Модуль dlp что это
Контроль за информацией, или Три веселые буквы – DLP
Для начала небольшое введение, как и положено, скучное и формальное. Информация правит миром. Информация дороже золота. Какую бы еще избитую мысль привести, чтобы подтвердить тезис, в котором и так никто не сомневается?
Любая информация имеет особенность утекать. Причем обычно к конкурентам. Чтобы ваша информация оставалась при вас, ее надо защищать. Перечислим три основных способа защиты, посмотрим на плюсы и минусы. Ну а чтобы вы могли на равных разговаривать с вашим начальником службы ИТ-безопасности, добавим порцию умных слов, описывающих эти методы профессиональными терминами.
Первый способ. Можно построить стену, в стене прорубить калитку, у калитки поставить часового, и он будет совать нос в каждый документ, который пытаются вынести за пределы стены. Если документ похож на секретный, калитка захлопывается и вызывается начальник охраны.
Умные слова. Такой способ называется граничным DLP (Border DLP). Понятно, почему граничным: мы же запрещаем документам покидать границы нашей организации. Аббревиатура DLP расшифровывается как Data Leak Prevention – предотвращение утечек данных. Документы определяются как секретные либо по имени файла (способ простой, но ненадежный, ибо переименовать файл очень просто), либо по его содержимому. Вычисляется так называемая сигнатура – бинарная последовательность, которая будет уникальной для каждого исходного документа. Когда документ пытается покинуть пределы организации каким-либо путем – по сети, через USB-диск (флешку), по почте и так далее, определяется его сигнатура и сравнивается с базой защищаемых документов. Если сигнатура в базе найдена, операция блокируется, а ИТ-безопасность уведомляется.
Плюсы. Сделать такую систему достаточно просто, поэтому на рынке их много и стоят они относительно недорого.
Минусы. Не обязательно выносить документ из организации по сети или по почте. Есть и альтернативные способы. Во-первых, его можно прочитать и запомнить. Во-вторых, сделать снимок экрана и отправить по почте. В-третьих, сфотографировать документ, открытый на экране монитора. В-четвертых, вообще изменить документ, теперь он не будет совпадать с сигнатурой, а значит, система ничего не заметит.
Выводы. Стоит ли платить за такую систему – решайте сами. В качестве дополнения она, может, и сгодится. Проблема только в том, что зачастую две однотипные, но по-разному работающие системы имеют свойство конфликтовать.
Второй способ.Стену можно не строить (к чему такие строгости?), зато приставить к каждому работнику по сотруднику тайной службы, чтобы ходил следом да приглядывал, какие документы тот пытается прочитать. И только он захочет открыть запрещенный документ, как его хвать за рукав, секретный документ назад на полку, а нарушителя режима – куда следует.
Умные слова.Такой вариант DLP называется агентским (Agent DLP). На каждый компьютер в организации устанавливается агент, отслеживающий всякую попытку работы с любыми документами (открытие, копирование, удаление, печать и т. д.). При каждой такой попытке он вычисляет сигнатуру документа, сравнивает ее с базой сигнатур. Если документ защищен, определяется пользователь, пытающийся с ним работать, и есть ли у этого пользователя права на выполнение этой операции. Если права есть, операция выполняется, если нет, блокируется и уведомляется служба безопасности.
Плюсы. С помощью данного способа действительно можно эффективно защитить документы. Их невозможно будет даже открыть, а если нельзя открыть, то нельзя и ознакомиться с содержимым. Хотя, если основной задачей стоит именно запрет на открытие документов, здесь достаточно стандартного механизма разграничения прав доступа к файлам Windows.
Минусы. Как ни странно, тут их предостаточно. Во-первых, на каждом компьютере в сети работает агент, что отнюдь не сказывается положительно на общей производительности компьютера. Страдает также производительность сети, ведь каждый компьютер периодически обращается к базе сигнатур документов (нет, она, конечно же, сохраняется локально на компьютерах, но ведь ее надо периодически обновлять). Во-вторых, перед открытием, копированием, печатью каждого документа происходят вычисление его сигнатуры, сравнение и прочие действия, что в случае среднего компьютерного «железа» может обеспечить 1–5-секундные задержки (а то и больше) между запуском операции и ее выполнением. В-третьих, систему нужно настроить, указав все файлы, которые нужно защищать, и права доступа к ним для разных пользователей. Ну и наконец – деньги. Лицензия на каждый агент стоит недешево – 50–100 американских долларов, причем ближе к 100, чем к 50. При этом лицензию купить нужно на каждый компьютер, в противном случае можно сесть за незащищенную машину и получить доступ к файлам.
Выводы. Неплохой подход, если минусы для вас несущественны. Работает с любыми документами, но эффективен не во всех ситуациях.
Третий способ.Можно и стен не строить, и на соглядатаев не тратиться. Просто зашифровать документы. Что толку от документа, который прочесть невозможно? А хочешь прочесть, обратись в хранилище ключей, там твою личность проверят и дадут ключик. Но даже с ключиком ты не всесилен, если он не разрешает документ печатать или вносить в него изменения.
