Сохранение конфиденциальных данных от утечек считается одной из наиболее тяжелых проблем информационной безопасности. Несмотря на то, что защитные системы существуют уже несколько лет, у многих компаний до сих пор отсутствует четкое представления о способ
С развитием ИТ секреты стали уязвимы как никогда. В эпоху бумажных документов сотруднику было трудно незаметно вынести документацию — теперь же он просто копирует ее на любой доступный ему съемный носитель, например мобильный телефон. И абсолютное большинство организаций не могут ничего с этим поделать.
Многие компании хранят не только свою информацию, но и сведения о собственных клиентах. Представьте, что произойдет с респектабельным банком, если сведения о транзакциях его клиентов вдруг появятся на стороннем сайте в Internet. Банк понесет колоссальные убытки и потеряет огромное количество клиентов.
Защитить корпоративные секреты на сто процентов не сможет, пожалуй, ни одна компания. Нынешнее развитие технологий позволяет говорить лишь о минимизации рисков. Как правило, защита секретов является комплексной задачей, включающей в себя организационные, административные, а также технические меры. Техническая сторона вопроса вызывает больше всего дискуссий.
Что такое DLP?
Речь пойдет только об утечках, связанных с ИТ-инфраструктурой организации. Именно они составляют львиную долю утечек информации. Конечно, вполне возможна ситуация, когда сотрудник компании «сливает» концепцию нового проекта по телефону, однако бороться с таким инсайдом практически невозможно, да и бессмысленно.
Утечки информации происходят по различным каналам. С концептуальной точки зрения существует два таких канала — во-первых, это глобальная сеть и, во-вторых, мобильные устройства. Декомпозицию можно продолжить и дальше, разделив канал Internet на подканалы электронная почта, ftp и P2P-сети, а канал мобильные устройства на подканалы ноутбуки, флэш-накопители и КПК. Отдельно отметим канал принтеры, который можно отнести именно к мобильным устройствам.
Кроме того, каждая утечка имеет собственную причину. Понятия «причина» и «канал» взаимосвязаны, однако отождествлять их нельзя. Как правило, причина утечки позволяет предположить, какой канал при этом использовался, и наоборот.
Причины утечек бывают внешними и внутренними. Такое деление условно, поскольку некоторые инциденты (назовем их смешанными) имеют и ту и другую причину. К смешанным утечкам можно отнести, например, хакерское вторжение с элементами социальной инженерии, либо атаку со стороны бывшего сотрудника.
Если внешние угрозы давно известны практически всем крупным организациям, то с внутренними утечками дело обстоит гораздо хуже. Как правило, под внутренней угрозой подразумевается умышленный инсайд, когда один из сотрудников сознательно выносит корпоративный секрет наружу. Но это лишь верхушка айсберга. Большую опасность представляют неумышленные внутренние инциденты, когда сотрудник допускает утечку из благих побуждений. По данным аналитического центра компании Perimetrix, именно неумышленные утечки составляют до 90% внутренних инцидентов.
Помимо административных мероприятий, для защиты от утечек информации необходимо внедрять специализированные продукты — системы предотвращения утечек информации (Data Loss Prevention, DLP). Однако до сих пор нет четкого понимания этого термина. Едва ли не каждый вендор толкует данное понятие по-своему.
Действительно, DLP-системой можно назвать даже антивирус, поскольку он позволяет избежать установки троянов, которые отсылают информацию с локального устройства своим создателям или заказчикам, и программу для блокировки USB-портов, поскольку она борется с утечками через USB-накопители. Однако и антивирус, и система блокировки портов не защищают организацию от утечек — они всего лишь закрывают один из каналов или устраняют одну из причин. Теоретически с помощью подобных «лоскутных» решений можно предотвратить утечки, однако для крупных организаций такой подход категорически неприемлем.
Поэтому под DLP-системой обычно понимают комплексное решение корпоративного масштаба, которое борется с утечками для различных каналов и причин. Это определение является неполным, поскольку под него вполне подходит гипотетическая система, которая физически блокирует все порты и перекрывает доступ к Internet. Такое решение можно внедрить в бухгалтерии или секретариате, однако в целом оно лишено смысла.
Современным организациям требуются Internet и доступ к мобильным накопителям. Перекрывать эти каналы мы не можем — а значит, доступ к ним требуется контролировать. Другими словами, DLP-система обязана анализировать трафик, который проходит по
каналам и «громко кричать» администратору, если этот трафик оказался секретным. Последний тезис является ключевым, отделяющим функционал DLP-систем от большинства других решений по информационной безопасности.
Первое поколение DLP: анализ контента
В рамках отдельно взятого канала DLP-система работает, как «черный ящик», куда на вход подается идущая по каналу информация, а на выходе формируется вердикт, является ли входящая информация секретной. Данный принцип не зависит от специфики канала, которая, впрочем, может быть использована в алгоритме вынесения вердикта.
