Вопрос предотвращения утечек данных и специализированных продуктов, призванных предотвращать утечки информации (Data Loss Prevention — DLP) перестал быть исключительно техническим и взят на вооружение маркетологами. Но многие DLP-решения на российском рынке фактически не являются таковыми: они технически не способны предотвращать утечки и лишь предоставляют инструментарий расследования инцидентов, построения отчетов и поиска по переданным данным. Недобросовестные маркетологи идут даже дальше, пытаясь представить в качестве DLP-решений продукты для мониторинга активности пользователей: запись экранов, клавиатурного ввода и тому подобные средства.
Как же отличить реальные DLP-решения от продуктов, лишь причисляемых к ним, но не обладающих набором базовых функций для предотвращения утечек данных?
Первый важный пункт — это контроль каналов передачи данных и то, что маркетологи пытаются за него выдать. Во всех DLP-решениях декларируется контроль электронной почты, печати документов, веб-почты, облачных хранилищ данных, мессенджеров, социальных сетей и локальных носителей информации (например, USB-флешек). В большинстве же представленных на российском рынке DLP-продуктов заявленный «контроль» следует понимать исключительно как возможность перехвата и архивирования перемещаемых данных (сообщений и файлов) без возможности их анализа в реальном времени. А значит, становится невозможным принятие адекватное принятие решения о блокировании (или разрешении) операции непосредственно в момент совершения пользователем действий с данными. Получается, что если в пересылаемых файлах содержится критичная информация, которая не должна покинуть периметр компании, вы об этом узнаете постфактум, когда данные уже будут переданы.
Стоит оговориться, что некоторые DLP-продукты все же позволяют полноценно контролировать данные в отдельных каналах, чаще всего — в электронной почте, оставляя все остальные пути утечки информации на откуп последующему расследованию инцидента. Простой пример: если файл, содержащий номера кредитных карт, пытаются переслать внешнему адресату по электронной почте, то DLP-система обнаруживает вхождение номеров карт в файле-вложении и блокирует письмо. Но тогда отправитель в этом случае без всяких проблем отправляет этот же файл через Skype, о чем DLP-система сообщит службе безопасности, но с опозданием.
То же самое, кстати, в равной степени относится и к «контролю» печати документов. Многие представленные на рынке DLP-решения сохраняют копии печатаемого документа в архив для последующего анализа без возможности блокирования на лету.
Отдельно следует отметить, что даже функции архивирования (теневого копирования) данных во многих DLP-продуктах являются не полными. Скажем, перехват файлов в мессенджерах вроде Telegram или Skype работает, а сообщений в этих же мессенджерах — нет. Некоторые DLP-решения умудряются также пропускать мимо себя файлы, упакованные в архив. И даже если заявлен контроль внутри архивов, его легко обмануть за счет большого (более 10) количества сжатых файлов.
Часто DLP-продукты не способны перехватывать и сохранять почту в DLP-архив, если используются не совсем стандартные почтовые клиенты, такие, как Mozilla Thunderbird. Это означает, что решения не контролируют почтовые протоколы (SMTP, MAPI, IMAP и т.д.) как таковые, а заточены на конкретные приложения (например, MS Outlook).
Подобно неспособности работать с почтовыми протоколами, существует достаточно много решений, в которых заявлен контроль веб-ресурсов (веб-почта, облачные хранилища данных, социальные сети) только для поддерживаемых браузеров, например, для Internet Explorer или Chrome. Любой другой HTTP-агент, не указанный в списке поддерживаемых, сможет осуществлять неконтролируемые действия с веб-сервисами. К слову, нередко установленное средство предотвращения утечек выводится из строя простым изменением локальной папки синхронизации файлов у приложения облачного хранилища.
Вторая большая проблема российского рынка DLP-решений — подмена понятий, при которой наблюдение за действиями пользователей (user activity monitoring — UAM) выдается за средство предотвращения утечек информации. Решения класса UAM регистрируют всю активность пользователей на компьютере (от клавиатурного ввода и запущенных приложений до попыток сделать снимки экранов). Это действительно позволяет впоследствии проанализировать продуктивность работы или собрать доказательства по тому или иному инциденту. Но, опять же, весь этот анализ принципиально не способен технически остановить утечку данных, а служит лишь доказательной базой по уже свершившемуся факту.
Третий большой вопрос — способность DLP-продукта противодействовать попыткам пользователя помешать нормальной работе. Речь, например, об отключении DLP-агента на своем компьютере. Такая практика существует, даром, что наличие прав локального администратора у пользователя — история распространенная. Часто защита обходится путем отключения служб DLP-агента штатными средствами администрирования Windows и удалением его драйверов. Более «продвинутые» DLP легко отключаются при помощи доступных бесплатных утилит.
Каковы же выводы? Читая красивые описания различных DLP-продуктов на сайтах и в «независимых» обзорах, не стоит забывать, что задача маркетологов — написать много красивых слов ради привлечения внимания, а не расписывать в деталях технические особенности продукта. И уж тем более — его слабости. Доверяй, но проверяй — главный принцип при изучении возможностей ИБ-решений. Чтобы не попасться на уловки недобросовестных продавцов, лучше провести собственное независимое тестирование без участия разработчика или интегратора. При этом необходимо взвесить не только сильные, но и слабые стороны решения. Ведь не исключено, что именно пропущенный благодаря вере в красивую брошюру недостаток в итоге станет причиной утечки данных в вашей компании.
Ашот Оганесян
На веб-сайте Смарт Лайн Инк появился корпоративный блог DeviceLock. В нем публикуются свежие факты об утечках данных, короткие заметки, мысли и советы по теме предотвращения утечек, и конечно же - жизненные наблюдения о разных DLP-решениях.
Источник: CNEWS