Система защиты от утечек информации (В. Левцов, Н. Зенин, "Финансовая газета. Региональный выпуск", N 48, ноябрь 2008 г.)

Система защиты от утечек информации

Не проходит недели, чтобы в новостных лентах не упоминалось об очередной зафиксированной утечке конфиденциальных данных. Это порождает повышенный интерес бизнес-сообщества к системам защиты от подобных действий злоумышленников, а от подразделений, отвечающих за обеспечение информационной безопасности, все активнее требует построения системы отслеживания и блокирования несанкционированных утечек информации.

Однако у руководителей компаний, а порой и у сотрудников технических служб нет четкого представления, что представляют собой решения по противодействию утечкам информации. Цель настоящей статьи - помочь разобраться, что понимается под системой защиты от утечек, определить, какие задачи она должна решать и какие механизмы при этом используются.

От защиты информации к управлению рисками

К счастью, остались в прошлом времена, когда забота о защите информации была одним из пунктов в длинном списке задач IT-службы. Теперь, как правило, инициатива по построению системы борьбы с утечками принадлежит подразделениям, управляющим бизнесом компании и отвечающим за его безопасность. Самым серьезным аргументом в пользу внедрения системы противодействия утечкам конфиденциальной информации является требование закона. Именно появление соответствующих нормативных актов в США, Японии и Западной Европе стало главным катализатором возникновения специализированных систем защиты от утечек. Можно не сомневаться, что и в России интерес к ним вырос бы, если будут разработаны императивные правовые нормы, обязывающие компании обеспечить наличие технических средств защиты от инсайдеров. Но пока основными мотивами для инициации процесса остается либо желание отреагировать на факт уже случившейся утечки, либо намерение снизить вероятность наступления подобного события в будущем.

Практически у любой компании сейчас существует немало данных, последствия несанкционированной утечки которых могут нанести ей ощутимый ущерб. Заранее оценить размер этого ущерба почти невозможно. Но в большинстве случаев, для того чтобы осознать опасность, исходящую от утечек информации, достаточно представить даже общие последствия: снижение доверия и отток клиентов, проблемы в конкурентной борьбе, затраты на PR, утечка программного кода, технологий, ноу-хау и многое другое. Существует четыре классических подхода к управлению рисками: принятие, исключение, передача, снижение. Рассмотрим проблему через призму этих подходов.

Принятие. Если существует некоторая вероятность наступления события - утечки информации, необходимо оценить убытки, составить список мер на случай наступления и произвести инвестиции во внедрение решения по борьбе с утечками. В противном случае - потери бизнеса могут поставить под вопрос само его существование.

Исключение. Даже при внедрении суперсовременной системы защита от утечек практически невыполнима, могут возникнуть нетипичные ситуации. Например, почти невозможно защититься от переписывания текста секретного документа на бумагу или от телефона со встроенной камерой в руках инсайдера. Санкции в отношении персонала, допустившего утечку, также не гарантируют исключения риска.

Передача. Сложно представить, как можно транслировать риск утечки информации на внешнюю организацию. Насколько известно автору, подобные риски не страхуются. Трудно также предположить, что IT-аутсорсер сможет взять на себя часть возмещения последствий. Можно передать систему защиты от утечек на аутсорсинг лишь в плане ее технической эксплуатации, но как передать весь объем рисков - не вполне понятно.

Снижение. Предпринимаются меры по существенному снижению вероятности наступления нежелательного события. По сути, объем требуемых затрат связан с достижением приемлемого уровня риска. Этот подход обеспечивает внедрение специализированной системы защиты от утечек.

Итак, принятие мер позволяет существенно снизить риск, сделать управляемой реакцию на наступление негативных последствий, но полностью исключить утечку информации практически невозможно.

Основные пути утечки информации

Существует много путей утечки информации, например визуальный контакт (видео/фото/аудиосъемка), банальный инсайд (подкуп сотрудников), утечки по техническим каналам передачи информации, на сменном носителе (флешке), сбор информации при помощи жучков и электромагнитных наводок. Кроме того, утечкой может считаться просто несанкционированный доступ к информации (ознакомление): сотрудник прочитал документ на принтере или на незалоченном компьютере коллеги, а потом рассказал другу по телефону из дома.

Невозможно предусмотреть абсолютно все способы утечки информации, однако необходимо принимать меры по снижению рисков реализации наиболее катастрофичных угроз.

Часть контрмер имеют сугубо организационный характер, другие - связаны с защитой технических каналов передачи информации. Рассмотрим техническую часть борьбы с утечками.

Можно выделить три основных сценария, приводящих к выведению информации за пределы информационной среды компании: сетевой, локальный и в связи с утратой носителя.