Умные слова.Каждая компания называет эту технологию по-разному. Но есть и общее название – DRM (Digital Rights Management), управление цифровыми правами. Данная технология реализуется путем встраивания механизма шифрования / дешифрации в стандартные программы для просмотра и редактирования документов. Для Microsoft это большинство программ, входящих в Office: Word, Excel, PowerPoint, Outlook; для Adobe – Acrobat и Acrobat Reader. Клиентская часть при попытке открытия документа обращается с информацией о документе и открывающем его пользователе к серверу ключей, который хранит сведения о правах различных пользователей на доступ к различным документам. Если право на доступ есть, отправляется ключ, с помощью которого клиент незаметно для пользователя расшифровывает документ и дает возможность выполнить разрешенные операции. То есть если в правах задано «Только просмотр», то напечатать документ уже не получится.
Плюсы. Защищенные письма в Outlook открываются заметно медленнее обычных, но в целом данная технология имеет хорошие показатели по скорости работы и мало нагружает компьютер и сеть.
Минусы. Я не зря сказал, что все компании называют эту технологию по-своему. Каждая компания еще и реализует эту технологию по-своему. Для защиты документов Microsoft Office используется программное обеспечение от Microsoft (причем желательно, чтобы Office был определенной версии), для защиты Adobe PDF – да, угадали, программное обеспечение от Adobe. Причем если захотите открыть документ с рабочего ноутбуку, который унесли домой, позаботьтесь, чтобы сервера были доступны извне вашей организации.
Вывод.Решение в целом неплохое, но весьма нишевое. Нужно в тех случаях, когда есть небольшое количество документов, которые надо защитить. Документы в едином формате, клиентское программное обеспечение одной и той же версии установлено у всех сотрудников, которые с этими документами будут работать (например, высшее руководство компании). Но для массового применения решение достаточно тяжелое и неэффективное.
Что такое DLP система?
DLP-система (от англ. Data Leak Prevention) это специализированное ПО, которое защищает организацию от утечек данных. Данная технология – это не только возможность блокировать передачу конфиденциальной информации по различным каналам, но и инструмент для наблюдения за ежедневной работой сотрудников, который позволяет найти слабые места в безопасности до наступления инцидента.
Зачем нужна DLP и как она работает?
Часто в компаниях больше внимание уделяют внешним угрозам: спаму и фишинг-атакам типа «отказ в обслуживании», вирусам (троянскому ПО, червям), подмене главных страниц интернет-ресурсов, шпионскому и рекламному программному обеспечению, социальному инжинирингу. Но на самом деле внутренние угрозы способны причинить компании куда более серьезный ущерб, чем злоумышленники за ее пределами.
В принципе любой работник компании может являться потенциальным инсайдером и поставить информационную безопасность под угрозу. От злого умысла или банальной оплошности не застрахован никто: от низшего звена и до топ-менеджмента.
Принцип работы DLP-системы прост и заключается в анализе всей информации: исходящей, входящей и циркулирующей внутри компании. Система при помощи алгоритмов анализирует, что это за информация и в случае, если она критичная и отправляется туда куда ей не положено — блокирует передачу и/или уведомляет об этом ответственного сотрудника.
Основа DLP — набор правил. Они могут быть любой сложности и касаться разных аспектов работы. Если кто-то их нарушает, то ответственные лица получают уведомление.
Так, например, в компании Х выявили сотрудника, который занимался майнингом криптовалют. Это было обнаружено при использовании модуля активности пользователей – отчёт показал, что рабочая станция не отключалась на ночь. После просмотра запущенных процессов выяснилось, что сотрудник перед уходом запускал процесс майнинга.
Система отслеживает не только время работы и активные программы на компьютере, но и любую другую работу с информацией, — ввод данных с клавиатуры, переписку и передачу файлов по почте, в соцсетях и мессенджерах, отправляемые на печать документы, время простоя, SIP-телефонию, активность на сайтах и многое другое.
Способы перехвата данных
Для того, чтобы анализировать данные — DLP-система сперва должна их получить.
Есть два основных способа перехвата — серверный и агентский. В первом случае система контролирует сетевой траффик на сервере, через который компьютеры «общаются» с внешним миром. Во втором случае специальные небольшие программы — агенты — устанавливаются на все компьютеры организации и передают с каждой машины данные для анализа.
Агентский перехват является более распространённым, ведь с его помощью можно получить гораздо больше данных из различных каналов коммуникации, а значит и надежнее предотвратить возможные утечки.
Нужна ли DLP вашей организации?
Если ответить кратко – да, конечно.
У каждой компании есть информация, которая имеет ценность, а значит притягивает злоумышленников, не только снаружи, но и изнутри. Это может быть клиентская база, особенности технологических процессов, чертежи, даже банальный список адресов для пресс-релиза несет ценность, которую не хочется просто так дарить конкурентам.
Как выбрать DLP?
Если вы убедились, что система защиты данных вам необходима, возникает вопрос, как ее выбрать исходя из разнообразия, представленного на рынке. Для начала задайте себе несколько вопросов:
Какие каналы передачи информации она должна контролировать
Будет ли использоваться система в расследованиях или работать только на перехват
Какой бюджет и оборудование будут выделены на систему
Чтобы максимально полно ответить на эти вопросы лучше всего запросить демо-версию продукта. Большинство разработчиков предоставляет DLP на некоторое время, чтобы вы могли посмотреть, как она работает. Во время тестового периода можно понять, насколько хорошо выбранный программный комплекс закрывает задачи, а также сравнить с другими.
DLP-системы и законодательство
Сама DLP-система, а также процедура ее внедрения при правильном исполнении соответствует требованиям законодательства. Достаточно отметить, что система мониторит исключительно рабочий процесс, а не частную жизнь человека.
