Практика внедрения: ожидания и реальность
Когда заходит разговор о случаях из практики внедрения и использования DLP-систем, часто ожидают, что сейчас будет кино и немцы. Расследование, погоня, доблестные сотрудники СБ задержали злоумышленника, а потом в суде его приговорили к штрафу, увольнению и десяти годам непрерывного расстрела. Ну или хотя бы историю о том, как хакеры при помощи секретной технологии все-таки обманули доблестное СБ и скрылись с похищенными данными. А потом продали их за миллиард долларов и жили долго и счастливо на островах в теплом море.
Однако на практике я ничего такого не рассказываю. Потому что ничего такого обычно не бывает. И это не потому, что секретность и заказчики не разрешают нам рассказывать об утечках. А потому, что никто особо не в курсе, были вообще утечки, или нет. Это в банках весело: там банкоматы вскрывают, охранные системы взламывают, сотрудников шантажируют – чистый Голливуд! А все потому, что это живые деньги, которые легко считать.
А DLP – это не про деньги, а про данные. Совсем другая история. И рассказы о внедрениях превращаются в нудную эпопею о том, как мы убеждали службу ИБ, что им это надо. Потом шантажировали ответственных лиц, чтобы они нам рассказали, что же такое на самом деле в их компании защищаемая информация и где ее искать. Потом объясняли бухгалтерам и юристам, почему им теперь не рекомендуется носить КТ на флэшке домой.
То есть вместо работы инженера получается работа детектива, психолога и бродячего проповедника.
Почему так получается?
Откуда берутся такие трудности? Казалось бы, идею защищать свою собственность, причем ценную (а зачастую, и критичную), должны встречать с энтузиазмом. Но этого обычно не происходит.
Причины этого явления я себе вижу примерно такие:
- неготовность идеологии;
- неготовность инфраструктуры;
- неудачный маркетинг;
- перфекционизм.
Неготовность идеологии
Уровень развития ИТ и ИБ в компании зависит от многих факторов. От возраста компании, от наличия бюджета, от размеров, от отрасли, от политики руководства. Но, так или иначе, все находятся на разном уровне.
И самая первая, самая серьезная проблема – это проблема зрелости в психологическом, идеологическом плане. Если в компании к конфиденциальной информации относятся небрежно, нет понимания что это такое и зачем ее вообще надо защищать – внедрение DLP-системы встретится с огромными трудностями. Сотрудник, который возьмется за такую задачу, столкнется с непониманием и неодобрением со стороны руководства и яростным сопротивлением со стороны пользователей.
И оставить бы такую ситуацию в покое – зачем спасать людей против их воли? Но получается это не всегда, потому что часто возникает ситуация – Верховное Руководство по результатам инцидента в другой компании холдинга приказало внедрить, а на местах к этому реально не готовы.
Не готовы психологически: у людей нет понимания, что информация стоит денег и что ее можно красть, и что часто информация стоит намного больше, чем грузовик алкогольной продукции или металлопроката.
Не готовы организационно – в компании никак не регламентирована процедура защиты конфиденциальной информации и даже просто нет понимания, которая информация конфиденциальная.
Не готовы технически – компании бы сначала межсетевое экранирование и резервное копирование наладить, парк хоть немножко обновить, чтобы работники не совсем уж на печатных машинках работали.
И вот получается, что приказ внедрить DLP-систему есть, а готовности и возможности его выполнить нет. Это сложная ситуация и для компании-заказчика, и для компании-интегратора, а разрешается она часто внедрением «муляжа» системы – в ограниченном объеме, без реальных политик. То есть покупается массогабаритный макет системы по цене оригинала.
Неготовность инфраструктуры
И, кстати, о печатных машинках. Как правило, компании в технологическом плане развиваются по некоторому естественному пути. Есть самые простые, самые необходимые и, как правило, самые дешевые решения. Их внедряют в первую очередь. Понятно, что нет смысла внедрять какие-то сложные системы обнаружения целенаправленных атак, если в компании толком не внедрено межсетевое экранирование, нет централизованного управления антивирусным ПО и не настроено резервное копирование.
Перепрыгнуть через этот естественный процесс по ряду причин довольно трудно, а главное – незачем. Таким образом, компания должна быть готова к внедрению того или иного решения в области ИТ и ИБ, дозреть до него. А DLP-системы как раз находятся довольно высоко на этой эволюционной лестнице, и зреть до них обычно приходится довольно долго. Соответственно, многим компаниям DLP-система просто не нужна на данном этапе. То есть нужна, конечно, но у них есть много других, более актуальных задач и более простых, дешевых и нужных решений, которые надо внедрить.
Неудачный маркетинг
Отдельная беда – это маркетинг. Вроде бы, маркетинг должен помогать продавать, а на практике часто все получается наоборот.
Есть такая штука – Hype Cycle (цикл зрелости технологий по Gartner). Вкратце ее суть: каждая новая технология проходит определенный цикл развития. Технология появляется, развивается, вызывает интерес, идет в продажу – и вот тут включается маркетинг. Реклама. Которая обещает, что система будет делать все, решит все проблемы, а также будет приносить кофе в постель и еще немного вот этой вкусной спаржи под сливочным соусом. А технология на этой стадии еще сырая. И получается большой разрыв между ожиданиями и реальностью, вызывающий сильное разочарование. Ну и распространяется мнение, что технология эта – обман, ненужная игрушка и вымогательство денег.
И все, технология дискредитирована. Потом, если повезет, все-таки случается работа над ошибками, адаптация, развитие, и технология все-таки находит себе место на рынке. Но это – если повезет.
Что касается DLP, в России мы находимся на стадии, когда производители оправляются от последствий бестолковой и недобросовестной рекламы, а продукты совершенствуются и становятся достойными взрослыми решениями. Технологии, отечественные разработки в том числе, шагнули далеко вперед. Есть возможность контролировать практически все каналы. Технологии распознавания конфиденциальных данных продолжают улучшаться. Но вот этот вкус разочарования – «мы попробовали/посмотрели/почитали, и все это ваше DLP сплошной обман» – он все еще присутствует.
Перфекционизм
Перфекционизм на практике часто означает: «все или ничего». То есть DLP-система должна уметь и аудит, и блокировку, и контролировать все мыслимые каналы, распознавать в текст речь и картинки, понимать, что на картинках нарисовано если это не текст, и еще много чудесных вещей. А вот если система чего-то из этого не умеет – то и связываться с ней не стоит.
Желание получить все оптом понятно. Но, во-первых, не бывает систем, которые умеют все. Возможно, в будущем они появятся, и новые системы будут соревноваться не столько в количестве возможностей, сколько в качестве их реализации. Но пока идеальных систем нет. Во-вторых, система, которая многое может – много стоит. Варианта «могу все за три копейки» тоже пока нет.
Ну и еще одно последствие маркетинга – почему-то считается, что достаточно DLP систему установить, и она сразу, из коробки, найдет всех злоумышленников и предотвратит все утечки. Причем полностью самостоятельно. Что, конечно же, далеко от действительности. Обратная сторона сложной всеобъемлющей системы – значимые трудозатраты по внедрению, а главное, по обслуживанию.
Так что выбирать надо не всемогущую систему, а такую, которая будет решать именно актуальные проблемы за те деньги, которые стоит решение этих проблем.
Ну что, играем?
Так что основную сложность во внедрении DLP-систем (и одну из главных причин такого большого числа утечек) я вижу в том, что многие компании еще не готовы защищать свою информацию. Кто-то технически, кто-то организационно, но большинство – идеологически.
А количество и объемы утечек растут. Причем 2/3 утечек по статистике приходятся именно на долю внутренних нарушителей, то есть однозначно относятся к сфере действия DLP-систем. Да, можно продолжать надеяться, что «эта история не про нас, и мы никому не интересны». Можно продолжать относиться к тому, что увольняющиеся менеджеры уносят с собой базы, как к привычному злу и сразу закладывать эти убытки в бюджет. Другое дело, что на дворе кризис, и есть мнение, что спонсировать воров и несунов – непозволительная роскошь.
Но есть обратные ситуации. Компании с небольшим бюджетом на ИБ внедряют у себя отдельные модули DLP-систем, какие-то отдельные механизмы – чтобы бороться именно с теми угрозами, борьба с которыми является приоритетной. Не гоняясь за маркетинговыми призраками, не отворачиваясь от угроз, ставя перед собой реальные цели и достигая их.
Является ли DLP-система модной игрушкой или инструментом – вопрос отношения. Если относиться к ней как игрушке – получится игрушка. А если как к инструменту – с ней вполне можно решать поставленные задачи и достигать намеченных результатов.
Комментарии (33)
Saffron
18.05.2016 17:46+1> Можно продолжать относиться к тому, что увольняющиеся менеджеры уносят с собой базы, как к привычному злу и сразу закладывать эти убытки в бюджет. Другое дело, что на дворе кризис, и есть мнение, что спонсировать воров и несунов – непозволительная роскошь.
Простите, но я не заметил в описании проблемы фактов воровства. По поводу базы клиентов — планируете чистить память людям после увольнения? Такие технологии уже есть?
USSCLTD
19.05.2016 09:53+1Простите, но я не заметил в описании проблемы фактов воровства.
Статья получилась не столько о проблемах, которые решают средствами DLP-систем, сколько о проблемах, которые возникают при внедрении этих систем. Поэтому здесь очень мало про факты воровства, халатности, коррупции, про то, как одно отличать от другого и т.п. Возможно, следующая статья по теме DLP будет про это, тогда поподробнее и рассмотрим эти вопросы.
