционных» средств ИБ и информационных систем вообще, тянет за собой средства контроля на уровне данных приложений, на уровне документов, - поясняет Дмитрий Михеев, эксперт центра информационной безопасности компании «Инфосистемы Джет». - Многие продукты «осваивают» технологии, относящиеся к DLP, системы разных производителей начинают включать средства интеграции друг с другом для решения задач контроля и предупреждения утечек. Тема идеологически принята потребителями, теперь начинается соревнование в качестве реализации, разработке типовых сценариев настройки, адаптации к реальным задачам – что включает в себя как технические решения, так и решения формальные и административные… DLP-решения приносят наибольший эффект в случае аккуратной интеграции в инфраструктуру и в рабочие процессы организации. А наибольшие затраты на внедрение – не технические, а идеологические и политические. Те игроки, которые научатся качественнее внедрять и сопровождать эти системы, получат преимущество».

Тема идеологии всплывает далеко не случайно. Особенность рынка DLP, помимо прочих, в неустоявшемся понимании того, что же идеологически представляет собой система DLP– набор средств мониторинга или активного противодействия.

Андрей Конусов, генеральный директор LETA IT-company: «Большинство современных DLP-систем технологически позволяют включать их как в режиме мониторинга (т.е. информация не блокируется, но о факте утечки конфиденциальных данных сообщается офицеру безопасности), так и в «боевом» режиме, блокирующем отправку конфиденциальной информации... При этом каждый из вариантов имеет свои плюсы и минусы. Основным плюсом работы в режиме мониторинга является полное невмешательство в бизнес-процессы компании и, как следствие, отсутствие каких-либо неудобств и претензий со стороны бизнес-подразделений. Основной минус в том, что утечка конфиденциальной информации сначала произойдет, а потом мы о ней узнаем. Работа в «боевом» режиме имеет диаметрально противоположные достоинства и недостатки. Но при этом, переводя систему в «боевой» режим, нужно отдавать себе отчет, что производить расследования по выявленным системой инцидентам нужно будет в кратчайшие сроки. Иначе можно легко представить, чем обернется для службы информационной безопасности блокировка какого-либо важного письма, содержащего конфиденциальную информацию, отправляемую по согласованию с руководством и не полученную адресатом в нужные сроки».

InfoWatch приводит конкретные данные - из всего числа клиентов (более 100 крупнейших компаний России), лишь одна использует DLP систему для блокировки отправки конфиденциальных данных за пределы корпоративной сети. Все остальные с помощью DLP систем мониторят ситуацию и анализируют ИБ-инциденты.

«Спектр применений и решаемых задач для DLP-системы потенциально может быть довольно широким – от контроля лояльности сотрудников до решения задач по выработке культуры в части информационного обмена… Мне кажется, в первую очередь стоит считать DLP средством для управления информационными активами, работающим в пользу владельцев информации. В части решения конкретной задачи – автоматического предотвращения случайных непреднамеренных утечек – эти средства очень хороши. С другой стороны, мы должны понимать, что причины утечек могут быть разными, и проблема целенаправленного обхода средств защиты существует. Бороться с социальными проблемами техническими средствами возможно, но результат может оказаться обескураживающим», - продолжает Дмитрий Михеев.

Тархов Андрей, руководитель отдела внедрения и технической поддержки Rainbow Security обращает внимание на еще одно немаловажное обстоятельство: кто должен принимать решение о блокировке передачи информации – аналитик или сама система? Общепринятой позиции в этом вопросе пока нет, но «…в обоих случаях передача должна быть, как минимум, приостановлена, так как проблему лучше предотвратить, чем потом устранять её последствия. Расследование факта утечки или потенциальной утечки впоследствии — важный момент, но, думаю, все согласятся, что постановка этой части задачи, как «расследовать факт предотвращенной утечки» звучит намного лучше».

О предотвращении, как наиболее верной трактовке назначения DLP, говорят и в McAfee. Михаил Чернышев: «Аббревиатура DLP, с моей точки зрения, раскрывается, как предотвращение утечки данных. Здесь даже более уместен термин «упреждение». Утечки данных могут быть и злонамеренными (атаки хакеров или кража информации) и случайными (например, потеря USB-флэш накопителя), поэтому необходимо иметь возможность противостоять обоим видам утечки данных и заниматься не столько расследованием возникших инцидентов, сколько - их упреждением».

Согласны с этим положением и в Symantec. «Если DLP система не имеет функционала активной блокировки попыток утечек информации - это не DLP-система. Само название DLP предполагает возможность предотвращения утечек (Prevention). Разумеется, активировать этот функционал не обязательно и очень часто администраторы стараются этого не делать (особенно на ранних этапах внедрения системы). Для решений, не имеющих возможностей по блокировке, можно было бы придумать новое название - DLD (Data Loss Detection), - отмечает Олег Головенко, технический консультант Symantec.- На мой взгляд, наиболее удачная интерпретация аббревиатуры DLP - ее дословный перевод. DLP - это предотвращение потери данных. Разница между утечкой и потерей данных незначительна, но она есть. Разумеется любая утечка данных из организации это потеря. Но не каждая потеря данных вызвана утечкой. Например, аппратный сбой файлового сервера, хранящего конфиденциальную информацию, может привести к потере этих данных. Или более реалистичный сценарий - случайное или преднамеренное удаление пользователем важной финансовой информации - это потеря этих данных для компании. По настоящему комплексный подход к защите данных должен быть в состоянии противостоять и таким сценариям. Уже сейчас некоторые DLP системы позволяют перемещать конфиденциальные данные в надежные защищенные хранилища и помогают тщательно контролировать права доступа пользователей к этим данным или даже интегрироваться со сторонними системами для создания резервных копий информации, содержащей защищаемые данные».