Неочевидные способы использования DLP-системы
Казалось бы, система, созданная для контроля утечки данных, больше ничем не может быть полезна. Однако современные DLP имеют и другие возможности, неочевидные на первый взгляд.
• Анализ загруженности персонала
Многие DLP-системы способны вести учет рабочего времени сотрудников. Рабочий процесс каждого пользователя можно представить в виде статистики, которая позволяет проанализировать, насколько сотрудник вовлечен в трудовой процесс.
• Обеспечение юридической поддержки
Задача DLP состоит не только в том, чтобы предотвратить утечки, но еще и при наличии судебного разбирательства, предоставить доказательства злоумышленной деятельности.
• DLP как инструмент мотивации
Когда сотрудники осознают, что их трудовая деятельность находится под мониторингом, появляется большая ответственность за рабочий процесс. И это в свою очередь приводит к улучшению климата в коллективе.
DLP-технология гарантирует сохранность всей информации, поскольку содержит в своём архиве все коммуникации сотрудников, к которым в случае необходимости можно будет обратиться.
Что такое DLP-системы, кому и когда они нужны
Что такое DLP-системы, кому и когда они нужны
DLP-система — специализированное программное обеспечение, предназначенное для защиты компании от утечек информации. Эта аббревиатура на английском расшифровывается как Data Loss Prevention (предотвращение потери данных) или Data Leakage Prevention (предотвращение утечки данных). Чаще всего для продуктов этого класса используется именно это сокращение. Но встречаются другие. Если вам попадается аббревиатура ILP, ILDP, EPS или CMF, скорее всего речь тоже идет о системе безопасности, обеспечивающей защиту от утечек.
Виды DLP-систем
Они делятся на системы с активным и пассивным контролем, устанавливаемым над действиями пользователя. Активные имеют такую способность, пассивные – нет. Первые более эффективны, так как предотвращают утечку информации, блокируя действия пользователей или работу ПО при обнаружении инцидента. С другой стороны, у них есть недостаток – технология может непроизвольно нарушить какой-либо критический бизнес-процесс. С пассивными такого не происходит, они используются для профилактики систематических утечек с реагированием постфактум.
По классификации, построенной на сетевой архитектуре, DLP решения бывают шлюзовыми и хостовыми. Первые функционируют на серверах, а вторые применяют на рабочих станциях пользователей. Многие современные DLP совмещают оба способа контроля — так удается достичь высоких показателей их эффективности.
Преимущества DLP систем
Кроме основной функции обеспечения ИБ, технология предотвращения утечек помогает решать и другие задачи по установлению контроля над действиями сотрудников предприятия. К примерам их применения относятся:
· учет рабочего времени, а также использования ресурсов;
· анализ правомерности действий работников в целях минимизации риска изготовления поддельных документов;
· выявление признаков так называемой «подковерной борьбы», которая может причинить вред компании, через мониторинг общения и взаимодействия между сослуживцами;
· вычисление сотрудников, планирующих смену работы, для быстрого поиска новых специалистов, минимизации риска утечки данных вместе с увольняющимися кадрами.
Некоторые компании используют DLP-системы именно для контроля рабочего времени и ресурсов, но это не значит, что в то же время продукт не работает над предотвращением утечки данных.
Эти решения позволяют решать множество важных задач: это полноценный инструмент, обеспечивающий информационную безопасность.
Есть программы, которые «заточены» именно на контроль, в них нет полноценных средств перехвата информации. Подобные настройки выставляются вручную. Такие системы подходят для небольших фирм, штат которых насчитывает до ста специалистов.
DLP-системы имеют широкие возможности. Они используют службы экономической безопасности для мониторинга ключевых сделок, коммуникации с поставщиками и контрагентами, проведения служебных расследований, сбора доказательств.
Solar Dozor помогает в борьбе с коррупцией, контролируя передачу и хранение данных, позволяя выявлять конфликты интересов и факторы превышения полномочий сотрудниками.
DLP-технология внедряется в работу службы собственной безопасности: с ее помощью можно определить распространителей слухов, выявить сотрудников с компрометирующими связями, случаи сокрытия нарушений режима труда и т. д.
Перспективы развития и использования DLP-систем
Такое решение — инструмент для предотвращения утечек любой защищаемой информации, который развивается сообразно с потребностями рынка, приобретая новые функции или выделяя их в качестве отдельных продуктов. DLP-системы не только защищают информационные активы, но и анализируют поведение пользователей или помогают управлять продуктивностью их работы. Это расширяет список сценариев применения, заставляя задуматься о внедрении тем, кто ни с ущербом, ни с вероятностью инцидентов, ни с хищением персональных данных до этого не сталкивался.
DLP решения от Ростелеком Солар внедряются как в крупный, так и малый и средний бизнес, предотвращая изменение хода рабочих процессов и обеспечивая защиту ИБ.
Появляются компании, которые сталкивались с перечисленным в полном объеме, ввиду чего стараются быстрее внедрять DLP-решения. К ним относятся финансовые учреждения и бюджетные организации — компании уровня enterprise. Они в первую очередь чувствуют увеличение объема угроз, осознают бессмысленность традиционных методов реагирования. Предположительно через некоторое время повышение количества и критичности инцидентов затронет также компании меньшего размера, а значит, ответ на вопрос «когда и кому нужна DLP-система?» будет «всем и всегда».