По поводу базы клиентов — планируете чистить память людям после увольнения?
Согласен, пример не очень чистый. Хотя много таких баз, которые не запомнишь. Другое дело, что клиентскими базами, безусловно, список защищаемых данных не ограничивается.
Но — да, я соглашусь. Как бы это не шокировало, у DLP-систем действительно есть ограничения.
whiplash
18.05.2016 17:47+1Вы главное помните хотя бы пару аксиом)
1. DLP — это не защита от утечек информации, а защита от СЛУЧАЙНЫХ утечек информации.
2. Исходя из п.1 — ваши данные всё равно утекут, когда придёт срок.
Klukonin
18.05.2016 22:38+2+1
Знаю один случай, в одной коммерческой организации уводили топовых клиентов. Поставили новомодные системы DLP — эффекта ноль.
Потом выяснилось, что один из менеджеров просто ЗАПОМИНАЛ реквизиты топ клиентов и за несколько недель собрал почти полную базу.
Как СБ это выяснило, хз, не исключен ТРК. Но фак остается фактом, DLP сможет защитить лишь от тетушки бухгалтера, забывшей стереть из письма ненужный адрес или от ушлого главбуха, таскающего с собой базу на флешке «дома поработать, а то конец месяца и я не успеваю...».
Часто бывают комичные ситуации. DLP стоит, главбуху базу унести не дает. Главбух идет жаловаться руководству, которое потом натягивает отдел ИБ и дает распоряжение обеспечить возможность копирования базы главбухом. Спрашивается, нахрена тогда покупали DLP…
От намеренного воровства такие системы не спасут. Потому, имхо, нет никакого смысла вгрызаться в траффик, ставить прослушки скайпа и заниматься перехватом документов при печати. Это все лажа, так как сфоткать на телефон можно абсолютно любую информацию. При желании можно даже записывать в блокнот. Что теперь, отбирать телефоны на входе и устраивать всем анальный досмотр на КПП? Бред же.
Проблем от такого подхода просто неимоверное количество и админить инфраструктуру DLP должно большое количество человек. Просто непозволительная роскошь.
Единственное адекватное решение — запретить флешки или контролировать сливаемое на них, дополнительно прикрыв корпоративную почту.
При этом, использование внешних почтовых служб должно быть запрещено.
Почти все случайные утечки будут таким образом отсеяны.
По такому случаю вспоминается стараое доброе «Кормить надо лучше, тогда не улетят...».USSCLTD
19.05.2016 10:13+2Потом выяснилось, что один из менеджеров просто ЗАПОМИНАЛ реквизиты топ клиентов и за несколько недель собрал почти полную базу.
Соглашусь, от таких случаев DLP-система не спасает. Но есть еще масса случаев, когда она как раз будет спасать. Совсем не все можно унести в голове, к счастью.
Часто бывают комичные ситуации. DLP стоит, главбуху базу унести не дает. Главбух идет жаловаться руководству, которое потом натягивает отдел ИБ и дает распоряжение обеспечить возможность копирования базы главбухом.
Распространенная беда. Только это не проблема и недостаток DLP-системы.
От намеренного воровства такие системы не спасут. Потому, имхо, нет никакого смысла вгрызаться в траффик, ставить прослушки скайпа и заниматься перехватом документов при печати.
Вообще-то часто спасают. Да, безусловно, есть способы обмануть любую такую систему — даже без фотоаппарата, запоминания и т.п. Но, как сказал классик, «никогда не следует недооценивать предсказуемость тупизны». Удивительно, насколько распространена ситуация, когда злоумышленник точно зная, что на предприятии применяются средства обнаружения и предотвращения утечек, тем не менее, тупо копирует нужные материалы на флэшку. А вот случаи настоящей хитрости и глубоких познаний в вопросе кражи информации — это как раз, скорее, исключение.
Это все лажа, так как сфоткать на телефон можно абсолютно любую информацию. При желании можно даже записывать в блокнот.
Есть способы борьбы и с такими фокусами. Хотя, как я писал выше, это часто просто не нужно.
Что теперь, отбирать телефоны на входе и устраивать всем анальный досмотр на КПП? Бред же.
Многие так и делают (с поправкой на «анальный досмотр»). Но можно и без этого.
Проблем от такого подхода просто неимоверное количество и админить инфраструктуру DLP должно большое количество человек. Просто непозволительная роскошь.
Это, мягко говоря, не так. В большинстве случаев это работает по схеме «1 администратор + 1 офице ИБ», и все прекрасно справляются. Причем контроль и администрирование DLP-системы у них даже не основной вид деятельности.
Amihailov
19.05.2016 10:13+3Ну раз нет 100% защиты от чего либо, то это еще не значит, что не стоит даже пытаться.
