2013/03/02 18:39:18

Защита информации: мифы и реальность DLP

Немало водителей считает, что можно использовать CD-диск или кусочек фольги, подвешенный под зеркалом заднего вида, для того чтобы защититься от радарного луча и скрыть свою скорость. Или, к примеру, люди верят, что мобильный телефон при звонке излучает такие волны, что они способны превратить зерна кукурузы в попкорн. Как ни крути, в той или иной степени каждый из нас верит во всякие небылицы, потусторонние силы и с интересом читает фантастические рассказы и истории. Возможно, в нашей жизни слишком много обыденностей, которые зачастую хочется раскрасить новыми красками. Да и сознание людей устроено таким образом, что многое, не поддающееся простому объяснению, покрывается налетом тайны, и тем самым, становится еще более привлекательным.

Каталог DLP-решений и проектов доступен на TAdviser

Чем страшны утечки данных и как от них защититься? ТА Детали

Содержание

Мифы существовали всегда: основанные на фантазии, на невозможности объяснить что-либо, или же просто в силу давно устаревшей информации. Современные мифы, конечно, сильно отличаются от древних, но причины появления у них одинаковые. Причем современная мифология – это не только всевозможные городские легенды и страшилки, которыми пугают непослушных детей на ночь, мифы появляются в абсолютно разных областях и сфера защиты информации – не исключение.

Сотрудники аналитического центра Falcongaze решили собрать самые популярные мифы из области DLP, с которыми сталкивались специалисты компании на своей практике при общении с потенциальными заказчиками системы для защиты информации SecureTower. Кроме сбора DLP-фольклора, аналитики компании решили взять на себя роль разрушителей легенд, развенчав тем самым многую напраслину, которую порой возводят на системы DLP.

DLP-системы дорого стоят и себя не окупают

Этот миф успешно сформировался на заре развития DLP-сферы, однако с тех пор многое изменилось. Может быть, DLP это и не самое дешевое удовольствие, однако в современных реалиях существуют решения с гибкой политикой ценообразования и вполне демократичной в данном сегменте стоимостью.

Также, часто от покупателей приходится слышать, что никакая утечка не может сравниться по цене с DLP-решением. И хотя подсчитать стоимость утечек непросто, тем не менее, согласно статистике, утерянный, или украденный у топ-менеджера ноутбук (на котором могут храниться данные о ключевых клиентах, данные о сделках или же финансовая информация) в среднем стоит $46 000. Однако сейчас решениям для защиты информации уже недостаточно ограничиваться только лишь защитой от утечек: современные DLP-системы должны содержать инструменты, способные решать целый комплекс задач в сфере как информационной, так и экономической безопасности компании. К тому же, как показывает практика, правильно настроенная DLP-система, окупается еще за первые два-три месяца использования, а то и вовсе на стадии тестирования.

Зачем платить за DLP?

За что компания платит, приобретая DLP-систему? Первое, что приходит в голову и является правильным ответом, — за уменьшение риска утечки конфиденциальной информации по различным информационным каналам. Под ними в данном случае понимают все современные каналы, с помощью которых сотрудники компании обмениваются информацией с окружающим миром: электронная почта, Skype, системы мгновенного обмена сообщениями, внешние носители информации…[1]

Вполне очевидно, что чем больше каналов передачи данных в состоянии охватить DLP-система, тем более эффективной будет осуществляемая с её помощью защита от утечек данных. Впрочем, это только вершина айсберга. Не менее важна и аналитическая составляющая, ответственная за обнаружение конфиденциальных данных в перехваченном трафике. По сути дела именно эти два фактора, от которых зависит эффективность DLP-системы, влияют на её стоимость. В целом чем больше каналов потенциальной утечки данных может охватить DLP-система и чем больше способов распознать конфиденциальные документы она предлагает, тем дороже она будет стоить. Впрочем, как и на любом другом рынке, высокая стоимость не всегда означает высокое качество.Интервью TAdviser: Вячеслав Касимов, ИБ-директор МКБ — о применении DevSecOps при разработке веб-приложений 8.1 т

На самом деле у DLP-системы всегда есть две цены: цена вендора и цена интегратора. Из них первая — это стоимость `голых` компонентов системы, нуждающихся в дальнейшей настройке и доводке `до ума`. Вторая — цена всех дополнительных действий после установки решения, необходимых, чтобы `вписать` его в вашу организацию.

Цена вендора

Во многом производители DLP-систем оценивают свои продукты произвольно, хотя в них, безусловно, закладываются фактические затраты, которые они несёт. Однако в гораздо большей степени цена зависит от бизнес-модели, которую избрал для себя вендор.

Первый вариант — приобретение услуги по подписке. Довольно часто такой способ продажи своих продуктов практикуют поставщики SaaS-решений, антивирусные компании и некоторые другие производители ПО. Фактически компания может просто приобрести право на использование DLP-системы в течение определенного периода времени (от нескольких месяцев до нескольких лет), по окончании которого она лишается всей защиты своих данных от утечек. Довольно часто подобный способ продажи решений замаскирован под реализацию технической поддержки — при таком сценарии стоимость первоначального приобретения DLP-системы составляет сравнительно небольшую величину.