Таким образом, основная ценность DLP-системы заключается в алгоритме, на основе которого работает «черный ящик». Архитектура и даже список поддерживаемых каналов являются вторичными характеристиками данного ПО. Тем не менее, с точки зрения конечного заказчика, данные факторы также очень важны, поскольку без них приложение практически бесполезно.
На данный момент в отрасли не существует стандартного алгоритма анализа трафика, более того — не существует даже стандартной технологии. Каждая представленная на рынке компания исповедует собственный способ фильтрации идущих по каналам данных. В целом можно говорить о двух концептуально различных подходах, имеющих как преимущества, так и недостатки.
Первый подход базируется на фильтрации контента, то есть содержательного наполнения информации. Это означает, например, что при проверке на секретность стандартных офисных документов в формате .doc система сначала переведет их в текстовый формат, а затем, используя заранее подготовленные данные, вынесет по этому тексту вердикт. Контекстная фильтрация использует принципиально другую схему: вместо анализа контента система проверяет контекст, в котором передается информация: извлекает метаданные файла, смотрит на его размер или анализирует поведение пользователя.
Первые появившиеся на рынке системы использовали алгоритмы контентной фильтрации, к которым постепенно добавлялись функции по работе с контекстом. В зависимости от языковых особенностей и точки зрения каждого конкретного вендора вырабатывались различные алгоритмы (см. табл. 1 и 2). Однако у всех без исключения методов имеется один основной недостаток — низкая точность определения.
Ни один из имеющихся методов не может обеспечить защиту всех типов конфиденциальной информации. Даже в рамках одного типа имеются многочисленные ограничения. Практика показывает, что даже комбинация нескольких контентных и контекстных алгоритмов редко обеспечивает приемлемую точность в условиях ограниченной производительности системы.
По данным компании Perimetrix, эффективность фильтрации с применением контентных технологий достигает лишь 80%. Это означает, что 20% корпоративных секретов беспрепятственно покидают сеть компании. Кроме того, система фильтрации контента допускает ошибки второго типа, признавая легитимные сведения секретными. Как следствие, жизнь сотрудника безопасности становится просто невыносимой.
Однако, несмотря на очевидные ограничения, контентно-контекстные системы первого поколения по-прежнему доминируют на DLP-рынке. Поскольку контентный подход использовался в большинстве систем изначально, большинство традиционных игроков DLP-рынка не решаются изменить основную технологию, которая разрабатывалась годами.
Второе поколение DLP: детерминистские методы
После того как неэффективность классических контентных методов стала очевидна, некоторые компании начали внедрять принципиально другой, детерминистский подход. Такой подход предполагает, что все конфиденциальные файлы должны быть специальным образом помечены. Разметка файлов близка к контекстной фильтрации (а метки близки к метаданным), однако на самом деле эти подходы принципиально различны. В детерминистском подходе метки специально вшиваются в документ самой DLP-системой, в то время как классический контекстный анализ оперирует независимым от DLP-системы контекстом.
Технологически метка может встраиваться в документ по-разному. В некоторых продуктах эта метка может быть «вшита» в имя файла. В этом случае каждый файл должен начинаться, например, с класса конфиденциальности или уровня секретности, что приводит к созданию корпоративных политик именования файлов. Естественно, на практике это очень неудобно, не прозрачно и мешает сотрудникам эффективно работать.
Между тем есть более тонкие методы работы с документами, которые не предполагают такое грубое встраивание меток. Например, метка может быть инкапсулирована внутрь файла, скажем, в один из его служебных заголовков. Когда такой документ покидает корпоративную сеть через сетевые каналы, например по электронной почте, фильтру не нужно анализировать контент. Достаточно лишь считать метку и применить положения политики безопасности. Другими словами, зная метку, система защиты может безошибочно определить, является файл секретным или публичным.
Очевидно, что для внедрения детерминистской системы требуется провести полную классификацию всех электронных документов в компании и пометить все секретные файлы соответствующим образом. Также понятно, что эффективность защиты помеченных файлов равна 100% (конечно, при условии защиты меток от несанкционированного изменения).
Главный недостаток детерминистских методов заключается в том, что пометить все конфиденциальные документы, как правило, не представляется возможным. Еще труднее постоянно поддерживать базу помеченных документов в актуальном состоянии. Чтобы решить эту проблему, применяются различные способы. К примеру, можно переносить метки в новые файлы из старых документов и таким образом существенно упростить управление платформой.
В целом детерминистские методы имеют право на существование, однако в большинстве случаев они также неэффективны. Сегодня современный рынок испытывает потребность в новых решениях, принадлежащих к классу DLP-систем третьего поколения.
Третье поколение DLP
Возможным вариантом здесь является использование детерминистских методов в случае помеченных документов и контентной фильтрации для остальных файлов. При этом совмещаются плюсы обоих подходов: точность меток и гибкость фильтрации контента. По данным компании Perimetrix, эффективность такого совмещения достигает 99,6%.