DLP можно обмануть, как и антивирус, как и любые системы авторизации, сейф можно вскрыть, а под забор подкопать.
Не всегда есть возможность закрыть доступ к флешкам и отправке почты почти на все домены, кроме нужных. Компании, где это возможно, скорее, исключение.
Помимо защиты от случайных утечек, намеренных и неумелых утечек, сбора информации для расследования инцидентов, DLP одним своим присутствием заставит инсайдера задуматься об уносе информации. Не любой опытный айтишник знает возможности данной конкретной системы, уровень логирования, не говоря об упомянутых менеджерах по продажам. Вы много знаете менеджеров по продажам, которые обладают нужной компетенцией и достаточной верой в нее, чтобы потащить базу клиентов? :)
DLP в большой компании и умелых руках вполне себе инструмент, особенно в сочетании с другими инструментами.
Я не вижу зла в DLP, если компания взвесила свои возможности и потребности, а затем пришла к решению внедрить такую систему.tbp2k5
23.05.2016 09:08«Я не вижу зла в DLP»:
Что бы DLP работал вам в общем случае нужно для начала ослабить безопасность до уровня допускающего внедрение DLP — убрать шифрование с каналов связи, всунуть свой корневой сертификат на машины или сделать любую аналогичную глупость. Нельзя своими руками ослаблять «реальную» защиту в надежде что DLP чтонибуть поймает. Ваш DLP — потенциально дополнительный канал утечки…Amihailov
23.05.2016 09:23Нет, не нужно убирать шифрование, не нужно ослаблять безопасность :) В случае установки агентов DLP на пользовательские машины — сервер не лезет в трафик (в зависимости от возможностей самой DLP системы, разумеется, так что тут вопрос правильного выбора).
USSCLTD
23.05.2016 09:32Что бы DLP работал вам в общем случае нужно для начала ослабить безопасность до уровня допускающего внедрение DLP — убрать шифрование с каналов связи, всунуть свой корневой сертификат на машины или сделать любую аналогичную глупость. Нельзя своими руками ослаблять «реальную» защиту в надежде что DLP чтонибуть поймает. Ваш DLP — потенциально дополнительный канал утечки…
Ну, вообще-то это немного не так.
Давайте немножко к азам вернемся.
DLP-системы в простом случае (не будем пока касаться вариантов утечек путем кражи жесткий дисков, фотографирования монитора и т.п.) контролируют утечки в следующих точках: почта, web, конечные точки.
Для контроля исходящей почты достаточно использовать SPAN-порт либо mail relay, никакая безопасность здесь не страдает при минимальной грамотности внедрения. В случае необходимости контролировать на предмет утечек еще и внутреннюю переписку (задача более редка и экзотическая, но встречающаяся) обычно используется агент на почтовом сервере — тоже никаких особенных ослаблений безопасности.
Для контроля web, в частности, шифрованных соединений, безусловно, требуется использовать дешифрование трафика и MitM. Что, как бы, несколько ослабляет безопасность. Но, во-первых, именно как бы, а во-вторых и главных, такая дешифровка все равно используется безо всякого DLP. Делается это на proxy либо NGFW — для контроля доступа в интернет, запрет доступа к определенным категориям сайтов и т.п. Такие системы и механизмы традиционно внедряются задолго до DLP (либо, гораздо реже, одновременно — если это комплексное решение по защите доступа в интернет, защите почты и защите от утечек, как ForcePoint Triton, например). То есть, опять же, DLP-система ничего особенно нового в безопасность не привносит.
Ну и контроль на конечных точках (рабочих станциях, ноутбуках, мобильных устройствах, терминальных серверах и т.п.) — это просто агент, такой же, как антивирус, средства контроля целостности и т.п. и точно так же не привносит ничего волшебного в ослабление безопасности. Причем именно этот метод является, на мой взгляд, самым эффективным способом контроля утечек, т.к. позволяет контролировать наибольшее количество потенциальных каналов утечки а заодно как раз оказывает наименьшее влияние на существующую инфраструктуру (хотя не всегда можно только им обойтись).
Резюмирую: DLP-система не ослабляет никакую такую «реальную» защиту, а, наоборот, добавляет к ней еще один эшелон.
Хотя, справедливости ради, я как-то из спортивного интереса придумал сценарий, когда DLP-система использовалась как инструмент утечки. Но это уже совсем экзотика, большое исключение из общего правила и притягивание за уши сопутствующих обстоятельств.