Кому и когда нужна DLP-система
Обязательных требований по их использованию в организациях нет. Но в ряде нормативных документов описаны рекомендации и механизмы обеспечения безопасности конфиденциальных, реализовать которые можно как раз с помощью систем предотвращения утечек информации.
Системы DLP позволяют реализовать в компании менеджмент событий / инцидентов в соответствии с требованиями и рекомендациями ГОСТ 18044-2007. Кроме того, с помощью таких решений вы сможете выполнить требования и рекомендации по защите информации, указанные в международных, национальных, отраслевых документах (стандартах). Из международных стандартов, которым поможет соответствовать DLP-система, можно выделить, например PCI DSS, определяющий требования платежных систем к защите информации.
Из национальных нормативно-правовых актов, на которые можно опираться при внедрении DLP-решения, стоит выделить:
· 152-ФЗ. Касается всех, кто работает с персональными данными, не только клиентскими, но также с информацией о сотрудниках;
· 161-ФЗ. Применяется к банковским, финансовым и иным организациям, работающим с национальной платежной системой;
· Положение Банка России № 382-П. Регламентирует вопросы безопасности при переводе денежных средств;
· 98-ФЗ. Касается практически всех субъектов хозяйствования, определяет требования по защите коммерческой тайны;
· Приказы ФСТЭК 21, 17. В этих документах присутствует ряд мер по защите информации, которые можно реализовать как раз только с помощью DLP-решений.
Система DLP безопасности позволит избежать репутационных, а также и финансовых рисков, которые могут быть очень серьезными. Около 2/3 малых и средних компаний закрываются в течение 6-12 месяцев после утечек важных данных. Они просто не выдерживают последствий таких инцидентов: обязательства по оплате ущерба потерпевшим, потеря доли рынка, авторитета среди клиентов, партнеров. Крупные компании в большинстве случаев оправляются от таких ситуаций. Но все-равно серьёзные потери при этом имеют место.
Подумать о необходимости внедрения таких решений стоит компаниям, IT-инфраструктура которых насчитывает от 100 компьютеров. Чаще всего утечки возникают в организациях, работающих в финансовой и банковской сфере, в производственных компаниях, разрабатывающих новые продукты, у тех, кто обрабатывает большие объемы персональных данных, работает с платежной информацией клиентов.
Показаниями к внедрению DLP-решения могут служить:
· утечки информации, касающиеся новых продуктов / услуг до момента публикации сведения о них;
· манипуляции с отчётностью (в частности, частые изменения задним числом, корректировки уже утвержденных документов);
· массовый переход сотрудников к конкурентам;
· появление в открытом доступе персональных, а также других данных, к обработке которых ваша компания имеет отношение;
· частые проигрыши на тендерах и в конкурсах с заведомо выгодными предложениями (когда конкурент на ходу меняет условия, получает победу).
Будущее рынка DLP-технологий
Многие системы обеспечения информационной безопасности состоят из компонентов разных изготовителей, но уже сейчас существует высокий спрос на полноценные интегрированные программные комплексы. Именно они позволяют решить множество проблем, связанных, к примеру, с переносом информации из одного блока в другой, изменениями настроек оборудования и т. д.
В то же время современные программные комплексы постепенно приобретают модульную структуру, что позволяет заказчику самостоятельно выбирать необходимые компоненты. На развитие сферы ИБ также влияет отраслевая специфика. Вероятно, что скоро появятся отдельные версии популярных систем, созданные специально для государственных учреждений, банков, медицины и т. д., в которых будут учтены запросы этих организаций.
Все больше компаний понимают, что защищаться от утечек важно. И лучше делать это при помощи специализированных решений, которые отлично справляются с такой задачей, предотвращая финансовые репутационные и другие виды потерь.
DLP-модуль в интернет-шлюзе: как, зачем и почему?
Все, что известно о DLP-системах человеку неискушенному, можно уместить в трех словах: сложно, дорого, непонятно. Даже Википедия не знает, как правильнее: Data Leak Prevention или Data Loss Prevention. Хотя, суть технологии прямо соответствует названию: защита от случайных утечек данных. Ни больше, ни меньше. Мы зарелизили первый в России интернет-шлюз с модулем DLP. Может, вообще первый в мире (китайцы наверняка и это уже изобрели), хотя это так логично — фильтровать трафик именно на шлюзе, не вкорячивая отдельную систему до или после него. DLP-модуль не нужно внедрять или настраивать — он уже в дистрибутиве. Домашним пользователям за него даже не надо платить — качай, как говорится, лицензионное.
Прежде всего, дисклеймер на тему DLP. Суть технологии — защита служебных данных (или любых, которые вы считаете конфиденциальными) от случайного распространения. Помните, как у Мозиллы кто-то талантливый выложил базу аккаунтов на открытый сервер? Так вот, DLP позволяет этого не допустить. Вы загружаете в DLP-систему документы (таблицы, видео, и т.п.) для снятия цифровых отпечатков. Документы на сервере не хранятся, хранятся только отпечатки. DLP-модуль сканирует весь исходящий трафик (почта, веб-протоколы) и при обнаружении «секретных» документов срабатывает, блокируя их передачу и уведомляя обе стороны (админ и пользователь) о попытке распространения внутренней информации. Работает также с измененными документами, т.е. не только на полное соответствие. В идеале DLP-система контролирует также выгрузку на разные носители и вывод на принтер. Да, она не бьет инсайдеров по рукам (на это есть служба безопасности), её задача — защита от глупости и случайности.