Однако простая интеграция подходов не может быть основанием для появления очередного поколения продуктов. Развитие отрасли показало, что концептуально новые DLP-системы должны поддерживать функционал шифрования для защиты информации на мобильных носителях. Ни один из традиционных DLP-подходов не может обеспечить защиту от кражи ноутбука, а эта защита крайне необходима для полноценной DLP-системы.
По данным Ponemon Institute, практически половина (49%) современных утечек происходит в результате кражи мобильных устройств. Единственным способом защиты тогда является шифрование — все остальные подходы (пароли, физическая защита и т.д.) давно показали собственную несостоятельность. Проблема заключается только в том, что подавляющее большинство решений класса DLP не могут обеспечить шифрования, а решения по шифрованию не могут производить фильтрацию исходящего трафика.
Предприятиям и организациям, как воздух, необходим унифицированный функционал. Прежде всего чтобы получить одну систему защиты от всех угроз утечки информации, а не две. Чтобы использовать единые интегрированные политики для фильтрации и шифрования документов. Наконец, чтобы обеспечить простое и быстрое соответствие различным нормативным актам и стандартам — таким, как федеральный закон «О персональных данных», акт Сарбейнса — Оксли, соглашение Basel II или стандарт PCI DSS.
Перспективы обороны
Итак, вырисовываются контуры практически идеального решения для защиты от инсайдеров. Комбинация основных подходов к фильтрации контента позволяет минимизировать риски утечки по классическим каналам, а использование шифрования устраняет проблему украденных ноутбуков. В продукте присутствует централизованная система аудита и доказательная база всех действий с конфиденциальными документами. Кроме того, решение учитывает отраслевую специфику и тесно интегрируется с основными бизнес-процессами организаций. Строго говоря, в такой конфигурации это будет даже не совсем DLP-решение, а, скорее, продукт принципиально нового класса — информационно-аналитическая система режима секретности конфиденциальных данных. Идеи, заложенные в таких продуктах, значительно расширят горизонт их применения и покроют не только традиционные внутренние угрозы, но и помогут ликвидировать еще неизвестные, поскольку обладают проактивной составляющей.
Владимир Ульянов — руководитель аналитического центра Perimetrix, vladimir.ulyanov@perimetrix.com
Табл. 1. Сравнительный анализ методов контентной фильтрации
Табл. 2. Сравнительный анализ методов контекстной фильтрации
Ключевые недостатки контентной фильтрации
• Низкая эффективность даже в самом лучшем случае
В самом лучшем случае перед внедрением создается база контентной фильтрации, учитывающая специфику конкретной организации. Однако даже при таком условии эффективность фильтрации достигает лишь 80%. Другими словами, 20% корпоративных секретов беспрепятственно покинут информационную сеть, а 20% ложных срабатываний существенно осложнят работу специалистов по безопасности.
• Отсутствие защиты от утечек на уровне рабочей станции
Контентная фильтрация легко реализуется для проверки сетевого трафика на уровне шлюза. Однако утечки могут произойти и через рабочую станцию: порты, съемные носители, мобильные устройства, беспроводные сети. Между тем реализовать анализ копируемых, например через USB-порт, файлов, задействуя удаленный сервер контентной фильтрации, технически очень сложно. Поэтому разработчики предпочитают вообще не защищать рабочие станции, рекомендуя закрыть все открытые порты административно или аппаратно.
• Внутренний нарушитель может легко перехитрить систему
Концепция контроля только сетевых каналов имеет очевидные ограничения. Например, ничто не помешает сотруднику специально «потерять» свой ноутбук с корпоративными секретами. Либо модифицировать документ таким образом, чтобы он не был «пойман» фильтрующей машиной. Это означает, что системы защиты на основе лингвистических технологий решают лишь часть проблемы, оставляя своих клиентов с неудовлетворенной потребностью в полноценной защите от утечек.
Ключевые недостатки детерминистской фильтрации
• Необходимость создания базы секретных документов. Это основная проблема детерминистского подхода. Пометить все конфиденциальные документы, как правило, не представляется возможным. Еще труднее поддерживать базу помеченных документов в актуальном состоянии с течением времени.
• Отсутствие гибкости. Отсутствие гибкости заложено в названии и в самой концепции технологии. Система принимает только те решения, которые предопределены заранее. В результате существенно снижается доступность документов в корпоративной сети, ухудшается производительность труда служащих, множится бюрократия и нарастает социальная напряженность между безопасностью и бизнесом.
• Невозможность решить проблему в комплексе. По-прежнему ничто не помешает сотруднику потерять свой ноутбук с корпоративными секретами. Хотя агент системы защиты может проследить за выполнением политики безопасности при работе сотрудника вне офиса, это никак не спасет от физической кражи мобильного компьютера и дальнейшего несанкционированного доступа.
Как видим, детерминистские методы не решают проблему в комплексе, справляясь лишь с одной ее небольшой частью.