Эшелонированная безопасность

В последние годы в них все большую роль играют средства предотвращения утечек данных (Data Loss Prevention, DLP) и системы управления идентификационными данными (Identity Management, IdM), которые связаны с более традиционными инструментами управления правами доступа.

Как песок сквозь пальцы

О необходимости предотвращения потерь корпоративных данных всерьез заговорили в 2006 году, хотя такие угрозы существовали и раньше. Всплеск интереса к этой теме связан с тем, что 2006 год оказался, по меткому выражению Роберта Эллиса, известного специалиста в области защиты персональных данных (ПД), «годом украденного ноутбука». Именно в тот год лаптопы с огромными массивами ПД и другой корпоративной информацией потеряли сотрудники EDS, Equifax, Ernst & Young, Fidelity Investments, FTC, ING, IRS, Starbucks, T-Mobile, Toyota, Union Pacific, Verizon, Министерства транспорта, Министерства по делам ветеранов США и т.д. Конечно, утечки данных случались и прежде, но масштабы инцидентов того времени, сведения о которых стали активно просачиваться в прессу, заставили всерьез задуматься о происходящем.

Источник всех бед

Изменяющееся со временем число инцидентов, связанных с утечками конфиденциальной информации (рис. 1), свидетельствует, скорее, о степени осведомленности широкой общественности о состоянии дел, но никак не об истинных объемах утерянных данных. По свидетельству datalossdb.org, в минувшем году 438 известных инцидентов привели к потере 218,8 млн персональных записей (годом ранее отмечено 717 инцидентов, но утерянными оказались лишь 86,3 млн записей). При этом 46% случаев были связаны с бизнесом (в предыдущем году — 53%), 21% — с государственными учреждениями (соответственно, 14%), 18% — с образовательными (20%), 15% — с медицинскими (13%).

Связанные с этим финансовые убытки выражаются многими миллиардами долларов. Масштаб последствий каждого инцидента зависит не только от объемов утерянной информации, но и от ее характера и специализации компании. Согласно оценкам Forrester Research, в 2007 году средний ущерб от такого инцидента составлял 1,5 млн долл., а эксперты Ponemon Institute оценили его в 4,8 млн долл. Понятно, что за последние три года ценность конфиденциальной информации только выросла.

Специалисты Forrester называют ряд статей прямых расходов, которые влечет за собой любая потеря данных: уведомление клиентов и компенсация их потерь, мониторинг общей лояльности клиентов (не только непосредственно пострадавших) и дополнительная загрузка call-центра, PR-кампания для восстановления подмоченной репутации. Если добавить сюда штрафы, отвлечение сотрудников от прямых обязанностей и упущенную выгоду, то окажется, что прямые убытки от потерь данных составляют в среднем 218 долл. на каждую запись.

К прямым потерям следует приплюсовать косвенные, связанные с требованиями регулирующих органов компенсировать убытки третьих сторон, проводить регулярный аудит информационных систем на протяжении нескольких лет, внедрить новые средства защиты и реорганизовать имеющиеся бизнес-процессы (часто с привлечением внешних консультантов). По оценкам Forrester, за пятилетний период косвенные расходы могут составить 14 млн долл., а общий убыток от пропажи 100 тыс. записей — вплотную приблизиться к 36 млн долл.

Не стоит думать, что причина этих потерь — исключительно рассеянность сотрудников, которые хранят конфиденциальную информацию на портативных компьютерах и с завидным постоянством забывают их где ни попадя. Вот какова статистика инцидентов за прошлый год, опубликованная на datalossdb.org: 31% всех известных случаев был связан с неосторожностью сотрудников компаний, в 8% они руководствовались злым умыслом, а 51% всех потерь вызваны действиями извне (рис. 2). В 2001—2009 годах волей случая объясняется лишь пятая часть всех происшествий, а действия внешних злоумышленников стали причиной почти двух третей инцидентов. Согласно datalossdb.org, в тот же период доля случаев, связанных с забытыми по рассеянности ноутбуками, составила около 1%, тогда как 20 и 7% всех инцидентов пришлись, соответственно, на хорошо спланированную кражу ноутбуков и настольных компьютеров, 16% — на хакерские атаки, 13% — на работу с ненадежными Web-сайтами, 8% — на мошенничество.