Наш модуль DLP обеспечивает фильтрацию всего, что утекает через интернет-канал. Для обнаружения конфиденциальных данных в исходящем потоке трафика мы применяем сравнение по md5 хешу файлов, в этом случае поддерживаются любые форматы файлов. Так же, для более тщательной фильтрации текстовых документов, применяется новейшая технология SmartID — если пересылаемые файлы были модифицированы то в зависимости от степени изменения их сходство будет искаться с ранее загруженными на сервер документами.
Небольшая презентация от нашего ведущего разработчика DLP:
Если вы не смотрели видео, подытожу: наш модуль будет развиваться и стремиться закрыть все дыры и возможности утечки данных. Сейчас он контролирует основные каналы и вполне справляется с 95% утечек. Основная функция нашего продукта — это доступ и контроль доступа в интернет, так что DLP-фильтрация вполне логично дополняет его инструментарий безопасности.
Итак,
Как мы DLP-систему выбирали (практический опыт)
Немного о компании: мы среднего размера — порядка 300 рабочих станций (на некоторых работают посменно), плюс для части сотрудников организован удалённый доступ к виртуальным рабочим средам через Citrix Desktop. В качестве побочного эффекта рассматривался некоторый комплаенс по 152ФЗ и соответствующая организация защиты персональных данных.
К государству отношения не имеем, другие отраслевые регуляторные требования тоже в принципе нас не затрагивают. Цена вопроса и вообще процесс закупки — дело компетентного подразделения. Соответственно стоимость решения и модная нынче тема импортозамещения нас не ограничивали, и мы могли рассматривать любые разработки: как отечественные, так и зарубежные. У нас (маленького отдела ИБ в составе аж трёх человек) не было желания заполнять разные опросники и формы от вендоров и интеграторов, поэтому решили освежить память факт-чекингом (с темой DLP в принципе были уже знакомы, но без особого практического опыта). Это значит — своими руками прощупать только те DLP-системы, которые либо относительно легко («без регистрации и смс» и засветки компании перед продавцом) достать для самостоятельного теста на собственном стенде, либо можно посмотреть в работе у коллег из других организаций. Важно: учитывая, что дальнейшие внедрение и эксплуатация будут выполняться собственными силами, мы хотели именно самостоятельно протестировать на стенде, а не заниматься просмотром «правильно отлаженных» демо-версий «из рук» и брошюр, чтобы самим убедиться, что заявленные функции действительно реализованы и работают как нам надо.
Системы, построенные на базе мониторинга приложений, снимков экрана, клавиатуры и т.п. смотреть даже не пытались — просто потому, что они не решают ключевую поставленную задачу, как бы их разработчики не позиционировали на рынке. Имеются в виду Стахановец и его клон от Инфовотч Person Monitor, StaffCop, TimeInformer, KickIdler и им подобные. Это не означает, что данные системы плохие — просто они не решают ключевую задачу «не допустить утечки!» конфиденциальных данных, но могут быть (возможно) неплохим инструментом для других задач с пассивным наблюдением.
Между делом ознакомились с независимыми аналитическими и обзорными материалами… их оказалось негусто. Из читабельного — две публикации на Хабре (раз и два) и уже устаревший и весьма поверхностный обзор на Anti-Malware с отдельным сравнением в табличной форме.
В число интересующих нас вошли: зарубежные Symantec DLP, Forcepoint DLP, McAfee DLP, Sophos Endpoint Protection, российские (или как бы российские) Solar Dozor, Zecurion DLP, InfoWatch Traffic Monitor, DeviceLock DLP, Контур информационной безопасности СёрчИнформ, Falcongaze SecureTower.
По мере появления у нас на руках дистрибутива свежей версии или приглашения к коллегам, проводились собственно тесты заявленных функций и возможностей. В качестве источника дополнительной информации принимались публикации и записи вебинаров вендоров и их партнеров, а также данные агентства ОБС, то есть экспертное мнение коллег с опытом.
Сразу перечислю, какие DLP-системы посмотреть не удалось.
Отдельно подчеркну, что описываемое в этой статье мнение является субъективным и построено на личных впечатлениях сотрудников одного подразделения по итогам прогона нескольких базовых тестов и общего обзора системы. Все выводы построены от «примерки на себя» и выполнения основной поставленной задачи «не допустить утечки», на полноту не претендуют.
Проверяли простые вещи, прямо соответствующие поставленной задаче: блокировка канала как такового для указанных пользователей («этим нельзя!»); отправка теневой копии перехваченного документа в архив; уведомление для ИБ при срабатывании запрета.
В качестве дополнительных полезных функций (помимо проверки соответствия первичному критерию, см. выше) смотрели аналитические возможности, работу с архивом и отчётность. Функцию сканирования рабочих станций (например, как система обнаружит документ с паспортными данными на рабочей станции) решили отложить на другой заход, сейчас эта задача не является первостепенной (и критичной в целом).
Тестовый стенд простенький, в качестве сервера — виртуалка с выделенными 8 Гб памяти, в качестве подопытного кролика — типовой комп на i5 / 2.3 GHz / 4 Gb RAM и с 32-битной Windows 10.
Ну и вот какие DLP-системы в итоге удалось просмотреть-пощупать на своём стенде или у коллег, и соответствующие впечатления по ним: McAfee DLP, Sophos Endpoint Protection, InfoWatch Traffic Monitor, DeviceLock DLP, Контур информационной безопасности СёрчИнформ, Falcongaze SecureTower. Для начала опишу общие впечатления, потом обзор собственно тестовых прогонов.