Во втором случае техподдержка — это действительно возможность обращаться к вендору в случае каких-либо нештатных ситуаций, сама по себе DLP-система будет прекрасно работать и без неё. Вполне понятно, что при такой бизнес-модели стоимость DLP-системы заметно выше, но зато расходы на её эксплуатацию будут намного меньше, чем в первом варианте. Иногда производитель позволяет покупать возможность обращения в техническую поддержку непосредственно в момент, когда в ней возникает необходимость, а не платить за неё непрерывно в течение какого-то срока.

В другие эксплуатационные расходы стоит записать стоимость дополнительного ПО (например, сервера баз данных), которое требуется DLP-системе для полноценной работы. Впрочем, поскольку в большинстве компаний уже и так есть промышленная СУБД, тратиться приходится далеко не всем.

В среднем стоимость DLP-системы у вендора для средних размеров компании (от 100 до 500 рабочих станций) составляет от двух до двадцати тысяч рублей на одну рабочую станцию.

Цена интегратора

Интегратор — компания, которая занимается поставкой и внедрением ПО в конкретные организации. Вполне понятно, что существование дополнительного звена между вендором и организацией-потребителем только увеличивает стоимость DLP-системы для последней, однако необходимо заметить, что в ряде случаев работа интегратора действительно необходима для конечного приобретателя продукта.

Во многих регионах у вендора попросту нет представительств, которые занимались бы продажами и сопровождением решений. В таких случаях у клиентов из этих регионов единственной возможностью остаются интеграторы, которые зачастую работают с несколькими вендорами и благодаря этому могут предложить оптимальное для заказчика решение. Хотя сам интегратор, конечно, будет заинтересован в том, чтобы продвинуть то решение, которое принесет именно ему больше денег. Кроме того, многие организации — как правило, государственные учреждения — принципиально не работают с вендорами напрямую.

Впрочем, не стоит думать, что интегратор берет себе `лишнюю` добавочную стоимость напрасно. Специалисты компании-интегратора в силах провести предварительный аудит информационной системы предприятия, желающего приобрести DLP, настроить систему после её установки (как минимум загрузить необходимые словари, проверить работоспособность и т. д.), а иногда предлагают и более комплексные услуги, включая разработку концепции информационной безопасности организации. Хотя обычно с этим обращаются в специализированные консалтинговые компании.

В среднем интегратор увеличивает стоимость DLP-системы для приобретающей её организации на 30—40% по сравнению с ценой вендора. Поэтому если есть возможность, приобретать такое решение лучше непосредственно у вендора.

Цена DLP-системы зависит от множества факторов и может колебаться от `пола` до `потолка`, которые в данном случае определяются только фантазией вендора и интегратора. Поэтому не нужно удивляться, если вам `насчитали` в два раза больше, чем вашим партнерам по бизнесу, — возможно, будет проще и удобнее `пересчитать` у другого интегратора.

DLP-системы нужны только большим организациям

Изначально DLP-решения предназначались исключительно для крупных компаний, с большим количеством рабочих станций. Но сейчас большинство вендоров сходятся на том, что рынок среднего и малого бизнеса является крайне перспективным, однако немногие из разработчиков способны предложить решение, которое будет отвечать потребностям и специфике данного рынка.

Тем не менее, на сегодняшний момент появились качественные решения, одинаково эффективно работающие как в секторе крупных предприятий, так и в компаниях, количество сотрудников которых не исчисляется четырехзначными цифрами.

Для внедрения, обслуживания DLP необходимо много людей и времени

Многие заказчики даже и не задумываются об установке DLP-системы, поскольку считают, что обслуживание такого продукта отнимает слишком много времени и требует большого штата специалистов. Также большинство уверено, что установка DLP-решения автоматически повлечет за собой большие затраты на приобретение дорогостоящего оборудования, и внедрение системы для защиты информации будет очень продолжительным и неминуемо приведет к остановке бизнес-процессов в организации.

Как бы то ни было, внедрение качественной системы никоим образом не повлияет на существующую инфраструктуру сети, и тем более не прервет рабочих процессов в компании. Обычно ввод в эксплуатацию качественной DLP-системы редко занимает более четырех-пяти часов. Естественно, все это становится возможным только в том случае, если заказчик сделал верный выбор в пользу качественного, стабильного и отказоустойчивого DLP-решения.

Все DLP сложны в освоении и использовании

Множество заказчиков уверено, что настраивать и использовать DLP-систему слишком сложно и неудобно из-за большого количества компонентов и сложных параметров.

Однако далеко не все системы для обеспечения информационной безопасности подразумевают под собой неудобный и громоздкий интерфейс, в котором даже искушенному специалисту с многолетним опытом работы не всегда возможно разобраться. Разработчики DLP, по-настоящему заботящиеся о своих заказчиках, всегда задумываются не только об эффективности предоставляемого продукта, но также и о том, чтобы их детище обладало настолько простым интерфейсом, чтобы его использование не вызывало затруднений даже у малоопытных сотрудников. Качественные продукты обязаны обладать единой консолью, из которой осуществляется управление всей системой. Для того чтобы сделать работу с DLP-продуктами еще более простой, в самых эффективных решениях уже содержатся предустановленные правила безопасности и их редактируемые шаблоны, которые позволяют использовать систему с момента ее запуска.