В общей сложности утечки данных, находившихся на похищенных либо забытых компьютерах и носителях информации, составляют почти 40% всех инцидентов. Еще недавно эти данные хранились в «естественном» формате, становясь легкой добычей мошенников. Резкий рост объемов похищенной конфиденциальной информации в середине 2000-х годов сделал актуальным вопрос ее шифрования. Если шифрование данных перед передачей по сети в ту пору уже стало общим местом, то проводить такую операцию с данными на личном ноутбуке сотрудника казалось абсурдом.

От лечения симптомов — к программе DLP

Поначалу компаниям рекомендовалось шифровать все содержимое жестких дисков, ленточных накопителей, съемных носителей и т.п., но связанные с этим накладные расходы и снижение производительности приложений при обращении к данным вынудили действовать более взвешенно. Как и в случаях других угроз, здесь важно найти компромисс между потенциальным ущербом от рисков и ресурсами, необходимыми для достижения приемлемого уровня защищенности. Другими словами, имеет смысл шифровать только те данные, потеря которых представляет собой реальную угрозу для бизнеса.

Впрочем, одним шифрованием дела не поправить. Эксперты в области информационной безопасности не устают повторять, что DLP предполагает внедрение в компании комплексной системы мер, нацеленных на предотвращение несанкционированного использования конфиденциальных сведений и их передачи за пределы организации, и применение соответствующих средств защиты.

DLP-системы анализируют потоки данных, пересекающие периметр защищаемой информационной системы, и при обнаружении в них конфиденциальной информации блокируют ее передачу. Средства защиты, входящие в состав современных DLP-решений, осуществляют идентификацию, мониторинг и защиту данных в процессе их обработки, передачи и хранения, т.е. должны применяться на уровне рабочих станций пользователей, сетевых устройств и систем хранения.

Сетевые DLP-компоненты контролируют исходящий трафик (электронную почту, потоки данных от IM-систем, трафик FTP, HTTP и HTTPS). Как правило, они представляют собой выделенные программные или программно-аппаратные платформы, размещаемые на серверах электронной почты, прокси-серверах или действующие как отдельные серверы. Зачастую на них же возлагается мониторинг содержимого систем хранения в целях выявления имеющихся уязвимостей и данных, размещенных в неподобающем либо недостаточно защищенном месте.

DLP-компоненты на ПК контролируют запись информации на компакт-диски, флэш-накопители и другие носители, осуществляют мониторинг данных, передаваемых между группами пользователей или сотрудниками, которым приписаны разные роли в организации, отслеживают изменения сетевых настроек и инсталляцию программ, позволяющих «обходить» средства защиты от утечек, анализируют сообщения электронной почты и IM-систем перед размещением в корпоративном архиве для последующего ретроспективного анализа. Иногда они же проводят мониторинг приложений для предотвращения несанкционированной передачи конфиденциальных данных.

Помимо непосредственной защиты от утечек DLP-системы могут решать ряд других задач. Среди них — блокировка передачи нежелательной информации извне в корпоративную сеть, предотвращение использования сотрудниками корпоративных информационных ресурсов в личных целях, оптимизация загрузки каналов и др.

Контент в контексте

Эффективность работы DLP-решения напрямую зависит от корректности распознавания конфиденциальных данных. При этом важно учитывать процент ложных срабатываний, которые могут состоять как в игнорировании важной информации, так и в отнесении несущественных данных к разряду конфиденциальных.

Для распознавания конфиденциальной информации в современных DLP-системах используются два основных метода: анализ формальных признаков документов (гриф, специальная метка, хэш-функция) и детальный анализ контента. Первый подход позволяет избежать ложных срабатываний, но требует предварительной классификации и маркирования документов. Если какие-то конфиденциальные сведения не были помечены на этапе классификации, они останутся вне поля зрения DLP-системы. При втором подходе пересылка конфиденциальной информации выявляется среди всех документов, но возможны ложные срабатывания. Оптимальные результаты дает сочетание обоих способов.

Особую ценность для заказчиков, но и наибольшую сложность для разработчиков представляет собой детальный анализ контента, который основан на использовании словарей и ключевых слов, поиске регулярных выражений в составе документов, контекстном анализе транзакций и других алгоритмах. По мнению ряда экспертов, одной из самых перспективных технологий DLP-систем является контекстный анализ контента. Он предполагает учет источника отправления и параметров самих данных, в том числе схемы базы данных и метаданных, связей между сущностями в базе данных, приложений, обычно работающих с этими данными, носителей, на которых те хранятся. Среди иных параметров во внимание принимаются время отправления, свойства получателя, принятые схемы прав доступа и политики в области обмена данными.

