13 декабря среда
ДОЛЛАР 57.57 -0.03
ЕВРО 68.68 0.02
ЮАНЬ 8.81 0.20
ФУНТ 75.06 -0.05
НЕФТЬ 51.99 0.62
золото 1168.81 -0.02
МТС
9.99 +2.88
VimpelCom Ltd
0 0.00
Yandex
30.01 +0.54
Mail.Ru Group
28.13 0.00
Ростелеком
66.51 0.00
QIWI
16.45 +3.13
МегаФон
578.3 +1.21
РБК
7.62 0.00
Как защищают информацию в России
Статьи 1 сентября 2016 •  therunet

Как защищают информацию в России

DPL, SIEM и другие технологии корпоративной безопасности

1 сентября 2016
Татьяна Кулагина

Лев Матвеев, председатель совета директоров ГК SearchInform, рассказал theRunet про информационную безопасность и применение технологий DLP и SIEM в корпоративной защите.

DPL (Data Leak Prevention) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне. К ним относится как ПО, так и сами устройства (hardware). DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

История применения DLP-систем в России не столь давняя, она стартовала в начале 2000-х. Ранее вопрос сохранности конфиденциальной информации был в приоритете у государства. В начале века защитой информации стал активно интересоваться как бизнес, так и обычные граждане. Решающим фактором было распространение ПК и использование интернета как в личных, так и в рабочих целях.

Сейчас это кажется смешным, но еще 10 лет назад самым популярным способом передачи документа было его копирование на носитель или распечатка. Теперь же появляются новые каналы передачи информации, и это влечет за собой необходимость их контроля. Кроме того, у рядовых пользователей значительно повысился уровень владения ПК, а вместе с ним вырос и риск утечек конфиденциальных данных.

Еще один момент: раньше люди общались в основном через телефон, а не посредством электронной почты, скайпа или соцсетей. Теперь же сотрудник коммуницирует с клиентами, партнерами, коллегами, личными контактами через множество разнообразных каналов. Всю эту информацию можно и необходимо контролировать, анализировать. На этой волне мы в свое время вышли на рынок DLP из другого сектора — рынка поиска по неструктурированной информации.

Просто ищем файлы

От первых DLP не требовалось решения сверхзадач по трем причинам.

  • Каналов потенциальной утечки информации было существенно меньше. Рынок программных продуктов был не так развит, как сейчас, а у ПО не было кроссплатформенности. Фактически, требовалось защищать только одну платформу. Пользователи работали только на ПК c Windows, не используя мобильные устройства или Mас для служебных задач. Более того, набор устанавливаемого ПО был очень стандартизован.
  • Данные не были децентрализованы, как сейчас. Тот же сетевой обмен был реализован далеко не во всех организациях. А значит, циркулирующую информацию было легче контролировать. Не забываем и о большей популярности обмена бумажными документами, в сравнении с электронными.
  • Шифрование в пользовательских продуктах или сервисах практически отсутствовало, почти все передавалось «как есть». Перехватить такие данные было несложно, и от DLP больше никаких действий не требовалось. C этим фактом связана взрывная популярность сетевых DLP того времени и стремительный отказ от них в наши дни: с каждым годом такая модель приносит все меньше и меньше результатов.

Изначально было два подхода к созданию подобных продуктов. Первый (его использовали McAfee) — применение меток и анализ файлов с их помощью. Он обеспечивал минимальные трудозатраты с точки зрения системы: можно было отметить файл и знать все, что с ним происходит, блокировать его передачу.

Это грубый, упрощенный подход, который, тем не менее, используется в некоторых системах и сегодня. Второй подход, которого придерживалось большинство разработчиков, — контентный: система по сути должна перехватить информацию и с помощью определенных поисковых алгоритмов ее проанализировать. Конечно, здесь тоже были свои проблемы. К примеру, некоторые вендоры десять лет назад могли осуществлять поиск только по ключевому слову.

Задачи информационной безопасности решались разными видами поиска по системе: поиск похожих, поиск по регулярным выражениям, комплексные запросы

Но только представьте, что вам нужно найти, к примеру, резюме. С помощью поиска по ключевому слову система выдаст тысячи документов. Хотя необходимых файлов может быть всего пять. Трудоемкость у такого подхода крайне высока. Более эффективно решать задачи ИБ позволяют другие виды поиска: «поиск похожих», поиск по регулярным выражениям, комплексные запросы, с которыми мы вышли на рынок DLP в 2005 году. Конкуренты «обросли» подобным функционалом позднее.

Первые отечественные DLP-системы, как и любой новый для рынка продукт, страдали своими «детскими» болезнями: высокая стоимость, нестабильность работы, сложность внедрения. Отсутствие на тот момент законодательной базы также не способствовало качеству ПО. Вендоры ориентировались на запросы потенциальных заказчиков: в первую очередь интерес к подобным решениям проявили финансово-кредитные учреждения, уже позже подтянулись компании из других отраслей.

В целом, разработчики всегда пытаются решить две основные задачи: перехватить как можно больше информации и как можно быстрее и качественнее ее проанализировать.