Выбор DLP-системы является серьезным делом, и заказчик должен руководствоваться не только советами, почерпнутыми из интернета, от самих вендоров или своих знакомых, но и в первую очередь опираться на свои собственные впечатления от продукта, которые можно получить во время тестирования разных решений.

К сожалению, порой случается так, что, не разобравшись, основываясь на одних советах, заказчик выбирает DLP-систему, которая его полностью разочаровывает. После одного негативного опыта многие готовы «поставить крест» на всех остальных DLP-системах и именно это способствует появлению и укоренению мифов. Увы, такая ситуация – не редкость. Тем не менее, прежде чем говорить окончательное «не надо», стоит попробовать что-то другое, и уже потом решать, что в сфере DLP является мифом, а что – нет.

Большинство внутренних утечек информации происходят преднамеренно

Этот миф является одним из самых распространенных. В большинстве компаний есть определенный процент злоумышленников, однако он невысокий. Как правило, сотрудники не хотят причинять вред своему работодателю.

Единственная загвоздка состоит в том, что если компания не будет информировать своих сотрудников о корпоративной этике в области безопасности, то они могут просто не знать что наносят организации вред.

Часто сотрудники подвергают риску важную для их компании информацию ради собственного удобства. Как пример, многие часто выгружают ценные корпоративные данные на облачные сервисы для удобства работы из дома.

В конечном итоге, большинство сотрудников нанося вред компании, делают это непреднамеренно. Персонал организации не намеревается делать что-либо незаконно, он просто не знает, что таким образом наносит урон своему работодателю.

Инсайдерами могут быть только сотрудники организации

Проверенный факт, что сотрудники компании не являются единственным источником внутренней угрозы утечки информации.

Организации, как правило, могут работать с длинной цепочкой компаний извне. В большинстве случаев, они обмениваются информацией используя облачные сервисы организации. В результате возникает путаница кто и куда должен иметь доступ.

Инцидент, например, может возникнуть если у организации нет возможности как-либо отслеживать поведение своего сотрудника при работе с аутсорсерами или в ходе работы в облачных приложениях. Таким образом просто невозможно узнать сохраняет ли организация свою конфиденциальную информацию или нет. Любая организация должна обезопасить себя от такой ситуации.

Защита от инсайдеров в виртуализированной облачной среде ничем не отличается от мер защиты систем в среде физической

С одной стороны виртуализация, возможно, облегчила жизнь системных администраторов для поддержки инфраструктуры IT технологии, но с другой стороны инсайдерам стало проще похитить информацию. Централизованность и компактность виртуализированных систем облегчают злоумышленнику задачу получения доступа к информации.

Инсайдерам проще атаковать виртуализированную среду чем физическую, так как получив доступ к ее инфраструктуре, они гарантируют себе доступ ко всем системам.

Важно внимательно контролировать распределение прав доступа сотрудников при работе в виртуализированной среде. В большинстве случаев администраторы такого рода систем наделяются полномочиями, достаточными для кражи конфиденциальной информации, изменения конфигурации или удаления нужной информации.

Информацию можно защитить при помощи простейших систем защиты информации

Не столь принципиально крадут ли информацию инсайдеры самостоятельно, или управляют пособниками, ясно одно, что простые способы управления доступом и межсетевой защиты не способны полностью обезопасить данные от несанкционированного доступа.

Недостаточная степень защищённости или вредоносное ПО помогают злоумышленникам проникать в информационные системы организации. Они пользуются любыми лазейками в: FTP, корпоративной электронной почте, файлах или протоколах. Достаточно одной щелки в системе защиты, для того что бы вскрыть информационную систему для хорошо организованной команды преступников.

Существует несколько технологических способов надежно защитить информацию от инсайдеров. Например шифрование, превращающее информацию в бесполезный набор символов для инсайдера или использование надежных систем управления контроля доступа, применяющих технологии строгой многофакторной аутентификации.

Осуществление контроля за служащими всегда снижает риски утечки информации

Осуществление контроля за работниками организации вряд ли может считаться панацеей от угрозы инсайдеров. Организации практикуют различные системы для осуществления контроля за своими сотрудниками, однако при некорректной настройке они бесполезны.

Например, Большинство организаций имеют неправильную систему сохранения log файлов, вследствие чего они не могут выявить произошедший инцидент, а когда это происходит, они не могут выявить нарушителя, так как могут быть настроены на отслеживание статистики короткого промежутка времени.

Резюмируя данную статью, очень важно подчеркнуть, что компании должны быть бдительны, когда дело касается защиты критически важной, секретной информации от действий инсайдеров. Критично не только придерживаться вышеуказанных рекомендаций, но и внедрять современные превентивные технологии для снижения риска инсайда.

Примечания