Сетевой сценарий предполагает отправку информации за "периметр" контролируемого информационного поля средствами электронной почты, через системы передачи мгновенных сообщений (ICQ, MSN, AOL), посредством веб-почты (mail.ru, gmail.com), через использование ftp-соединения, путем печати документа на сетевом принтере. Для обнаружения конфиденциальной информации, передаваемой сетевыми средствами, требуются механизмы перехвата почтового и интернет-трафика, а также контроль за сетевыми принт-серверами.

Локальный путь вывода информации включает применение внешних USB-накопителей и съемных жестких дисков, запись на CD/DVD и локальную печать.

Очевидно, единственным способом отслеживания такого рода действий является установка на компьютере пользователя программы-агента, способной выявлять потенциально опасные действия и реагировать на них в соответствии с централизованно управляемыми политиками.

Незаконное завладение носителем (переносным компьютером, смартфоном) в реальности является самым распространенным случаем, когда конфиденциальная информация становится доступной третьим лицам. Ноутбуки теряются и их воруют - почти каждая компания сталкивается с этим риском, и свести его к нулю невозможно. Единственный действенный способ борьбы в данном случае - шифрование всего диска или отдельных файлов.

DLP-система

Для решения задач защиты от утечек многие компании используют традиционные способы:

организационные меры - подписание сотрудниками положений по использованию корпоративной информации, прохождение инструктажа и контроль за соблюдением норм;

внедрение систем архивирования исходящей почты с возможностью последующего разбора инцидентов;

разграничение прав доступа к информации, предназначенной для выполнения служебных обязанностей;

перекрытие компьютерных портов ввода-вывода информации;

установка на локальные компьютеры программ, следящих за всеми операциями пользователей (перехват клавиатуры, снятие скриншотов, контроль операций с буфером обмена);

физические ограничения - обращение с защищаемой информацией в замкнутом сегменте сети (без интернета, без USB-портов и пр.).

По мере использования таких традиционных методов борьбы с внутренними нарушителями и по мере роста размеров компании, объема обрабатываемой информации стали усугубляться следующие недостатки:

количество финансово-значимых инцидентов утечки информации увеличивается с каждым годом;

появляются новые источники внутренних угроз (технические пути вывода информации из корпоративной информационной системы);

малейшие ограничения пользователей информационных систем приводят к нарушению отлаженных бизнес-процессов (сотрудники не могут выполнять свои служебные обязанности);

юридические департаменты компаний на законной основе противостоят службам безопасности, вскрывающим электронную переписку сотрудников;

небольшой отдел информационной безопасности должен решать задачи обработки огромного числа событий от разнородных систем безопасности, среди которых приходится вручную выявлять инциденты.

В связи с описанными тенденциями в мировой практике в течение 2004-2008 гг. сформировались требования, характерные для систем предотвращения утечек информации (Data Loss Prevention либо Data Leak Prevention, DLP).

Несмотря на свое название, так называемые системы предотвращения утечки данных (DLP) не могут в прямом смысле предотвратить все утечки, поскольку существуют человеческий фактор, хакерские способы обхода системы. Коммерческая целесообразность данных систем заключается в значительном снижении рисков утечки информации по неосторожности и в частичном снижении рисков преднамеренной кражи конфиденциальных сведений.

Википедия дает следующее определение: системы защиты от утечек данных - это технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.

DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

Следует отметить, что на практике большое число компаний в течение нескольких лет использует такие системы только в режиме слежения (аудита), а не блокирования.

Важным дополнением к определению является также и то, что DLP-система должна охватывать все основные каналы утечки конфиденциальной информации*(1). Данной позиции придерживается сегодня большинство экспертов в этой области. Кроме того, DLP-система должна быть чувствительной по отношению к проверяемому содержанию (контенту) и обеспечивать автоматизированный механизм отслеживания нарушений заданных правил, т.е. без привлечения существенного числа сотрудников-контролеров. С учетом сказанного можно предложить следующее определение системы защиты от утечек данных: автоматизированное средство, позволяющее распознавать и/или блокировать перемещение конфиденциальных данных за пределы защищаемой информационной системы по всем каналам, используемым в повседневной работе.

Как работает DLP-система

Основными задачами технической системы защиты от утечек являются:

получить описание защищаемых данных (настройка системы);

уметь распознавать защищаемые данные в потоке, исходящем из внутреннего информационного поля компании вовне (распознавание действий, направленных на перемещение конфиденциальных данных);

реагировать на обнаруженные попытки (формирование доказательной базы для расследования инцидентов).

Такой функционал составляет ядро любого DLP-решения. Рассмотрим более подробно каждый функциональный блок.

Настройка системы на данные. В первую очередь следует определить данные, перемещение которых будет контролироваться системой, "предъявить" их системе с использованием методов, описанных выше, и выявить ее реакцию на обнаруженные инциденты. Важны также и параметры реакции на инцидент - предполагает ли она блокирование какой-либо операции: отправка электронного письма, создание экранной копии защищаемого документа, запись данных на USB-накопитель. Независимо от блокирования практически всегда в журнал системы заносится максимально подробная предметная информация об инциденте. Необходимо также описать правила информирования об инциденте:

сотрудника подразделения, отвечающего за обеспечение информационной безопасности;

лица, являющегося владельцем информации;

самого подозреваемого в попытке организации утечки.