Обозревая рынок

Тема использования DLP в последние годы стала настолько популярной, что экономический кризис практически не сказался на рынке DLP-систем. Компания Gartner оценивает его объем в 2008 году в 215 млн долл., тогда как двумя годами ранее цифра составляла всего 50 млн долл. Предварительная оценка для 2009 года — 300 млн долл.

DLP-решения предлагают практически все разработчики средств защиты данных, что, впрочем, не должно вводить заказчиков в заблуждение. По мнению Рича Могулла, в прошлом аналитика Gartner, а ныне владельца консультационной компании Securosis, полноценное DLP-решение должно обеспечивать детальный анализ контента, а соответствующую технологию реализовали далеко не все поставщики. Могулл отмечает, что многие компании предлагают средства шифрования данных и контроля над их обработкой на компьютерах пользователей, брандмауэры и другие средства защиты, но это — еще не DLP-система.

Тем не менее, по мнению аналитиков Gartner, число DLP-продуктов с возможностями детального анализа контента неуклонно растет. За последние два-три года лидеры рынка систем информационной безопасности укрепили свои позиции благодаря поглощению поставщиков точечных решений. Достаточно назвать приобретение Symantec фирмы Vontu — одного из пионеров рынка DLP, покупку Tablus компанией RSA (которая, в свою очередь, является подразделением EMC), поглощение Onigma и Reconnex корпорацией McAfee, приобретение PortAuthority компанией Websence, покупку Provilla фирмой TrendMicro и вхождение Orchestria в состав CA. Заслуживают внимания и анонсированные в 2008 году планы Microsoft по включению в свои продукты технологий анализа контента, разработанных RSA.

При этом на рынке еще остаются независимые поставщики вроде Code Green Networks, Fidelis, GTB, Palisade и Vericept, специализирующиеся на разработке DLP-решений. Кстати, в сравнительном обзоре DLP-систем, опубликованном в еженедельнике Network World в июле прошлого года, продукт XPS фирмы Fidelis признан лучшим DLP-решением для защиты периметра корпоративной сети. В «магическом квадранте» Gartner, связанном с анализом рынка DLP-решений в 2009 году, к числу лидеров отнесены EMC (подразделение RSA), Symantec и Websense, к компаниям со стратегическим видением — CA, Code Green Networks, McAfee и Vericept, а фирма Fidelis оказалась лидером по способности реализовать технологический задел в готовых продуктах. К нишевым игрокам Gartner относит GTB, Palisade, Trend Micro, Verdasys и Workshare.

Премудрости идентификации

Цена вопроса

В одном из своих отчетов META Group сообщает, что в среднестатистической компании с 10 тыс. сотрудников 48% всех обращений в службу поддержки пользователей связаны с изменением или отменой пароля, более 54 тыс. человеко-часов в год расходуется на администрирование пользователей, их аутентификационных параметров и прав доступа, а без малого 2700 ч уходит на регистрацию пользователей в приложениях. Поскольку в среднем каждый пользователь обращается в службу поддержки 21 раз в год, а стоимость обслуживания одного обращения составляет 25 долл., то на операции с паролями такая организация ежегодно тратит 2,52 млн долл. Кроме того, падает продуктивность работы сотрудников, а в системе информационной безопасности появляются дополнительные уязвимости.

В силу роста, слияний и поглощений компаний (которые неизбежно сопровождаются увеличением числа сотрудников и их активной карьерной миграцией), разрастания и усложнения информационных корпоративных ресурсов, появления новых угроз и ужесточения законодательства эти негативные явления неуклонно нарастают. Ситуация усугубляется тем, что в большинстве организаций имеется множество систем аутентификации и несколько идентификационных записей на каждого сотрудника, отсутствуют инструменты самообслуживания пользователей, а управление доступом к ресурсам представляет собой многоэтапную процедуру, требующую непосредственного участия в ней системного администратора. Внедрение единых политик информационной безопасности невозможно без автоматизации этих процессов, реализуемой системами IdM.

Идентификация и доступ

Gartner определяет IdM как процессы, технологии и системы для управления жизненным циклом идентификационных объектов — идентификаторов индивидуальных пользователей, учетных записей, ролей сотрудников в организации и возникающих на их основе прав доступа, индивидуальных профилей и др. Жизненный цикл таких объектов включает в себя создание, поддержание, изменение, блокировку и удаление в соответствии с изменением статуса сотрудника в организации (новая должность, переход в другое подразделение, увольнение). Некоторые идентификационные объекты, относящиеся к одному и тому же пользователю, могут быть различными в разных информационных системах, что заметно усложняет задачу управления.