Так что позвольте с Вами, как бы это помягче сказать, не согласиться.tbp2k5
23.05.2016 23:20«Так что позвольте с Вами, как бы это помягче сказать, не согласиться. »:
Вынужден продолжать не соглашаться с вашим несогласием. Вы написали развернутый ответ включающий, в том числе, ответ от "@Amihailov". Позвольте развить мою мысль чуть детальней:
— Фундаментальная проблема DLP №1 — чтобы что-то найти надо знать что искать. Ваш DLP получит доступ к вашим «секретным» данным. Можно конечно обсуждать разные имплементации как оно там хашиться или обсурцируеться но суть одна: кроме клиента и сервера появляется третья сторона. Та самая сторона которая зачастую имеет доступ ко всем источникам «секретных» данных без сегментации по пользователям (или у вас по DLP на базу? ;-)) Как бы ваш DLP не был реализован он самим своим существованием увеличивает экспозицию «секретных» данных — то есть ухудшать безопасность.
— Фундаментальная проблема DLP №2 — чтобы что-то найти надо чтобы вам никто не мешал это делать. Общая тенденция последних лет — систематическая защита клиент-серверных коммуникаций: сетевой трафик шифруется, а система/антивирусы/и т.д. следят чтоб никто не навешивал хуки на системные вызовы и не внедрялся в чужую память. Как бы ваш DLP не был реализован он вынужден ломать/обходить эти механизмы — то есть ухудшать безопасность.
— Фундаментальная проблема DLP №3 — проблема черного ящика. Ваш DLP (любой) — использоваться маржинально и как правило не является открытым. Такое положение значит что на сертификацию хотя-бы на уровеь EAL4 банально не хватает средств и код никто даже случайно не аудитирует. Это позволяем спокойно существовать ошибкам архитектуры, реализации и имплементации. Дыра в Symantec Scan Engine на прошлой неделе как и регулярные дыры в топовых решениях безопасности (за последних несколько месяцев помнятся фатальная «критика» в Juniper, PaloAlto, FortiNet) — яркая тому иллюстрация. Посмотрите эти дыры, там и «arbitrary execution» и фиксированные ключи шифрования, полный фарш вобщем… Как бы ваш DLP не был реализован он привнесет в вашу информационную систему свои дыры при этом он привнесет их в критическом месте — то есть ухудшит безопасность.
Если вы ставите DLP просто для анализа «зеркалированого» сетевого трафика на стандартные маркеры типа «TOP SECRET» и DLP что-то ловит — слава богу — вы нашли удачное решение: срочно латайте дыры. Во всех остальных случаях вы привносите гарантированное ухудшение безопасности в надежде на гипотетическую надежду что-то, когда-то поймать… Как по мне — это неоправданный риск. Адекватной реализаций клиентов и плотным аудитом можно получить тот-же результат без ухудшения безопасности.USSCLTD
24.05.2016 10:00Ок, продолжим.
— Фундаментальная проблема DLP №1 — чтобы что-то найти надо знать что искать. Ваш DLP получит доступ к вашим «секретным» данным.
Безусловно, DLP-система имеет доступ к секретным данным. Часто в ней самой хранятся какие-то данные, относящиеся к конфиденциальным. Но я не вполне понял из Вашей формулировки, в чем здесь проблема, поэтому попробую пофантазировать. В том, что из DLP-системы проще воровать данные? Так ее, в общем-то, просто надо грамотно настраивать и защищать — так же, как любое хранилище, содержащее эти данные. Ничего принципиально нового в список угроз при этом не привносится.
Фундаментальная проблема DLP №2 — чтобы что-то найти надо чтобы вам никто не мешал это делать.
Про шифрование трафика уже писал выше, обсудим endpoint.
Опять же, не очень понимаю, о чем речь. Агент DLP-системы на конечной точке — адекватно установленное легитимное ПО, которое даже не нужно добавлять в исключения антивирусов и прочего защитного ПО. Я не видел конфликтов DLP с антивирусами несколько лет — все ошибки и конфликты давно отработаны и исключены совместными усилиями вендоров. Что же касается уязвимостей самой DLP-системы — то тут смотрим п.1, систему нужно защищать так же, как остальные системы, сопряженные с обработкой конфиденциальных данных. Ничего такого исключительного.
Фундаментальная проблема DLP №3 — проблема черного ящика.
Как было справедливо отмечено, ошибки архитектуры, реализации и имплементации присущи любым системам — в том числе, от изветных мировых производителей с прекрасной репутацией. Причем это относится к открытому коду, к закрытому коду, к коду прошедшему аудит — в любом случае будут какие-то уязвимости. Однако, как мне кажется, это не служит причиной отказаться от использования ПО в целом. Да, были ошибки и уязвимости — однако продукты Symantec, Palo Alto, FortiNet, Cisco и т.п. продолжает пользоваться огромным спросом. Потому что получаемое с их помощью преимущество превышает потенциальные риски.
Так же и DLP-системами — безусловно, есть определенные риски ИБ с ними связанные. Однако эти риски не превышают рисков, связанных с использованием другого ПО (во всяком случае, не критично), а преимущества от использования велики.
Кроме того, DLP-системы в подавляющем большинстве случаев функционируют внутри периметра предприятия, находятся под защитой специализированных средств и добраться до их уязвимостей — отдельная нетривиальная задача. И если все-таки это происходит, значит неадекватно отработали, в первую очередь, все остальные средства защиты и конфиденциальная информация в любом случае оказалась доступной злоумышленникам.
Во всех остальных случаях вы привносите гарантированное ухудшение безопасности в надежде на гипотетическую надежду что-то, когда-то поймать… Как по мне — это неоправданный риск. Адекватной реализаций клиентов и плотным аудитом можно получить тот-же результат без ухудшения безопасности.
За всю свою практику я никогда не слышал о взломе и утечке данных, реализованных через уязвимости DLP-системы. Зато я видел множество случаев, когда утечки при помощи DLP-систем были обнаружены и предотвращены. Так что на практике ситуация получается обратная — вместо «надежды на гипотетическую надежду что-то там поймать» есть стабильные результаты, а вместо «гарантированного ухудшения безопасности» безопасность почему-то не ухудшается.
Ну и встречный вопрос — а что это за «плотный аудит» без применения DLP-систем, при помощи которого можно получить тот же результат? Какими средствами реализуется?tbp2k5
24.05.2016 20:12Мы с вами не согласимся… Я пытаюсь обратить ваше внимание на то что две двери хуже чем одна, а слышу в ответ что ничего страшного просто запирайте покрепче, привязывайте собак потолще и в любом случае не стоит волноваться так как вас все-равно обворуют… Мы явно работаем в разных областях. Так бывает.
По поводу «плотного аудита»: кража практически всегда сопровождается аномальной активностью пользователя (слишком «широкая» и/или частая выборка, и т.д.) — такая активность детектируется по логам активности баз данных или на уровне сервера бизнес логики. Такие системы имеют высокую эффективность но и их можно обойти:
https://ru.wikipedia.org/wiki/%D0%94%D0%B5%D0%BB%D0%BE_Soci%C3%A9t%C3%A9_G%C3%A9n%C3%A9raleUSSCLTD
25.05.2016 10:45Наверное, действительно не согласимся.
Вы мне говорите, что пятьдесят две двери хуже, чем пятьдесят одна, а я Вам говорю, что хуже, безусловно, но не настолько, чтобы отказываться от нужной полезной двери (особенно если сравнивать в процентном отношении).
А вот «все равно обворуют» я не писал, писал обратное, и очень удивлен откуда вдруг такая трактовка моих слов взялась (равно как остальные трактовки моих слов в Вашем последнем комментарии). Так что да, мы наверняка работаем в разных областях.
По поводу аудита — в целом, понятно. Непонятно какие именно средства предлагается использовать для «безопасного» аудита, чтобы не городить «еще одну дверь». Ссылка по этом вопросу ясности не вносит.
То есть я, безусловно, могу предположить, средствами каких систем это можно сделать, но, во-первых, мне не очень понятно, чем они будут принципиально лучше с точки зрения ИБ, чем DLP, а во-вторых, там все очень непросто с эффективностью — особенно если сравнивать с DLP-системами.
Ну и — нет, кража отнюдь не всегда сопровождается аномальной активностью и у меня есть достаточное количество живых кейсов, когда все происходило строго в рамках повседневных обязанностей и не было значимых отклонений от типичного профиля поведения. Но это отдельная большая тема.tbp2k5
26.05.2016 20:2250 дверей: ну если у вас уже 50 дверей то действительно поздно пить боржоми… В таком сценарии DLP поможет хотя-бы вам качественно ценить с какой скоростью у вас воруют данные…
Аудит: такие системы разрабатываются индивидуально вместе с конкретной системой. Точка отбора — обычно хватает логов активности. Ну а далее по-большому счету та-же математика что и для ловли спама. В «умных» и больших системах, например, через k-means строятся стандартные профили и отслеживаются заметные отклонения хотя бывает и обычная эвристика.
«чем они будут принципиально лучше с точки зрения ИБ»: не нужен доступ к чувствительным данным. Для фиксации факта аномалии достаточно данных о активности и несколько метрик — грубо говоря важно не что именно делает пользователь а то насколько это отличается от обычных видов активности пользователей такого типа.
Ну в общем спасибо за беседу.USSCLTD
27.05.2016 08:3250 дверей: ну если у вас уже 50 дверей то действительно поздно пить боржоми… В таком сценарии DLP поможет хотя-бы вам качественно ценить с какой скоростью у вас воруют данные…
Риторика и метафоры, это, конечно, мощный инструмент убеждения, но давайте попробуем вернуться к сути. В инфраструктуре каждого предприятия используется значительное количество ПО, каждое со своими ошибками, уязвимостями и т.п. То есть это не у нас 50 дверей, это у всех так. А про оценить «с какой скоростью воруют» я даже комментировать не буду, уже много раз повторил, что системы внедряются, работают, обнаруживают и предотвращают, и это не только глянцевая отчетность производителей, но и моя личная практика.
