УДК 681.3
В. А. Артамонов
DLP – СИСТЕМЫ : ФУНКЦИОНИРОВАНИЕ И МОДЕЛЬ
(Часть 1. Принципы функционирования)
В последнее время упоминания об утечках информации из самых разных – коммерческих, некоммерческих, государственных и пр. организаций в новостных лентах информационных агенств и Интернет становятся фактически ежедневными. В связи с ростом таких инцидентов естественно растет интерес к системам, которые могли бы противостоять подобного рода угрозам.
Сама проблема обеспечения конфиденциальности информации стара как мир. Ранее задача предотвращения утечек конфиденциальных данных из информационных систем решались в основном тремя способами. Во-первых, методом ограничения прав доступа субъектов к различным информационным ресурсам (ролевое управление, дискреционный и мандатный допуск к ресурсам), во-вторых, за счет использования программного обеспечения (ПО) контроля внешних устройств (USB, CD-ROM и пр.) – на уровне можно/нельзя использовать этот носитель, и, в третьих, за счет шифрования данных.
Однако данные способы статичны и позволяют обеспечить защиту конфиденциальной информации, только в местах ее хранения (Data-at-Rest), и не дают возможности контроля за процессом обработки и передачи информации.
В результате появились специализированные технологии и решения, которые могут контролировать данные в процессе обработки и передачи (Data-in-Motion) по различным каналам: HTTP, SMTP, передача данных на сменные устройства, печать на локальные и сетевые принтеры и т.д. При этом охват каналов должен быть как можно более полным, чтобы решение можно было назвать полноценным. Не менее важна и задача анализа передаваемой информации. Система должна реагировать только на конфиденциальную информацию и свободно пропускать информацию, которая не относится к этой категории.
Что такое современные системы DLP (Data Leak Prevention)? Это технологии, позволяющие предотвратить утечку из организации именно конфиденциальной информации. При этом информация, которая не попадает в категорию «конфиденциальная» может свободно передаваться по любым электронным каналам.
В течение последних нескольких лет использовалась разная терминология: Information Leakage Protection (ILP), Information Leak Protection (ILP), Information Leakage Detection & Prevention (ILDP), Content Monitoring and Filtering (CMF), Extrusion Prevention System (EPS) и др. Но наиболее точным термином принято считать Data Leak Prevention (DLP, предложен агентством Forrester в 2005 г.). В качестве русского аналога принято словосочетание «системы защиты конфиденциальных данных от внутренних угроз».
При этом, под внутренними угрозами подразумевают как умышленные злоупотребления, так и непреднамеренные действия сотрудников в рамках своих прав доступа к данным.
Если говорить об истории развития DLP-технологий, то первыми появились технологии сетевого мониторинга – без возможности блокировки утечки через сетевые протоколы (HTTP, SMTP и пр.). В дальнейшем производители решений добавляли функции блокировки информации при передаче через сеть. Затем появились возможности контроля рабочих станций за счет внедрения программных «агентов», чтобы можно было предотвратить передачу конфиденциальной информации с этих устройств: контроль функций «copy/paste», снятия скриншотов, а также контроль передачи информации на уровне приложений. И, наконец, появились технологии поиска конфиденциальной информации на сетевых ресурсах и ее защиты, если информация обнаружена в тех местах, где ее не должно быть. Конфиденциальная информация при этом задается предварительно ключевыми словами, словарями, регулярными выражениями, «цифровыми отпечатками» и др. В результате поиска система может показать – где она обнаружила конфиденциальную информацию, и какие политики безопасности при этом нарушаются. Далее сотрудник (офицер) службы безопасности может принимать соответствующие меры, в соответствии с инструкцией по расследованию инцидентов по нарушению ИБ. Есть решения, которые не просто показывают наличие конфиденциальной информации в неположенном месте, а переносят эту информацию «в карантин» (по аналогии с антивирусными системами), оставляя в файле, где была обнаружена информации, запись – куда перенесена конфиденциальная информация и к кому обратиться за получением доступа к этой информации.