McAfee DLP
На тесты досталась версия McAfee Data Loss Prevention 10.0.100.
Сразу хочу отметить, что это очень тяжёлая и в установке, и в настройке система. Чтобы её поставить и использовать, надо сначала развернуть McAfee ePolicy Orchestrator как собственную платформу управления. Может, для организаций, где полностью внедряется экосистема решений от McAfee, это будет осмысленно и удобно, но ради одного продукта… удовольствие из разряда сомнительных. Ситуацию несколько облегчает то, что пользовательская документация весьма продуманная и описывает весь порядок установки, а инсталлятор сам ставит все необходимые ему внешние компоненты. Но долго… Правила задавать — задача тоже не из лёгких.
Понравилось: возможность задать условные приоритеты для правил, а потом использовать эти приоритеты как параметры фильтрации событий в журнале. Сама фильтрация сделана весьма приятно и удобно. Возможность дать пользователю переслать файл при запрете, если предоставит некое объяснение (user-justification).
Не понравилось: уже упомянутая необходимость устанавливать собственную платформу управления, во многом дублирующую AD. Встроенный OCR-модуль — отсутствует, контроль сканированных документов — мимо. Выявили ряд ограничений вроде контроля почты только в Outlook (переписка через The Bat! пролетела мимо агентского контроля), зависимость от конкретных версий браузеров, отсутствие контроля переписки в Skype (перехватываются только файлы).
Резюме: на первый взгляд McAfee DLP показался нам весьма интересным решением, несмотря на упомянутые выше недостатки. Огорчило, что пропали визарды для задания политик – в когда-то исследованных старых версиях было на наш взгляд удобнее, чем в нынешней веб-консоли. Ключевой недостаток — практически весь контроль реализован через контроль приложений, а не на уровне протоколов или драйверов. Позволяет блокировать проброшенные устройства в среде Citrix.
Sophos Endpoint Protection
На тесты взяли версию Sophos Endpoint Protection 10.
Решение комплексное, основой является антивирус. Устанавливать пришлось долго. В руководстве даже не указаны системные требования — за ними извольте на сайт. Политики задаются на основе логики per computer 🙁
Понравилось: как и в McAfee, есть возможность дать пользователю переслать файл при запрете. На этом, пожалуй, все.
Не понравилось: нет никаких сложностей в обходе контроля устройств агентом — остановить антивирус от Sophos, затем включить драйвер устройства в Device Manager — и вуаля, полный доступ к запрещённой флешке. Как-то сложно и мутно сделано с реализацией и настройкой правил анализа содержимого, которые в итоге ещё и не выполняются по факту. Удивительно, но нет теневых копий. Уведомления в виде email alerting и SNMP messaging надо конфигурировать из антивируса этого же разработчика. Перечень контролируемых устройств беден, почта контролируется через встраивание в почтовые клиенты. Контроль доступа к сайтам сделан попросту как фаерволл. Встроенный OCR-модуль — отсутствует, контроль сканированных документов — мимо. Руководство пользователя вызывает грусть — никаких подробностей в нём не сыскать. Нет даже описания, что подразумевается под тем или иным встроенным правилом — то ли это проверка по словарю, то ли по регулярному выражению…
Резюме: Неудачное, на наш взгляд, решение. По сути, это довесок к антивирусу, да еще и полным отсутствием возможности создания доказательной базы по инцидентам. Политики задаются не по пользователям, а по машинам — это неприемлемо. Ну, собственно, от бесплатной добавки к антивирусу много и не ожидалось, но надежда умирает последней.
InfoWatch Traffic Monitor
Самый, пожалуй, раскрученный на сегодня DLP-комплекс на нашем рынке, а значит от него мы больше всего и ожидали. Возможности просто взять и посмотреть — нет, зато сайт изобилует красотой от маркетологов. На тесты с трудом, но удалось получить версию InfoWatch Traffic Monitor 6.9 Enterprise. Возможно, есть версия новее — но об этом нам не известно, не нашли за килотоннами всё того же маркетинга. А вот технической информации на сайте как-то маловато. В ходе теста обнаружилось, что и в документации такая же проблема — если что-то неясно, найти ответ в руководстве практически нереально, детализация в целом отсутствует. Это значительно снижает возможности самостоятельной эксплуатации.
Понравилось: очень качественный, продуманный интерфейс, с хорошей структурированностью. Удобные дашборды, где можно настроить определённый запрос, время его обновления — и далее наблюдать картину целиком. Хороший ассортимент виджетов для консоли. Есть возможность отправить запрос пользователя на предоставление доступа к устройству прямиком из агентского модуля. Возможность задать различных получателей для уведомлений в зависимости от типа события и членства юзера в OU. Солидный набор отчётов. Хорошие возможности для работы с архивом, поддерживается большой набор инструментов анализа содержимого данных в архиве. Есть создание скриншотов с рабочих станций.