Казалось бы, если система позволяет закрыть нелегитимное перемещение информации, это должно быть сделано, но… важно понять, что идеология DLP в большой степени ориентирована на противодействие случайным утечкам. Система позволяет выяснить, какая информация циркулирует в компании и по каким каналам, чтобы впоследствии этой информацией управлять. Тогда будет возможна работа на упреждение, тогда появится реальное знание о том, как же избежать утечек. И, что важно подчеркнуть – даже в разговоре с клиентом DLP-система может и должна рассматриваться как источник знаний для предотвращения утечек, но не как стопроцентное средство защиты.

Ольга Горшкова: «По статистике аналитического центра InfoWatch, подавляющее количество утечек информации из компаний являются непреднамеренными. Случайность, халатность сотрудников: ну, подумаешь, скинул бухгалтерскую отчетность на флэшку, повез домой и, ой, выронил в супермаркете. Тендерную документацию отправил на приватный веб-ящик, который хакеру взломать – раз плюнуть! Поделился с другом в аське стратегическими планами компании – а что, мы же друзья!!! Прежде всего от таких безалаберных сотрудников DLP системы и защищают конфиденциальную информацию компании. Со злонамеренными инсайдервами дело обстоит сложнее – здесь важен комплекс организационных и технических мер противодействия».

DLP-система не является продуктом в чистом виде, концепция plug’n’play здесь просто не работает. Внедрение и поддержание системы в «боевом» состоянии - серьезное испытание компетенций интеграторов и внутренних служб компании. Скорее всего, именно сложность эксплуатации и, как следствие, сопротивление ИБ-служб, можно назвать в числе факторов, препятствующих более активному проникновению DLP. Да и тот факт, что режим мониторинга используется намного активнее, чем режим блокировки, также говорит о многом – неверно выстроенная логика блокировки может легко привести к остановке бизнеса компании, а в результате к санкциям в отношении ИБ и ИТ-службы. В то время как при работе в режиме мониторинга виновные в утечке априори будут из числа пользователей.

Аргументация в пользу DLP строится по аналогии с близким по характеру антивирусным рынком. На первый план выходят риски потери конфиденциальной информации. Михаил Чернышев: «Утечка данных лишь до определенного момента может расцениваться как риск, который невозможно измерить. Но это длится ровно до тех пор, пока утечка конфиденциальных данных не наносит непоправимого урона репутации, бизнесу компании или вообще не ставит под вопрос существование компании как таковой».

«Мы оценивали внедрение DLP-системы в терминах «денег для заказчика», - подчеркивает Дмитрий Михеев. - В некоторых сценариях у нас получается, что решение для владельца информации «отбивается» за 2–3 месяца просто за счет работы с основными рисками. Риски, связанные с движением информации, реальны и цена их не только довольно высока, но и постоянно растет. Кроме того, внедрение DLP-системы в полном масштабе требует от организации определенного уровня дисциплины, который в противном случае достигается крайне редко… как любая сложная система, проникающая в бизнес-процессы, DLP-системы – не игрушка и не капитальное средство производства. Довольно много компаний просто не нуждаются прямо сейчас в полномасштабных средствах DLP. Кому–то достаточно части компонентов, а кому–то требуется сначала разрешить другие проблемы. И часто эти проблемы не решаются покупкой какого-либо ИТ-решения, каким бы многофункциональным и красивым оно бы не было».

И все же приходится констатировать очевидную недостаточность простых и понятных аргументов в пользу DLP. Речь не о технической стороне вопроса, а именно об идеологии – если большинство компаний, внедривших DLP, используют решение лишь для сбора информации о том, где и как перемещается информация, и пытаются с различным успехом этим процессом управлять, стоит ли тратить на это деньги?

Сергей Ильин, управляющий партнер Anti-Malware.ru отмечает: «В большинстве случаев потенциальные клиенты пока не видят большой угрозы своей безопасности в собственных сотрудниках. Российское законодательство, в отличие от американского или западноевропейского, не обязывает компании сообщать общественности даже о фактах утечки персональных данных граждан. Поэтому тема утечек из российских компаний остается крайне закрытой. Визуально выходит, что никакой особой угрозы и нет, а вендоры намеренно запугивают бизнес страшилками из зарубежной прессы. Также работает против рынка и привитый российскими вендорами стереотип о сложности и дороговизне защиты от утечек. Даже если клиент осознает угрозу для бизнеса, он может быть попросту не готов выделять большие бюджеты, людские ресурсы и менять устоявшиеся бизнес-процессы. Значительное упрощение и удешевление защиты – вот ключевой вызов на ближайшие годы для игроков DLP-рынка, рассчитывающих на серьезный успех и выход на массового клиента».

В заключении нашей небольшой дискуссии хотелось бы еще раз пригласить экспертов и участников рынка к обсуждению данной темы в комментариях. Пока, к сожалению, здесь больше вопросов, чем ответов, но редакция портала CIO-world.ru надеется, что совместными усилиями нам эти ответы отыскать.

Возврат к списку

 

Защита банкоматов

Имя* Компания* Email* Телефон

* - Поля, обязательные для заполнения

Компрометация приложений для смартфонов

Имя* Компания* Email* Телефон

* - Поля, обязательные для заполнения

Семинар ATAR

Фамилия* Имя* Должность* Компания* Email* Телефон* Защита от автоматического заполнения Введите символы с картинки*

* - Поля, обязательные для заполнения

Заполните поля

Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*

Заполните поля

Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*