В последние годы эксперты Gartner предпочитают говорить о более широкой категории — системах управления идентификацией и доступом (Identity and Access Management, IAM), функциональность которых можно разбить на четыре группы:

• аутентификация пользователя или системы;
• авторизация для доступа к запрошенному ресурсу;
• контроль над доступом, который помимо проверки того, соблюдает ли владелец идентификатора правила обращения с ресурсом, может включать в себя ряд более тонких сценариев предоставления доступа (время суток, доступ для членов группы пользователей и др.);
• аудит и отчетность на основе регистрации всех событий с идентификационными данными.

Более подробный перечень функций IAM-систем включает в себя операции с учетными записями в нескольких информационных системах и каталогах, в том числе их синхронизацию, управление паролями, поддержку самообслуживания пользователей (запросы на организацию рабочего места, изменение паролей, предоставление прав доступа), автоматизацию бизнес-процессов, связанных с предоставлением доступа к определенным ресурсам, отслеживание изменений в кадровых системах и запуск соответствующих процедур управления учетными записями, аудит прав доступа к определенным ресурсам и действий по управлению учетными записями, принудительное выполнение политик информационной безопасности. В последнем случае речь может идти об удалении всех учетных записей уволенных сотрудников, отслеживании корректности учетных записей и других изменений, появившихся в обход системы IdM, о периодической ревизии выданных прав доступа, поддержке сложных политик в области использования паролей. В определенных условиях IAM-решения могут быть задействованы в управлении ролями и разграничении должностных обязанностей сотрудников (на уровне контроля над бизнес-процессами и ресурсами), в ретроспективном аудите фактических прав доступа к ресурсам, в интеграции с отдельными компонентами ITSM-решений (службы поддержки пользователей, управление ресурсами, изменениями и др.).

Рассуждая о выгодах применения IAM-систем, следует отметить снижение расходов на администрирование благодаря уменьшению числа обращений в службу поддержки, автоматизации операций с учетными записями, сокращению затрат на развертывание средств защиты приложений. Наряду с этим повышается продуктивность работы сотрудников, учетные записи которых отныне создаются и модифицируются автоматически, а часть операций пользователи выполняют самостоятельно. Наконец, увеличивается общий уровень информационной безопасности компании в связи с автоматической блокировкой и удалением идентификационных данных при необходимости, а также со снижением риска несанкционированного доступа, с более эффективной политикой назначения и смены паролей, широкими возможностями аудита и мониторинга.

Рыночные реалии

В сентябре прошлого года компания Gartner выпустила очередной годовой отчет о состоянии мирового рынка IAM-систем. Эксперты отмечают продолжающую консолидацию рынка, результатом которой стало размывание границ между системами управления идентификацией и управления правами доступа. Сегодня базовая функциональность IAM-решений основных производителей практически совпадает. В результате поставщики стремятся дифференцировать свои продукты от разработок конкурентов, обеспечивая управление жизненным циклом ролей в организации, совершенствование функций документооборота (что делает возможными интеграцию IAM-решений с системами BPM и достижение соответствия требованиям регулирующих органов), добавляя функции бизнес-аналитики, совершенствуя интеграцию со средствами управления событиями в области безопасности и с системами DLP.

Общий объем данного рыночного сегмента в 2008 году Gartner оценивает в 900 млн долл., что на 15,5% больше предыдущего показателя. При этом 46,8% рынка приходятся на Северную Америку, 30,6% — на страны Западной Европы. Аналитики компании отмечают, что сегмент IAM вступил в раннюю стадию зрелости, которая характеризуется наличием четко выделяющейся группы компаний-лидеров и четко определенной функциональностью предлагаемых решений. Среди ключевых рыночных тенденций последнего года-двух Gartner отмечает появление ориентированных на сектор SMB «коробочных» IAM-продуктов и решений с фиксированной ценой, реализацию функций управления ролями и генерации отчетов, улучшение пользовательского интерфейса.

Лидером данного рыночного сегмента Gartner считает компанию Oracle, указывая на ее агрессивную рыночную политику, высокую степень интеграции ее IAM-решений с другими продуктами, четкое соблюдение планов выпуска новых разработок, расширение портфеля продуктов, в частности благодаря приобретению BEA Systems и Sun. Второе место отдано корпорации IBM, а в группу лидеров «магического IAM-квадранта» попали также CA, Courion и Novell. При этом Gartner отмечает существенный прогресс в позициях CA и подразделения Hitachi ID Systems, достигнутый за анализируемый период. Hitachi наряду с Avatier, Beta Systems, BMC, Microsoft и Siemens пока находится в категории производителей с высоким потенциалом, связанным с реализацией технологического задела в готовых продуктах. Компании Fischer International, SAP, Sentillion и Volcker Informatik, напротив, отличает передовая стратегия в области IAM. Приведенные оценки Gartner в основном совпадают с выводами Forrester Research, выпустившей отчет по данному рыночному сегменту в ноябре минувшего года.