Не понравилось: по сути, это не один продукт, а связка Infowatch Traffic Monitor и Infowatch Device Monitor, причём работающая на двух операционках (Windows и Red Hat Linux), поэтому установка и настройка для запуска сложноваты. Консолей управления тоже две. Широко разрекламированная разработчиком логика «проверили содержимое, только тогда блокируем, не мешаем бизнес-процессам» на самом деле где-то в зародыше. Анализ содержимого для контроля устройств попросту отсутствует — доступ к устройствам запретить для юзеров можно, есть Белые списки, но что внутри записываемого на флешку документа — агент Infowatch Device Monitor попросту не знает. Для сетевых каналов примерно такая же проблема — проверка содержимого реализована только для SMTP и HTTP. Как говорят давно знакомые с этим решением коллеги, сейчас хотя бы появилась возможность блокировать сетевые каналы — раньше был только мониторинг. Фактически — эта возможность ограничена HTTP, FTP, SMTP, плюс файлообменники и некоторые мессенджеры. Повторюсь, возможности блокировки передачи данных на основании проверки их содержимого в, например, мессенджерах, нет — только SMTP и HTTP. Это не плохо, но не очень соответствует описанию в брошюрах, и этого мало для полноценного охвата каналов утечки. Агентский модуль реализован на самом деле как некий микс разных агентов.
Резюме: В целом решение выглядит (особенно выглядит) очень даже неплохо. Контроль устройств на базовом уровне — хорошо, для сетевых каналов мониторинг — хорошо, а блокировка — удовлетворительно. В терминальных сессиях позволяет запретить доступ к проброшенным дискам, или предоставить доступ только на чтение, работает теневое копирование (одновременно для флешек и для проброшеных дисков). Огорчает отсутствие проверки содержимого для большинства из контролируемых каналов, особенно устройств — при том, что в маркетинговых документах заявлена именно логика. Будем надеяться, что это своего рода роадмап, и рано или поздно разработчики догонят маркетологов. А пока — пиарщикам пятёрка, разработчикам тройка с плюсом. Или наоборот. Как посмотреть.
DeviceLock DLP
На тесты была взята версия 8.3 (последнее обновление, выпущенное в декабре 2018 года), скачанная сайта разработчика.
Довольно узкоспециализированная система, только защита от утечек и ничего более — никаких скриншотов, контроля приложений… Впрочем, если верить информации с вебинаров от разработчика, функции контроля юзеров через скриншоты в обозримом будущем должна появиться. Установка — проще простого. Куча вариантов управления, консоли олдскульные, для работы с ними нужен хоть какой-то опыт сисадмина — тогда всё становится очевидно и просто. В целом впечатление весьма простой в эксплуатации системы.
Понравилось: детализация в настройках контролей. Не просто условно контроль, например, Skype — но раздельно контроль, события, теневые копии, алерты, проверка содержимого — и по раздельным составляющим скайпа — чат, файлы, звонки… Перечень контролируемых устройств и сетевых каналов построен разумно, и весьма большой. Встроенный OCR-модуль. Блокировки по содержимому действительно работают, хоть и с некоторой нагрузкой на рабочие станции. Алерты могут приходить практически моментально. Агенты совершенно независимы по отношению к серверной части, могут жить собственной жизнью, сколько потребуется. Сделано автоматическое переключение режимов — можно смело отпускать сотрудника с ноутбуком, политики переключатся сами на другие настройки. Блокировки и мониторинг в системе разведены ещё на уровне консоли — нет никакой сложности для каких-то каналов включить запрет для отдельных товарищей, а другим товарищам задать настройки только для мониторинга. Также самостоятельными выглядят правила анализа содержимого и работают как на запрет, так и наоборот на разрешение передачи при закрытом в принципе канале.
Не понравилось: нет визардов. Чтобы настроить какую-то политику, надо сразу понимать, что требуется получить, заходить в соответствующий раздел консоли и тыкать галочки, выбирать юзеров и т.п. Пошаговый вариант создания политики напрашивается. С другой стороны — можно проверить, что реально задано в плане контроля. Поиск по архиву ограничен полнотекстовым поиском по содержимому теневых копий, поискать по шаблону документа или с помощью словарей возможности нет. Более-менее выручает развитая система фильтров, но это далеко не контентные фильтры. Неизбежная нагрузка на рабочие станции при работе контентно-зависимых правил (терминология разработчика).
Резюме: Система простая в эксплуатации, четко работающая, с богатым арсеналом возможностей именно для защиты от утечки информации. По меткому замечанию одного из коллег, сделана по принципу «настроил и забыл». Учитывая, что все политики задаются per user, для изменения доступных операций для пользователя достаточно просто перекинуть его в другую User group домена, для которой настроены другие правила контроля, от простых контролей до правил с анализом содержимого. В терминальных сессиях позволяет выставлять права доступа для проброшенных дисков (блокировка или только на чтение), для буфера обмена (тут всё довольно гибко в зависимости от направления копирования, от типа передаваемых данных), работает теневое копирование, работают блокировки по содержимому при записи на проброшенные диски и при передаче данных через буфер обмена.
