Необходимость системы класса DLP поставлена под сомнение. Предотвратить кражу секретов можно более эффективными методами
Системы защиты от утечки данных (Data loss prevention – DLP), на самом деле, в основном предназначены для контроля утечки данных и расследования инцидентов, а не для предотвращения самой утечки. А каким образом не допустить кражу секретов?
Содержание |
На конференции TAdviser SummIT Кибербезопасность Вячеслав Касимов, директор департамента информационной безопасности МКБ, сделал доклад, который был обозначен как `Защита данных. Жизнь без DLP`.
Идея его в том, что технология защиты от утечки данных (Data loss prevention – DLP), на самом деле, в основном предназначена для контроля утечки данных и расследования инцидентов, а не для предотвращения самой утечки, поскольку настроить предлагаемые на рынке решения из коробки для предотвращения утечек достаточно сложно, и для этого нужно обладать достаточно высокой квалификацией. И все-равно внедренная система не будет покрывать все 100% ценных для компании данных.
В то же время само решение достаточно дорогое и вносит существенные задержки при работе с данными в компании. Причем были прецеденты, когда именно система DLP, точнее ее модуль теневого копирования, использовался злоумышленниками для сбора ценной корпоративной информации и воровства ее. Так можно ли обойтись без DLP?
Варианты защиты
Для защиты корпоративных данных можно использовать несколько альтернативных решений. Сам Вячеслав Касимов предлагает создание изолированной среды хранения наиболее ценной информации с организацией доступа к ней с помощью терминальных технологий или специализированного сервера, который контролирует корректность передачи корпоративных секретов партнерам.
Такую защищенную среду можно организовать с помощью решения для защиты корпоративных данных (Information rights management – IRM). Оно защищает корпоративные данные, помещенные в изолированную среду, с помощью шифрования, а в качестве контроля доступа к информации можно использовать ключи шифрования. При этом система фиксирует, когда и кому какой ключ был передан, и когда сотрудник им воспользовался для доступа и расшифрования информации.
Это все позволяет более эффективно контролировать распространение информации, чем DLP. Причем решения подобного класса могут быть реализованы в том числе и с помощью технологии блокчейна.Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое 
Альтернативной технологией защиты корпоративных секретов, если они хранятся в реляционной базе данных, является такой класс продуктов как экран для СУБД (DataBase Firewall – DBF). Он обеспечивает защиту ценной информации, хранящейся в СУБД как с помощью шифрования наиболее ценных столбцов таблиц, так и с помощью контроля внешних коммуникаций СУБД с другими компонентами информационной системы, в частности, фильтрации подозрительных запросов, которые могут быть результатом SQL-инъекции. Однако для неструктурированных наборов данных или распределенных систем хранения подобные методы защиты пока реализовать сложно.
Впрочем, для контроля доступа к большому объему неструктурированной информации придуман отдельный класс средств защиты под названием система контроля и управления доступом к неструктурированным данным (Data-Centric Audit and Protection – DCAP). Термин ввели в обращение аналитики Gartner, и по традиции аббревиатура прижилась на российском рынке и стала обозначать решения, которые могут выполнять аудит неструктурированных данных, проводить поведенческий анализ пользователей при доступе к данным и автоматизировать реагирование на выявленные угрозы, при доступе к корпоративным секретам.
Мнения экспертов разнятся
С учетом геополитических событий пошло активное перераспределение сегментов рынка в области информационной безопасности между разработчиками ИБ-решений, рассказал TAdviser Павел Кузнецов, директор по продуктам группы компаний «Гарда».
 | Если у вас в модели угроз есть риск утечки данных из СУБД, то нужно взять решение класса DataBase Firewall, чтобы защитить конкретно эту СУБД, а вокруг построить эшелонированную защиту во главе с SOC. В этой защите будет место в том числе и для DLP с возможностью блокировки передачи информации, – отмечает эксперт. – В практике внедрения нашей DLP-системы мы все чаще сталкиваемся с тем, что клиент на этапе пилотирования начинает нам рассказывать о своих бизнес-процессах: данные хранятся здесь, имеют к ним доступ такие-то люди и так далее. Это позволяет нам правильно настроить превентивное реагирование и не допускать утечек ценных данных. |  |
Ключевая задача состоит в том, чтобы защищать данные, а не мониторить или анализировать утечки, уверен Сергей Груздев, генеральный директор «Аладдин Р.Д.».
| | Внутренний нарушитель атаку готовит заранее, данные собирает годами, и именно этот процесс подготовки можно заметить с помощью DLP, – рассказал он TAdviser. – Мы же исповедуем защиту самих информационных активов. За 10 лет замены иностранных алгоритмов шифрования в базах данных на отечественные мы отработали технологию защиты самих данных. Продавать аналитику по экспоненциальному росту атак – это все хайп, а обеспечение защиты СУБД – это способ предотвратить утечку. | |
Безопасность – это процесс, который зависит от того, что и как вы защищаете, пояснил TAdviser Виталий Терентьев, CSO и GR-директор компании HeadHunter.
| | В зависимости от того, что и в каких пределах нужно защищать, и выбирается набор систем, которые решают ту или иную задачу. Есть такое волшебное слово – смекалка. С ее помощью любую систему из озвученных выше можно использовать для защиты данных. Важно понять как. И собирает каждый свой винегрет по-своему. Хороший специалист и DLP может настроить так, что она будет осуществлять функцию защиты. Вариантов реализации – огромное количество. | |
Выводы
Хотя DLP – это класс продуктов, который разрабатывался для защиты от утечек данных, однако без его внедрения все-таки можно обойтись. Для этого можно использовать другие категории продуктов, такие как IRM, DBF или DCAP. Как советуют эксперты, выбор конкретного продукта зависит от целей бизнеса и ценности защищаемых данных. В случае, когда ключевые для компании данные хранятся в СУБД, лучше защищать конкретно ее с помощью DBF, когда данные собраны в единое, но не структурированное хранилище, придется воспользоваться уже IRM, а если ценные данные распределены по всей информационной системе организации, то лучше внедрять полноценную DCAP-систему.