Что касается аудита — во-первых, это та самая «еще одна дверь». Во-вторых, статистические методы работают только в части случаев. И не вскрывают подробности утечки. И не могут служить в качестве доказательной базы. В целом — не лучший инструмент в деле борьбы с утечками, хотя своя ниша у него есть и в качестве составляющей комплекса он вполне работает.
Ну а доступ к чувствительным данным у системы — минус, безусловно. Но этот доступ, так или иначе, уже есть у многих систем, а главное — у пользователей. И я не склонен рассматривать еще одну систему как значимую угрозу безопасности.
Тем более, что для большинства компаний наибольшую угрозу представляют как раз «внутренние утечки», организованные, вольно или невольно, силами сотрудников. А вовсе не взломы и использование уязвимостей ПО, о которых Вы столько пишете.
USSCLTD
19.05.2016 10:01+2Вы главное помните хотя бы пару аксиом)
1. DLP — это не защита от утечек информации, а защита от СЛУЧАЙНЫХ утечек информации.
2. Исходя из п.1 — ваши данные всё равно утекут, когда придёт срок.
Это не аксиомы. Это мнение.
Не говоря о том, что аксиома не может вытекать из другой аксиомы по определению.
А если серьезно — не соглашусь.
Безусловно, ни одна система защиты не даст стопроцентной гарантии отсутствия утечек — если не доводить идею до абсурда и не включать в комплекс технических и организационных мер, каковым является любая нормально внедренная DLP-система, пропуск сотрудников на рабочее место голыми после всестороннего досмотра и их расстрела по завершении рабочего дня.
Но если DLP-систему применять грамотно, она помогает снизить риски утечки информации до приемлемого уровня. И результат будет зависеть от того, насколько технически продвинутая система применена, насколько грамотно ее внедрили и настроили и насколько грамотно эксплуатируют.
То есть да, соглашусь — результат DLP-система дает не абсолютный, но, тем не менее, дает.
labyrinth
19.05.2016 12:291. DLP — это не защита от утечек информации, а защита от СЛУЧАЙНЫХ утечек информации.
С чего вы взяли? Начнём с того, что DLP-системы могут работать в двух режимах: активном и пассивном. В первом режиме информация, если нарушает заданные правила, блокируется и решение о её дальнейшем движении может принять только человек. Во втором режиме (его ещё называют режим мониторинга) система просто создаёт уведомления о факте нарушения заданных правил. Грубо говоря, о нарушении узнать можно только постфактум.
Ваша аксиома опирается на то, что система работает в активном режиме. Но парадокс как раз в том, что этот режим даже сами вендоры рекомендуют применять трижды подумав, т.к. он напрямую влияет на непрерывность бизнес-процессов.
Более того, за последние годы идеология применения DLP-систем сменилась с предотвращения утечек (путём остановки информации) на предотвращение инцидентов до их наступления (путём выявления намерений людей). И это действительно работает. У инцидентов обычно есть предыстория: конфликт, подкуп, саботаж, недовольство зарплатой, поиск нового места работы, желание открыть собственный бизнес и т.д.Saffron
19.05.2016 22:53Выявление намерений людей — это шпионаж за ними? Или есть какие-то технические способы отследить намерение человека по тому, какой документ он открывает?
USSCLTD
20.05.2016 08:14Ну отчего же сразу шпионаж? Нет, не шпионаж, не телепатия, вообще ничего криминального.
Есть техническая возможность отслеживать аномалии в поведении пользователя. Есть возможность сопоставить поведение пользователя с его служебными обязанностями и текущими рабочими активностями. Но если совсем по простому, то да — есть технические способы отследить намерение человека по тому, какой документ он открывает.
Сразу оговорюсь — технологии эти не бесспорны, стопроцентной гарантии (как и любые другие технологии) не дают, для эффективной работы требуется активное участие человеческого мозга, но в целом это работает.
labyrinth
20.05.2016 08:23Почему сразу шпионаж? Человек в рабочее время «зависает» на сайтах онлайн-казино, онлайн-кинотеатров и т.п. DLP-система может фиксировать адрес хоста и проведённое на вкладке время. Можно создать автоматическое правило, что если пользователь проводит более 1 часа в течение рабочего дня на подобных сайтах — уведомлять безопасника. Такой пользователь — потенциальная угроза, т.к. возможно у него игровая зависимость разовьётся (в случае казино). Что с ним делать — задача управленцев. А вот выявляет безопасник.
Saffron
20.05.2016 22:06Ну если вы предупреждаете работника, что записываете каждое его действие — то всего лишь наблюдение, согласен. А рассматриваются только вещи, которые он делает на рабочем компе, или также его личные девайсы и поведение IRL? Ну там снимать записи с камер наблюдения и проверять сколько раз в час он моргает, вздыхает и т.д.?