Контур информационной безопасности СёрчИнформ
Смотрели у коллег, поэтому сроки были весьма сжатыми. Хотел сначала написать «на тесты досталась версия ХХХХ», но не смог. Просто потому, что КИБ Сёрчинформ — это не система, а комплексный обед набор нескольких практически самостоятельных систем. Вплоть до отдельных консолей для разных задач — насчитали аж 5 штук. Коллеги говорят, раньше консолей было ещё больше… Ключевой в этом комплексе модуль EndpointController — версии 5.49. У остальных своя нумерация. Кстати, и дистрибутив тоже из кучки архивов… Соответственно устанавливать такую систему нелегко — без документации не обойтись. Она, в свою очередь, тоже специфична — написана по принципу «что вижу, то и пишу», без объяснения логики работы. Управление выглядит так — политики перехвата создаются в одной консоли управления, индексация и настройки индексов для просмотра перехваченных данных отдельная консоль, просмотр данных аудита и теневого копирования опять отдельная консоль, построение отчетов снова отдельная консоль, и так далее. И в маркетинговых описаниях на сайте, и в документации постоянно встречается слово «перехват». На практике это означает почти для всех сетевых каналов утечки только получение теневой копии. Для устройств блокировки есть, а для интернет-каналов можно запретить SMTP для всех пользователей — или разрешить. Другой вариант — использовать для SMTP карантин сообщений, который реализован на агенте. Анализ по содержимому как основание для блокировки — сделан весьма специфически: агент отправляет в карантин все письма, которые уже на сервере просматриваются (вручную или с помощью контентного анализатора) администратором и тогда уже он выбирает, что отправить дальше, а что заблокировать. Представили себе, как это будет выглядеть в организации, где сотрудников хотя бы раз в 5 больше, чем у нас…
Понравилось: мощно развиты возможности работы с архивом. Найдется всё. Масса критериев, инструменты поиска по словарям, по регулярным выражениям, фингерпринтам, фирменный «поиск похожих»… Есть метки для разных инцидентов — можно отмечать уже просмотренные, например. Есть прозрачное шифрование флешек.
Не понравилось: хаос в логике управления системой, зашкаливающее количество управляющих консолей. Отсутствие блокировок для сетевых каналов. Отсутствие блокировок по содержимому для всего набора «перехватываемых» каналов.
Резюме: Блокировка устройств реализована на приличном уровне, для сетевых каналов — на зачаточном. В терминальных сессиях можно выставлять права доступа для проброшенных дисков (блокировка, только для чтения), работает теневое копирование для проброшенных дисков. В целом система довольно сложная в эксплуатации, жёстко акцентированная на расследования инцидентов — то есть на мониторинг и работу с архивом. Для этого есть, пожалуй, всё, что нужно. Защищать организацию от утечек данных — явно не сюда, разве что позакрывать ненужные пользователям устройства.
Falcongaze SecureTower
На тесты досталась версия 6.2. Два ключевых слова, описывающих эту систему, если не углубляться в нюансы — легко, удобно. Легко ставится, удобно управляется, удобно смотреть отчёты, удобно работать с архивом. Документация практически не требуется. Дальше снова начинается фокус со словом «перехват», как и в КИБ. Перехват здесь — это просто для мониторинга, то есть создаётся теневая копия, о блокировке речь практически не идёт (кроме HTTP, SMTP и MAPI). Есть создание скриншотов с рабочих станций и некоторые другие функции мониторинга активности пользователей.
Понравилось: дружественный пользовательский интерфейс. Всё сделано для удобства работы. Хороший инструментарий просмотра и анализа архива, удачно реализован граф связей. Практически из любого отчёта можно перейти к указанному там событию (инциденту). Инцидентам можно назначать категории (исследованные, неисследованные, отложенные). Мониторинг Телеграмма и Viber’а.
Не понравилось: отсутствие блокировок для сетевых каналов. Отсутствие возможности блокировки принтеров и проброшенных в терминальную сессию дисков. Отсутствие блокировок по содержимому для всего набора «перехватываемых» каналов. Низкая стабильность агента — были отмечены непредсказуемые зависания и появление дампов. Неожиданные подвисания консоли даже при работе с архивом.
Резюме: Система очень лёгкая и удобная в установке и эксплуатации, но заточенная на мониторинг и работу с архивом. Есть ощущение, что система несколько сыровата, ОТК недорабатывает.
Результаты тестирования
Как упоминал выше, результаты базовых тестов сводились в таблицу. Параметры, которые можно оценить субъективно, оценивались условно, по «шкале светофора» — цветом.
Собственно таблица выглядит так (кликабельно):
Стресс-тесты проводили только для McAfee и DeviceLock DLP. В остальных случаях просто не было смысла (см. таблицу ниже).
У McAfee корректно отработал запрет архива с экселевским файлом.
Тест с перехватом скана в McAfee не пошёл — нет встроенного OCR.
С проверкой на шаблонах — срабатывает только при полном соответствии, если документ изменять — DLP-система его пропускает.
У DeviceLock DLP все тесты сработали полностью. Изменённый договор, перехват в скайпе:
Запись на флешку архива с замусоренным экселевским файлом:
Блокировка печати перевернутого скана документов:
Сводные итоги тестов выглядят следующим образом (кликабельно):
Выводы
Упреждая вопрос читателей — «а что выбрали в итоге, ведь в заголовке «опыт выбора»? К сожалению, на момент написания этой публикации, руководство с выбором ещё не определилось. Мы же постарались выполнить свою задачу — прогнали тесты по ряду систем, предоставили результаты тестов руководству, а попутно решили поделиться с Хабра-сообществом.
Наше мнение, повторюсь, является субъективным, построено на личных впечатлениях и определяется поставленной задачей, поэтому наш собственный выбор останется неопубликованным.
По большому счёту, поставленные задачи всегда первичны, поэтому всем, кто выбирает для решения своих задач DLP-систему, рекомендуем пройти по нашему пути и самостоятельно, отталкиваясь от поставленных задач, разобраться с возможностями предлагаемых систем. Надеемся, наши таблички будут вам полезной шпаргалкой.