На текущий момент на рынке представлено довольно много DLP-решений, позволяющих определять и предотвращать утечку конфиденциальной информации по тем или иным каналам. Однако действительно комплексных решений, покрывающих все существующие каналы, значительно меньше. В этих условиях чрезвычайно важным становится выбор технологии, обеспечивающей защиту от утечек конфиденциальной информации с максимальной эффективностью и минимальным количеством ложных срабатываний.
Первое, чему следует уделить внимание при выборе DLP-решения – это как данное решение осуществляет анализ передаваемой информации и какие технологии используются для определения наличия конфиденциальных данных?
Для защиты корпоративных данных от утечек этого недостаточно – нельзя просто делить информацию на конфиденциальную и неконфиденциальную. Нужно уметь классифицировать информацию по функциональной принадлежности (финансовая, производственная, технологическая, коммерческая, маркетинговая), а внутри классов – категоризировать её по уровню доступа (для свободного распространения, для ограниченного доступа, для служебного использования, секретная, совершенно секретная и так далее).
Большинство современных систем лингвистического анализа используют не только контекстный анализ (то есть в каком контексте, в сочетании с какими другими словами используется конкретный термин), но и семантический анализ текста. Эти технологии работают тем эффективнее, чем больше анализируемый фрагмент. На большом фрагменте текста точнее проводится анализ, с большей вероятностью определяется категория и класс документа. При анализе же коротких сообщений (SMS, интернет-пейджеры) ничего лучшего, чем стоп-слова, до сих пор не придумано.
Всего существует пять методов анализа:
Поиск по словарям (по точному совпадению слов, в некоторых случаях с учетом морфологии)
Регулярные выражения. Регулярные выражения — система синтаксического разбора текстовых фрагментов по формализованному шаблону, основанная на системе записи образцов для поиска. Например, номера кредитных карт, телефонов, адреса e-mail, номера паспортов, лицензионные ключи и т.п.
Сравнение по типам файлов. Политиками безопасности может быть запрещена отправка вовне некоторых типов файлов. При этом если пользователь изменит расширение файла, то система все равно должна «опознать» тип файла и предпринять необходимые действия.
Статистический («поведенческий») анализ информации по пользователям. Если пользователь имеет доступ к конфиденциальной информации, и в то же время он посещает определенные сайты (web-storage, web-mail, хакерские и т.п.), то он попадает в «группу риска» и к нему возможно применение дополнительных ограничивающих политик безопасности. Статистические технологии относятся к текстам не как к связной последовательности слов, а как к произвольной последовательности символов, поэтому одинаково хорошо работают с текстами на любых языках. Поскольку любой цифровой объект – хоть картинка, хоть программа – тоже последовательность символов, то те же методы могут применяться для анализа не только текстовой информации, но и любых цифровых объектов. И если совпадают хеши в двух аудиофайлах – наверняка в одном из них содержится цитата из другого, поэтому статистические методы являются эффективными средствами защиты от утечки аудио и видео, активно применяющиеся в музыкальных студиях и кинокомпаниях.
Технологии цифровых отпечатков. Наиболее перспективные и достаточно сложные технологии, при которых производятся определенные математические преобразования исходного файла (алгоритмы эвристических преобразований производителями, как правило, не раскрываются). Процесс преобразования строится следующим образом: исходный файл – математическая модель файла – цифровой отпечаток. Такой процесс позволяет существенно сократить объем обрабатываемой информации (объем цифрового отпечатка не более 0,01 от объема файла). Цифровые отпечатки затем размещаются в центральном репозитарии (Oracle, MS SQL) и могут быть продублированы в оперативной памяти устройства, осуществляющего анализ информации (зависит от производителя и типа развертывания). Отпечатки затем используются для сравнения и анализа передаваемой информации. При этом отпечатки передаваемого и «модельного» файлов могут совпадать не обязательно на 100%, процент совпадения может задаваться (или «зашивается» в ПО производителем). Технологии устойчивы к редактированию файлов и применимы для защиты практически любых типов файлов: текстовых, графических, аудио, видео. Количество «ложных срабатываний» не превышает единиц процентов (все другие технологии дают 20-30% ложных срабатываний). Эта технология устойчива к различным текстовым кодировкам и языкам, используемым в тексте.