За рубежом всё не анализируют

Зарубежные игроки в этой сфере никогда не представляли особой угрозы для российских производителей. Западный и российский подход к защите информации сильно отличаются, и законодательно, и на уровне менталитета. Западные системы не заточены под сбор всей информации. Они работают как «черный ящик» — есть заранее созданные политики, которые что-то там проверяют.

Если политика сработала, то система проинформирует, если не сработала, то в принципе не информирует, и в базе никаких данных об этом не остается. При этом, если изначально западные разработчики не закладывали такую возможность в систему, то сейчас, даже осознав ошибочность своего подхода, реализовать полный перехват им крайне сложно технически. В свою очередь, большинство российских систем ведут полную базу перехвата.

За рубежом с данными программами работают специалисты в области технологий, а в российских реалиях —специалисты в области «расследований»

Кроме того, кардинально различается подход к использованию DLP-систем. Это связано с тем, что за рубежом с данными программами работают специалисты в области технологий, а в российских реалиях —специалисты в области «расследований», зачастую технически не слишком подкованы. Две эти группы используют разные методы в работе. 

Одним важно правильно настроить систему, чтобы она выполняла как можно больше задач без участия человека, в автоматическом режиме, самостоятельно решала большую часть вопросов. Российские безопасники, напротив, предпочитают работать с результатами по большей части вручную, используя личный опыт, не полагаясь на автоматику системы.

Также есть существенная разница в законодательстве, налагающая ограничения на возможности контроля — в западных системах они значительно жестче.

Это настолько разные подходы к защите информации, что доля западных ИБ-продуктов на российском рынке всегда была несущественной. А значит, импортозамещение кардинально не скажется на расстановке сил.

От DLP к SIEM

Современные DLP сейчас развиваются в двух направлениях:

  • Увеличивается количество контролируемых каналов, расширяется список поддерживаемых устройств и систем.
  • Совершенствуется методы автоматической аналитики и инструменты работы с данными. Сегодня любая DLP контролирует десятки протоколов передачи, сотни онлайн-сервисов, множество устройств и портов, активно добавляются инструменты контроля эффективности работы пользователей и инструменты детального расследования инцидентов (скриншоты, видеозапись действий). Некоторые компании-разработчикирасширяют линейки своих продуктов, решающих задачи безопасности, но прямо не относящихся к DLP.

Cовременные DLP-системы накапливают огромный массив различных данных и становятся прекрасными поставщиками данных для SIEM (Security information and event management). Технология SIEM обеспечивает анализ в реальном времени событий безопасности, исходящих от сетевых устройств и приложений.

Большая часть систем использует агентское решение, при котором специальное ПО не только собирает передаваемые данные, но и способно следить за техническим состоянием оборудования, используемым ПО и аппаратной конфигурацией, действиями пользователя или служб в системе и многое другое.

Тесную связку современных DLP и SIEM подтверждает и наш опыт. DLP от SearchInform со временем стала «обрастать» все новыми модулями и снабжаться дополнительной функциональностью. В итоге жизнь и задачи клиентов подвели нас к созданию собственной SIEM. Это получилось естественно, потому проблем с интеграцией нашей DLP и SIEM не возникает.

Без глубокого анализа SIEM бесполезен

Отмечу, что одна система при этом не заменяет другую, они решают разные задачи. Простой пример: сотрудник несколько раз ввел неверный пароль. SIEM не только обнаружит эти действия, но и сопоставит факторы — сколько раз пароль введен неверно? в течение какого времени? 

Система выявит угрозу информационной безопасности — кто-то пытается подобрать пароль к «учетке» — и своевременно оповестит о ней. DLP в свою очередь позволит детализировать данные и выяснить подробности инцидента. Такой симбиоз SIEM и DLP в разы повышает уровень информационной защиты организации и упрощает работу службе безопасности.

Сейчас DLP-разработчики активно интегрируют свои решения с популярными SIEM-системами. Процесс только набирает обороты и говорить о конкретных результатах еще рано. Для вендоров интеграция своих данных в SIEM — процесс небыстрый, ведь недостаточно отдать сторонней системе данные, необходимо понять, какие конкретно задачи способна решать такая схема, как именно поможет такой союз.

Когда закончится процесс «технической» интеграции, начнется процесс интеграции «фактической».

Потребуется еще не одна итерация, чтобы данная связка начала решать прикладные задачи — из всего невообразимого массива данных выбирать нужные и представлять из себя удобный и функциональный инструмент для решения реальных проблем, а не просто конструктор.

Однако в чем основная проблема большинства SIEM-систем? В том, что мало кто понимает, как использовать огромный массив собранной информации. Работа с системой требует специальных знаний и навыков, если их нет, то SIEM превращается в дорогой и, практически, бесполезный для бизнеса инструмент. Потому задача разработчиков, и наша в том числе, сделать так, чтобы система была максимально настроена и интуитивно понятна ИБ-специалистам.

Текст готовила к публикации Татьяна Кулагина.

Комментарии 0
Зарегистрируйтесь или , чтобы оставлять комментарии.
Войти с помощью: