"Время для переосмысления данных"

Брент Таррелл, директор компании  BeyondTrust в регионе EMEA

Согласно данным исследовательской компании Gartner,  более 50 % проектов по внедрению  DLP-систем терпят неудачу в течение первого года. Видимо, это происходит потому, что традиционные подходы уже не годятся для использования в сегодняшней постоянно усложняющейся и все более фрагментирующейся информационной среде. Нам многое предстоит переосмыслить.

Что из себя представляет типовая DLP-система? Это набор технологий и контролирующих инструментов, позволяющих классифицировать информационные  ресурсы в состоянии покоя (при хранении), в процессе обработки или при передаче, а затем, в зависимости от установленной политики, фиксировать изменения, сообщать о действиях, шифровать или блокировать передачу этих данных. Другими словами, с помощью DLP-системы предприятие способно программно защитить конкретную информацию от несанкционированной утечки.

Приносит ли DLP пользу? Несомненно. Это подтверждается и теоретическими исследованиями, и практикой. Из-за утечек информации, в том числе финансовой, конфиденциальной, корпоративной, а также персональных данных компании теряют до 5 % годового дохода. Около 70 % утечек связаны с инсайдерами, будь то сотрудники или подрядчики из сторонних организаций.

Помимо финансовых, существуют также риски репутационные и от применения нормативных санкций. Банки остро осознают, какие угрозы несут в себе потери данных. В 2008 г. банк HSBC лишился данных о 24 тыс. своих клиентов вследствие злоумышленных действий инсайдера. В 2011-м корпорация RSA стала жертвой внешних хакерских атак, в результате которых произошла утечка информации, связанной с разработкой токена  SecurID – устройства, которое служит для обеспечения конфиденциальности данных, и, конечно, это обстоятельство только добавило остроты ситуации.  Кажется очевидным, что эти инциденты можно было бы предотвратить с помощью правильного применения DLP-системы. Возникает вопрос: почему RSA, сама являющаяся поставщиком DLP, оказалась неспособной избежать утечки? Ответ лежит на поверхности: традиционные DLP-системы слишком сложны для применения на практике и управления, с определенными трудностями при их использовании сталкиваются даже для тех, кто их разрабатывает.

Традиционные технологии DLP обычно предоставляют организациям инструмент управления информацией. Для того чтобы они функционировали должным образом,  требуются квалифицированная их настройка и затем грамотное администрирование. В основе любого решения DLP лежит создание, управление и администрирование политики. Проблема в том, что контроль за информацией лишь тогда может осуществляться эффективно, когда разработка политики и администрирование полностью возложены на пользователя, который в этих аспектах полагается не только на технологические решения.

Политика и процедуры

Разработка политики – процесс сложный, он, как правило, включает в себя следующие этапы:

1. Инвентаризацию информационных ресурсов: поиск  и регистрацию различных типов данных, существующих в организации.
2. Классификацию: определение каждого элемента данных, который является чувствительным и требует специальной обработки (в том числе и в силу нормативных предписаний).
3. Создание предварительных положений политики при тесном  сотрудничестве ИТ- и бизнес-подразделений.
4. Развертывание компонентов DLP и проверку положений  политики.
5. Настройку бизнес-процессов в соответствие с новой политикой.
6. Реализацию политики поощрения  и проведение обучения сотрудников.
7. Создание команды управления политиками и процедурами.
8. Применение политик и установление контроля со стороны управленческой команды.
9. Поддержание политики в соответствии с обновленными бизнес-правилами.

Не удивительно, что добиться нужного результата от реализации DLP-стратегии чрезвычайно сложно. Даже если в организации смогут отыскать все данные, которые должны быть охвачены стратегией DLP, потребуются огромные усилия, для того чтобы классифицировать их. Кроме того, следует еще учитывать влияние таких систем на конечных пользователей, которые могут обнаружить, что блокирование данных мешает им выполнять свою работу должным образом. Не случайно отдельные компании  отказываются от реализации DLP-проектов в целом.

Перемены к лучшему 

Итак, что же нужно изменить? Есть несколько аспектов, на которые следует обратить внимание. Во-первых, это культура. DLP является непрозрачной системой, т. е. результаты ее действия не столь наглядны для конечного пользователя, как в случае с брандмауэром или антивирусной программой. Непрозрачность системы вызывает некоторые культурные противоречия внутри многих организаций, поэтому очень важно, чтобы «бизнес» (не только ИТ-отдел, но и другие подразделения) принимал непосредственное участие в планировании и осуществлении контроля DLP.

Нельзя не признать, что в течение последнего времени окружающий нас мир все сильнее ориентируется на технологически зависимые решения,  и это оказывает влияние на все аспекты безопасности, в том числе на требования, предъявляемые к DLP. Данные могут жить на серверах, в резервных копиях, настольных компьютерах, мобильных устройствах и даже в облаке. Они могут быть там, где вы меньше всего этого ожидаете, таким образом, традиционные подходы DLP не всегда позволяют эффективно решать  современные задачи по защите информации.

Интеллектуальное профилирование

Что касается технологий, то все большее число производителей  обращают внимание на интеллектуальное профилирование данных в качестве решения проблемы.  Возможно, проще всего объяснить это тем, что внедрение этого решения создает определенные удобства при проведении расследований инцидентов. В нештатных ситуациях самым простым путем для экспертов оказывается просмотр журналов в целях выявления доказательств утечки, а также подозреваемых и виновных в этом.  Например, в вышеописанном случае с RSA, ИТ-эксперты в области безопасности быстро обнаружили достаточную для анализа информацию и детально восстановили  картину вторжения, приведшего к утечке данных. Представьте себе, что подобный процесс осуществляется постоянно, скажем ежеминутно в течение дня, а не только тогда, когда случается какой-либо инцидент.

Применение интеллектуальных профилей

Теоретически этот вид активного анализа может оказаться очень эффективным и действенным способом для выявления и предотвращения утечек данных, но возникает  ряд интересных вопросов:

1. Учитывая огромный объем информации, можно ли быть уверенным, что анализ будет эффективно проводиться при любой скорости потока данных?
2. Можно ли автоматизировать те процедуры, что осуществляют эксперты? 
3. Может ли такая постоянная экспертиза являться эффективным средством профилактики утечки данных, причем столь же простым в управлении, как антивирус?

Ответ на все эти вопросы будет звучать так: при правильном интеллектуальном профилировании – да. Современные алгоритмы, которые используют принципы выявления аномалий и машинного обучения, могут автоматически обнаруживать угрозы и предотвращать утечки данных. Это утверждение основано не на научных исследованиях, а на успешных примерах внедрения таких решений. Хотя технология интеллектуального профилирования является относительно новой, она уже доказала свою результативность во многих приложениях. Сегодня такая технология используется в самых разных областях для различных целей:

• в системах анализа финансовых операций для предотвращения фактов мошенничества, уклонения от уплаты налогов и отмывания денег;
• в автоматизированных торговых системах;
• в системы активного управления движением транспортных потоков;
• в системы IPS для предотвращения вторжений.

Ключ к надежному предотвращению утечки данных без непреодолимых проблем следует искать в фиксировании и классификации поведения пользователей. И здесь полезно будет получить ответы на ряд вопросов: какими  данными они оперируют? как эти данные применяются? откуда они пришли? куда направляются? Интеллектуальное профилирование может перевести DLP от нынешней  «ориентировки  на данные» на нечто гораздо более ценное и масштабное – «ориентировку  на пользователя».

Применение с помощью интеллектуальных профилей такого подхода к DLP, который ориентирован на пользователя, позволит обнаруживать подозрительное поведение человека, при этом даже не потребуется точное знание того, какие данные он  обрабатывает. В случае отклонения поведения пользователя от базовой, типичной модели становится возможным выявление аномалий, которые могут привести к утечке.

Этот метод, конечно, не может полностью устранить проблемы обнаружения и классификации данных, но способен значительно снизить объем работы. Так, применяя хороший интеллектуальный алгоритм профилирования, можно обнаружить рискованное и подозрительное поведение пользователя с помощью указателей на источниках и типах данных, которые требуется защищать.

Это решение новое для  DLP, но оно базируется на технологиях, которые использовались в течение многих лет, чтобы предотвратить мошенничество, воровство и злоупотребление, на тысячах предприятий по всему миру. Для компаний, испытывающих необходимость в защите своих данных, имеет смысл выстраивать работу по предотвращению угроз не в сторону увеличения количества применяемых для этой цели  технологических решений, а в направлении улучшения их качества. 

Источник: Security Middle East Magazine