DLP и IAM в России

Подготавливая этот обзор, мы попросили некоторых участников рынка ИБ прокомментировать состояние дел с системами DLP и IAM в России.

В отношении того, насколько осознают российские заказчики остроту проблемы защиты данных от утечек, мнения экспертов разделились. Так, Владимир Ульянов, руководитель аналитического центра Perimetrix (группа компаний «КомпьюЛинк»), полагает, что актуальность этой проблемы нашими пользователями осознана в полной мере. Большинство отечественных компаний сами сталкивались с действиями инсайдеров.

Иначе видят ситуацию в компании «Крок». Михаил Башлыков, возглавляющий в ней направление информационной безопасности, отмечает, что далеко не все предприятия осознают актуальность этой проблемы, хотя прогресс виден и здесь. «Крок» на практике наблюдает явный рост интереса заказчиков к DLP-решениям.

По мнению Николая Романова, технического консультанта Trend Micro в России и СНГ, существенным прогрессом в этой области мы обязаны появлению Федерального закона №152 «О персональных данных». Во многих странах конфиденциальную информацию защищают не столько из-за возможного ущерба репутации компании, сколько по причине крупных штрафов за несоблюдение стандартов и законодательных требований. В России жесткий контроль за сохранностью данных пока охватывает преимущественно финансовые учреждения. О существенной роли, которую в росте интереса к DLP сыграло появление ФЗ-152, свидетельствует и опыт McAfee: DLP-системами интересуются, в первую очередь, операторы персональных данных.

Рассуждая об особенностях использования DL-систем в нашей стране, представитель Perimetrix отметил два обстоятельства. С одной стороны, многие компании, особенно крупные и те, для которых информация является ключевым активом, уже давно установили решения для защиты от утечек. С другой, большинство используемых продуктов относятся к первым поколениям DLP-решений, базирующихся на методах контентной фильтрации. Их эффективность оставляет желать лучшего. К счастью, большинство заказчиков видят выход из ситуации во внедрении более современных разработок.

Михаил Башлыков указывает на недостаточное внимание к проработке организационно-правовых вопросов, возникающих при использовании DLP-систем. Для того чтобы минимизировать риски, связанные с легитимностью применения тех или иных инструментов DLP, к реализации проектов стоит привлекать не только технических специалистов, но и юристов.

С IAM-системами ситуация выглядит несколько иначе. В «Кроке» считают, что IdM-решения актуальны для организаций со зрелой инфраструктурой, с большим количеством гетерогенных информационных систем, а таких компаний у нас пока единицы. Однако все большее число российских фирм сталкиваются с необходимостью управления идентификационными данными. Не менее значима процедура предоставления и отзыва у сотрудников компаний и внешних контрагентов прав доступа к информационным ресурсам и сервисам. Именно по этой причине, считает Башлыков, рынок IdM в нашей стране ждет стабильное развитие.

С ним согласен и Алексей Чередниченко из McAfee. «В России традиционно используется множество разнообразных информационных систем, — подчеркивает он. — Поэтому решения, поддерживающие разные схемы аутентификации, но позволяющие реализовать единую схему контроля доступа, при правильной ценовой политике будут пользоваться большим спросом».

Впрочем, именно фактор цены может стать камнем преткновения. По словам Николая Романова, стоимость IdM-решений всегда была довольно высока. В кризисное время, когда ИТ-бюджеты сильно сократились, многие компании предпочитают решать задачи идентификации базовыми средствами — такими как Active Directory с разработанными регламентными процедурами. По этой причине в TrendMicro не ждут роста в данном сегменте рынка в ближайшие 1,5—2 года.

Возможно, этот пессимизм несколько гипертрофирован, и стимулом к развитию рынка IdM-решений станет потребность в их интеграции с другими продуктами. Как отмечает Владимир Ульянов, уже сегодня можно наблюдать, как корпоративные ИБ-решения разных классов объединяют на уровне коммерческих продуктов. Те же DLP-системы, чтобы функционировать эффективно, должны иметь некоторые функции управления идентификационными данными.