MikeBooker
19.05.2016 10:14-1habrahabr.ru/users/USSCLTD Зарегистрирован: 04 мая 2016 в 09:39
ну так и понял по тексту, что это очередной вирусный флейм для повышения продаж.
«А DLP – это не про деньги, а про данные. Совсем другая история...» А слышал ли автор, что современные деньги 90% времени находятся в виде информации, в виде этих самых данных? И что первые, кто внедряют DLP — это банки? В чем подвох-то?
Среди российских продуктов пока еще нет DLP-систем, готовых для «продажи из коробки». И не скоро еще будет, т.к. нет спроса, а спроса нет потому, что правовая база так и не работает. А импортные недостаточно гибки для «прогибания» под российскими реалиями и вообще они (импортные) теперь «за бортом», в соответствии с линией партии.USSCLTD
19.05.2016 10:26+1А слышал ли автор, что современные деньги 90% времени находятся в виде информации, в виде этих самых данных? И что первые, кто внедряют DLP — это банки? В чем подвох-то?
Автор даже внедрял DLP-системы в банках.
Другое дело, что банки, на удивление, не первые, кто внедряет эти системы, и часто есть масса тех самых технических, организационных и психологических сложностей, о которых говорится в статье (и еще много таких, которые в статью не попали).
А разговор был о том, что деньги (в каком бы виде они не были) защищают лучше, чем информацию (которая формально не деньги), которая тоже, вроде бы, стоит серьезных денег.
Среди российских продуктов пока еще нет DLP-систем, готовых для «продажи из коробки». И не скоро еще будет, т.к. нет спроса
Есть спрос. Запросы есть постоянно, продажи растут, и будут расти. Как же это — нет спроса?
а спроса нет потому, что правовая база так и не работает.
Ну, спрос, положим, меньше, чем мог бы быть, все-таки не поэтому. Есть масса заказчиков, которым правовая база не только не нужно, но и мешает. И есть вендоры, которые идеологию и технические особенности своих систем на этом строят.
Хотя, конечно, с юридической стороны тема пока еще очень слабо проработана. Другое дело, что даже существующая правовая база вполне позволяет применять эти системы и использовать собранные с их помощью данные в качестве доказательной базы в суде — прецеденты есть, и их все больше. Причем правовая база совершенствуется, и совершенствуется не без помощи производителей DLP-систем и тех заказчиков, которые эти системы используют.
А импортные недостаточно гибки для «прогибания» под российскими реалиями и вообще они (импортные) теперь «за бортом», в соответствии с линией партии.
А вот это да. Есть такое. Безусловно, импортные решения тоже внедряются, на за последнюю пару лет количество таких внедрений критически уменьшилось.
labyrinth
19.05.2016 12:31DLP никогда из коробки работать не будет. В лучшем случае на всасывание данных. А вот их анализ всегда будет требовать «доработки напильником» правил. Простой пример: поиск по тематическому словарю на определённую тему. Допустим, наркотики. Проблема в том, что в разных компаниях ложные сработки будут вызывать разные слова. У добывающего предприятия «лишним» окажется слово «кокс», в строительном магазине «винт» и т.д.
Krypt
Для начала было бы неплохо расшифровать для непосвящённых, что такое DLP-система.
Кстати, а почему статья в Разработке?
navion
Data Loss Prevention — корпоративный DRM, которые мешает
работатькопировать рабочие данные куда попало. От шифрования файлов персональным ключом до сканирования трафика с поиском запрещённых паттернов.Потому что администрирования потока ещё не сделали.
varnav
Loss а не Leak?
navion
Правильны оба варианта.
USSCLTD
Ну, вообще-то, DRM это другой класс систем, хотя и смежный.
navion
Для меня DLP это прежде всего AD RMS, который DRM в чистом виде.
USSCLTD
Это, безусловно, личное дело, как какую систему называть.
Для меня вот есть ряд различий на уровне как идеологии, так и применяемых технологий, которые, на мой взгляд, все-таки позволяют развести DRM и DLP. Хотя, повторюсь, и цели применения этих классов пересекаются, и часть используемых механизмов.
Вообще с DLP-системами много путаницы — к ним часто относят смежные (и даже не очень смежные) классы решений: DRM, системы контроля доступа к информации, системы контроля персонала, системы контроля съемных носителей и т.п. А с учетом того, что в новых версиях систем используются механизмы, позволяющие их на самом деле относить к нескольким классам одновременно, ситуация еще больше усложнилась.
USSCLTD
Почему-то только в разработке нашелся хаб «Информационная безопасность», пришлось писать сюда. Хотя, конечно, к разработке статья имеет очень слабое отношение.