Также следует обратить внимание на систему отчетности и наборы преднастроенных политик безопасности, представляемых DLP-решением, так как это поможет избежать некоторых проблем и сложностей при внедрении.
Основная проблема внедрения – это, как правило, отсутствие классификации данных. Поэтому на первом этапе внедрения система DLP должна проработать в организации в режиме мониторинга до полугода. В этом режиме на базе преднастроенных в соответствии с типом предприятия (промышленные предприятия, медицинские или образовательные учреждения или др.) политик безопасности система может помочь выявить места хранения и способы обработки и передачи конфиденциальной информации.
Для финансовых организаций, которые на текущий момент являются основными потребителями DLP-решений, проблема с классификацией данных нивелируется уже имеющимися в наличии достаточно качественными преднастроенными политиками, предоставляемыми производителями DLP-решений.
После принятия решения о завершении этапа мониторинга, система переводится в режим либо нотификации пользователей и сотрудника безопасности, и/или в режим блокирования передачи конфиденциальной информации.
Когда система DLP работает в режиме мониторинга, то количество инцидентов в силу отсутствия «кастомизации» политик может насчитывать тысячи. Постепенно применяемые политики безопасности настраиваются в соответствии с реальными потребностями и возможностями организации таким образом, чтобы уже в режиме нотификации, а в дальнейшем и блокировки, количество инцидентов не было «зашкаливающим» и система «отлавливала» только действительно конфиденциальную информацию. Таким образом, полный цикл внедрения решения может занять около года в случае крупной организации.
Система DLP, как правило, состоит из множества компонент. В состав типового решения DLP, как правило, входят:
1. Центральный сервер управления, выполняющий следующие функции:
– объединение всех остальных компонентов решения в единую систему;
– определение данных, содержащих конфиденциальную информацию;
– создание, редактирование и распространение политик работы с конфиденциальными данными;
– сбор, хранение и обработку инцидентов, создание и рассылку отчетов;
– предоставление ролевого доступа к управлению системой сотрудникам службы информационной безопасности;
2. Модули мониторинга и блокировки конфиденциальной информации, передаваемой по сетевым каналам. Они могут быть представлены как одним устройством, реализующим обе функции, так и отдельными (например, Network Monitor, Network Prevent for Web, Network Prevent for E-mail).
3. Агенты для рабочих станций и серверов, обеспечивающие контроль:
– перемещения конфиденциальных данных на сменные носители информации (USB, CD/DVD и др.);
– помещения данных в буфер обмена (функция «Вставка/Копирование»);
функции снятия снимка с экрана («Print Screen»);
– контроль функции поиска конфиденциальных данных на локальных дисках.
При всём этом отметим, что системы DLP на сегодняшний день достаточно эффективный инструмент для защиты конфиденциальной информации только в интеграции с другими сервисами безопасности и актуальность интегрированных решений будет со временем только увеличиваться.
Даже уже сейчас, в свете необходимости обеспечения требований и , на особенности внедрения DLP-систем нужно посмотреть под совершенно другим ракурсом.
Согласно статье 19 ФЗ-№152:
«Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий»
и пунктам 4,6 и 7 ПП РФ-№1119:
«Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных» и в части угроз (каналов утечки информации) – « Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия»…,
«Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 181 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных»…).
Учитывая многообразие угроз/уязвимостей (каналов утечки информации), которым подвержены современные системы информационно – коммуникационных технологий (ИКТ) [1], в дальнейшем DLP- системы целесообразно рассматривать как специфичный сервис безопасности ИКТ- технологий со всеми присущими ему свойствами и ограничениями, но не как некую «панацею» от всех бед.
Л И Т Е Р А Т У Р А
1. Артамонов В.А., Артамонова Е.В. Каналы утечки информации.// Аналитический обзор. [Электронный ресурс]. – Точка доступа: http://itzashita.ru/analitics/analiticheskij-obzor-kanaly-utechki-informacii.html
Вторая часть статьи: "DLP – СИСТЕМЫ: ФУНКЦИОНИРОВАНИЕ И МОДЕЛЬ. Часть 2. Математическая модель."
Полную версию статьи читаем в файле pdf:
Отправить статью в социальные сети, на печать, e-mail и в другие сервисы:
