Тел.: +38 044 495 75 00
Факс: +38 044 495 75 07

DLP-системы: защита от утечки информации

Проблема утечек конфиденциальной информации

 

Бизнес современных организаций неотделим от обработки электронных данных, значительная часть которых содержит конфиденциальную информацию – это данные о клиентах, финансовые отчеты, планы развития, проектная документация, интеллектуальная собственность и т.д.



Доступ к такой информации предоставляется сотрудникам в рамках утвержденных полномочий. Однако доступ к информации не дает сотрудникам права на ее распространение внутри организации или за ее пределами среди неавторизованных получателей. Распространение сотрудниками конфиденциальной информации представляет серьезную угрозу для бизнеса, так как может привести к негативным юридическим и финансовым последствиям, а также нанести ущерб деловой репутации компании.

 

Традиционным подходом к предотвращению утечек конфиденциальной информации является разграничение прав доступа на уровне сетевых файловых хранилищ, СУБД и других систем хранения информации. Кроме того, в трудовые договоры могут вноситься пункты о неразглашении информации, являющейся конфиденциальной.



Тем не менее, утечки корпоративных данных происходят постоянно. Исследования аналитиков показывают, что более 98% инцидентов происходит не по злому умыслу сотрудников, а в процессе выполнения ими текущих бизнес-процессов. Стандартные бизнес-процессы организации часто вступают в противоречие с требованиями политики информационной безопасности.

 

Для эффективного обнаружения и предотвращения утечек конфиденциальной информации организациям требуется внедрение специализированных программных решений DLP (Data Loss Prevention). Особенность систем DLP в том, что они ориентированы не только на безопасность, но в большей мере на бизнес-требования соответствующих подразделений.

Предлагаем ознакомиться с одним из наиболее эффективных на рынке DLP-решений, которое предлагает компания «Space IT»:
DLP-система Websense – одно из лучших решений на мировом рынке, которое гарантирует полную безопасность конфиденциальной информации. Websense использует новый метод идентификации конфиденциальных документов, что значительно упрощает работу с  DLP-системой, а также в разы увеличивает ее результативность.

 

 

 

Почему традиционные методы предотвращения утечек могут быть неэффективны? 

 

По мере развития компьютерных технологий и услуг связи растет число возможных каналов утечки информации. В настоящее время основными каналами утечки являются: веб (веб-почта, форумы, блоги, ftp), электронная почта, печать, средства мгновенного обмена сообщениями (ICQ, Skype, MSN Messenger и т.п.), файлообменные сети, а также интерфейсы компьютеров пользователей. С рабочих мест данные могут передаваться за пределы организации с помощью сменных носителей: флэш-дисков, карт памяти, USB-накопителей, CD/DVD, а также через интерфейсы Bluetooth, Wi-Fi и инфракрасный порт.

Сложность технического контроля утечек конфиденциальной информации обусловлена не только множеством каналов, но и разнообразием источников и способов преобразования данных в процессе ежедневной работы. Важные корпоративные данные хранятся в виде записей СУБД, текстовых и графических файлов, конструкторской документации САПР,  прайс-листов, схем, исходного программного кода, файловых архивов различных форматов и т.д. Содержимое файлов может дополняться, фрагменты текста перемещаться, а исходный текст видоизменяться.
 

Основа любого решения по предотвращению утечек – технология идентификации данных. Большинство систем класса DLP, представленных на рынке, применяет лингвистические методы обнаружения и предотвращения утечек с использованием словарей ключевых слов и шаблонов регулярных выражений. На рабочих местах часто применяются методы полной блокировки сменных носителей – USB-дисков, карт памяти, а также последовательных и параллельных портов. На рынке также появляются решения на основе меток – все конфиденциальные документы маркируются невидимыми электронными ярлыками, после чего система принимает решение о статусе документа на основе этих ярлыков.

Вышеуказанные методы имеют ряд недостатков, не позволяющих обеспечить точное и эффективное обнаружение и предотвращение утечек конфиденциальной информации.

Реализация лингвистических методов контроля представляет собой сложную задачу: требуется проанализировать огромный объем данных организации и составить эффективные словари ключевых слов и шаблонов, по которым в дальнейшем фильтры будут выявлять данные, содержащие конфиденциальную информацию. Словари необходимо проверять в работе и постоянно адаптировать под изменяющиеся данные в организации, чтобы снизить вероятность ложных срабатываний и не перегружать штат сотрудников большим количеством ошибочных инцидентов.

Внедрение решений класса DLP, основанных на применении лингвистических методов, является длительным (в больших организациях может занимать до года), трудоемким, и дорогим  процессом и, что самое главное, оказывается в результате недостаточно эффективным, так как процент ложных срабатываний после окончания внедрения может составлять более 25%! Кроме того, с помощью лингвистических методов в принципе невозможно эффективно обнаруживать и предотвращать утечки конфиденциальной информации из баз данных, а также документов, не имеющих смыслового лингвистического содержания (документация САПР, схемы, изображения, исходный программный код и т.д.).

Использование меток для маркировки конфиденциальных документов не решает элементарную задачу идентификации содержимого: файл без метки, даже если содержит важную информацию, будет пропущен анализатором. Например, в результате работы компании создается конфиденциальный документ, снабжаемый меткой. Но в процессе его подготовки на рабочих местах сотрудников оседает множество копий, черновиков и фрагментов текстов, которые впоследствии перемещаются по сети без всякого контроля – технология меток «слепа» по отношению к содержимому. К числу прочих недостатков следует отнести принципиальную необходимость использования агентов на каждом рабочем месте.

Блокирование сменных носителей также может не принести необходимого эффекта. Во-первых, закрывая доступ к сменным носителям, организация теряет гибкость в бизнес-процессах, так как часто сотрудникам требуются сменные носители для копирования информации, не являющейся конфиденциальной (например, презентации, открытые отчеты и т.д.). Во-вторых, сотрудники, которым предоставляется доступ к конфиденциальной информации, часто одновременно являются членами привилегированной группы, которой разрешено использование сменных носителей. При этом рядовые сотрудники, на компьютерах которых заблокированы сменные носители, могут вообще не иметь доступа к конфиденциальной информации.

 

Инновационные решения для защиты от потери данных

 

С нашей точки зрения, для эффективного выбора DLP-решения необходимо провести полнофункциональное тестирование в рамках автоматизированной системы заказчика. В этом случае у заказчика будет реальная возможность оценить преимущества и недостатки различных DLP-систем в условиях, максимально приближенных к «боевым».

 

 

Внедряя DLP-систему в организации необходимо учитывать:

  • принципиальное отличие типов информации и требований к ее защите в зависимости от специфики организаций
  • инициативу BYOD (Bring Your Own Device). Более 90% сотрудников используют для работы собственные гаджеты
  • налаживание контактов и достижение результатов посредством обмена информацией в онлайн-пространстве неизбежно станет доминирующим видом коллективной работы.

 

Практика показывает, что полноценное внедрение системы противодействия утечкам информации на базе DLP-продуктов возможно только при активном участии специализированного системного интегратора. Если компания планирует заняться вопросами защиты ее конфиденциальных данных, то первое, с чего следует начать, – обратиться к консультанту.

 

Наши специалисты помогут ответить на такие важные для компании вопросы:

  • Как обеспечить эффективную защиту всей компании – от главного офиса до филиалов и мобильных сотрудников?
  • Вам нужно, чтобы ваши сотрудники имели доступ к новым приложениям и технологиям, позволяющим организации работать быстрее и эффективнее, не нарушая при этом установленных политик. Как обеспечить все это и, кроме того, предотвратить утечку конфиденциальных данных с соблюдением всех нормативных требований и без построения сложных систем?
  • Как обеспечить безопасность использования соцсетей для вашего бизнеса без риска для вашей компании и данных?
  • Как подобрать решение, которое обеспечивает наилучшую защиту от современных угроз без увеличения затрат на инфраструктуру и работы?

 

 

В первую очередь, мы рекомендуем корпоративным службам информационной безопасности следовать принципу минимальной достаточности функциональных возможностей DLP-решения реальным требованиям по защите данных в организации. Хорошо сбалансированные технические требования позволят снизить полную стоимость владения (TCO) выбранным решением и обеспечат надежное выполнение корпоративных требований по ИБ. Качественная оптимизация требований предполагает разработку профиля угроз, актуального для конкретной организации, разработку проектной и регламентирующей документации с последующим проецированием механизмов защиты решений-кандидатов на профильные угрозы.

 

Процесс внедрения DLP-системы – это действительно комплексный и многогранный процесс. И ко всему прочему, следует добавить момент, связанный с проактивной защитой. «Разбор полетов» постфактум это хорошо, но еще лучше взять нарушителя с поличным. В этом могут помочь мониторинг и корреляция событий безопасности. Возможно, это сейчас единственный технологический элемент, способный увеличить эффективность СУИБ.


Особый кумулятивный эффект достигается за счет применения совместно с DLP-системами таких решений, как Security Information and Event Management (SIEM) и Digital Rights Management (DRM). В таком симбиозе системы взаимно дополняют друг друга. Компоненты DLP-системы осуществляют поиск и классификацию защищаемой информации по установленным критериям. В свою очередь, DRM-решение накладывает политики доступа на выявленные файлы, что ограничивает набор операций с ними. A SIEM формирует «единое окно» для администратора безопасности, в котором сводятся данные о выявленных файлах, подлежащих защите, попытках доступа к ним, а также увязывается (коррелируется) технологическая информация, поступающая от ОС, СУБД, сетевого оборудования и других источников, формируя полную картину состояния ИБ в организации.

Применение данного набора решений позволит снизить или как минимум отследить возникновение нештатных для DLP-решений ситуаций, описанных выше.

Компания «Space IT» помогает уменьшить количество False Positive и False Negative путем качественной настройки системы в период внедрения, предоставляет профессиональный сервис при внедрении, а также сопровождения и мониторинг. Безусловно, этот класс решений является важным шагом на пути развития систем обеспечения безопасности информации.

Успешное внедренные DLP-системы в компании поможет обнаруживать каналы утечки информации, находить нарушителей, выявлять и корректировать небезопасные бизнес-процессы, получать подтверждения в соответствии со стандартами безопасности, видеть статистику по уменьшению количества инцидентов, получать доверие новых клиентов и старых партнеров и, в конце концов, спать спокойно владельцам бизнеса.