Следует отметить, что это лишь основные настройки базового функционала практически любой DLP-системы.

Распознавание подозрительных действий пользователей. В случае противодействия утечкам с использованием сетевого сценария DLP-система позволяет осуществлять перехват (блокирование) или зеркалирование (только аудит) отправки, проводить анализ содержания отправки в соответствии с используемыми механизмами контроля. Затем при обнаружении подозрительного содержания происходит информирование ответственного сотрудника, а детали инцидента вносятся в журнал системы.

Отправка может быть приостановлена, если схема подключения DLP-модуля позволяет это сделать. Важно отметить, что большинство DLP-систем предполагает осуществление "досылки" задержанных ранее сообщений. Назначенный сотрудник оценивает, насколько адекватным был вердикт системы и, если тревога оказывается ложной, вручную отдает команду провести отправку задержанного сообщения.

Подобным образом ведет себя и DLP-система, которая позволяет контролировать операции с данными на компьютере пользователя. Локальный агент должен:

отслеживать факт обращения к конфиденциальной информации (может использоваться механизм меток);

блокировать все запрещенные действия (print screen, печать, формирование отправки через коммуникационные каналы и т.д.);

блокировать обращение к файлу через программы, не внесенные в число разрешенных для работы с данным файлом;

формировать "цифровые отпечатки" открытого документа и препятствовать отправке конфиденциального содержания, "набитого" в другой файл;

составлять журнал событий, который при очередном сеансе связи передается в консолидированную базу инцидентов.

Необходимо понимать, что при наличии локального агента с базой меток и "цифровых отпечатков" вердикт принимается на рабочей станции. Таким образом удается в онлайн-режиме оперативно блокировать запрещенные действия без потерь времени на обращение к сетевому хранилищу (в том числе, когда ноутбук находится вне сети - в дороге). Итак, сетевые механизмы перехвата позволяют оперировать с уже сформированными пакетами, в то время как агентское решение - отслеживать действия на конечной рабочей станции. Надо отметить, что большинство DLP-решений использует комбинированный подход: и сетевой перехват отправки, и локальный агент.

Какие DLP системы существуют

В 2008 г. на российском рынке официально представлено четыре признанных технологических решения по борьбе с утечками данных (DLP). Приведенная таблица содержит их названия и краткую информацию о каждом из них.

Компания	Продукт	О решении
Websense	Data Security Suite	Система интегрирована с продуктами web-безопасности и web-фильтрации
InfoWatch	Traffic Monitor	Единственный из перечисленных продуктов, имеющий русский интерфейс
Symantec	Vontu DLP	Решение имеет крупнейшую в мире базу инсталляций
McAfee	DLP Host	Интегрированное в единую систему управления продуктами McAfee DLP-решение, обеспечивающее анализ и блокирование запрещенных действий пользователя на конечной станции

С чего начать

Практика показывает, что полноценное внедрение системы противодействия утечкам информации на базе одного из DLP-продуктов возможно только при активном участии специализированного системного интегратора. Если компания планирует заняться вопросами защиты ее конфиденциальных данных, то первое, с чего следует начать, - обратиться к консультанту. Это может быть IT-компания, обладающая солидным опытом внедрения систем противодействия утечкам информации. Совместно им предстоит пройти три начальных этапа:

обсудить с группой экспертов консультанта текущую ситуацию и цель внедрения DLP-системы в компании;

принять участие в "живой" демонстрации предлагаемых к внедрению DLP-систем и в рамках показа вместе с экспертами выбрать одну из них для пилотного развертывания;

согласовать с консультантом параметры пилотного запуска системы, зафиксировать ожидания от его реализации и провести развертывание.

Данные стадии могут быть завершены в срок от двух до трех месяцев, после чего можно приступать к основному проекту по внедрению системы противодействия утечкам информации.

В. Левцов,

директор департамента развития

Н. Зенин,

руководитель направления

защиты коммерческих тайн

LETA IT-company

"Финансовая газета. Региональный выпуск", N 48, ноябрь 2008 г.

-------------------------------------------------------------------------

*(1) За исключением, пожалуй, возможности утраты носителей информации. В настоящее время среди экспертов нет единой точки зрения по поводу того, относить ли шифрование переносных устройств к типичному функционалу систем борьбы с утечками данных. По мнению автора, поскольку этот сценарий утечки является весьма распространенным, полноценное решение должно предусматривать и криптографическую защиту. Так, производители многих существующих DLP-систем (McAfee, Symantec, InfoWatch) уже включают в свои пакеты средства шифрования конечных устройств.